GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM

+ Nghị định số 35/2007/NĐ-CP về giao dịch điện tử trong ngành ngânhàng ban hành ngày 08/3/2007Bên cạnh đó là việc hoàn thiện các quy định pháp luật quy định cụ thểtừng loại hình E-bankin

GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI

RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM

I / XU HƯỚNG PHÁT TRIỂN NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM

Theo một điều tra của NH Thế giới (WB), tại Việt Nam, 70% lượng tiềnnhàn rỗi trong dân vẫn nằm trong tủ các gia đình, 90% thanh toán của NH vẫn

sử dụng tiền mặt, 50% doanh thu của các NH vẫn đến từ các thành phố lớn Đây chính là một tiềm năng rất lớn, nhất là dịch vụ thẻ ATM mà các NH cầnkhai thác Và đề án “Thanh toán không dùng tiền mặt giai đoạn 2006-2010” củaChính phủ là một dấu hiệu lạc quan báo trước nhu cầu tiếp tục tăng mạnh trongthời gian tới đối với việc phát triển các kênh phân phối điện tử tại thị trườngViệt Nam

1 Xu hướng phát triển của ATM-banking

Nếu so sánh với các nước khác trong khu vực thì thì trường thẻ Việt Namcòn rất nhỏ bé

Bảng 2: So sánh thị trường thẻ Việt Nam và quốc gia khác

Nguồn: Thống kê của Visa đến 31/12/2006Trên thực tế, theo kinh nghiệm phát triển dịch vụ ATM ở nhiều nước trênthế giới cho thấy, việc xây dựng một liên minh thẻ là giải pháp có ý nghĩa rấtquan trọng, nhằm thúc đẩy thị trường thẻ phát triển mạnh mẽ, có định hướng rõràng theo một chuẩn mực chung Nhờ đó, tăng tiện ích cho khách hàng và quantrọng hơn là hạn chế các rủi ro và tiết kiệm chi phí cho các bên tham gia thịtrường Đối với thị trường Việt Nam Nhu cầu hình thành liên minh thẻ hợp nhấtngày càng trở nên bức thiết

Có thể thấy, ý nghĩa lớn nhất của việc đưa vào vân hành các hệ thốngchuyển mạch là gia tăng tiện ích cho khách hàng sử dụng thẻ ATM Khách hàngkhông còn bận tâm tìm, chọn các thiết bị chấp nhận thẻ của đúng nhà phát hànhdịch vụ, mà chỉ cần đến nơi có thiết bị chấp nhận thẻ gần nhất để thực hiện cácgiao dịch của mình Mặt khác, chính việc vận hành hệ thống này còn giúp các tổchức ngân hàng cùng nhau chia sẻ hạ tầng trang thiết bị kỹ thuật công nghệ phục

vụ cho dịch vụ thanh toán thẻ mà mình đã bỏ ra nhiều nguồn lực để đầu tư Với

xã hội, với nền kinh tế sẽ sớm có được một hạ tầng dịch vụ thanh toán thẻ đatiện ích thống nhất, rộng khắp mọi địa bàn lãnh thổ, phục vụ nhu cầu thanh toáncủa đông đảo mọi công dân trong xã hội sẽ tạo điều kiện cho các ngân hàngthương mại cổ phần có qui mổ hoạt động nhỏ, nguồn lực tài chính có hạn cũng

có thể tham gia phát hành thẻ phục vụ nhu cầu khách hàng của mình

Bên cạnh đó, các ngân hàng tiếp tục duy trì các ứng dụng hiện tại của hệthống giao dịch tự động ATM, triển khai các ứng dụng mới: chuyển tiền khác hệthống, giao dịch mua bán chứng khoán, mua thẻ cần hợp tác và chia sẻ thông tinkhách hàng bởi trong lĩnh vực kinh doanh ngân hàng rủi ro rất cao, cần phân tánqua hình thức hợp tác

Trong thời gian tới, thẻ ATM không chỉ đơn thuần là để rút tiền mặt Thayvào đó, các ngân hàng đang đẩy mạnh hợp tác với doanh nghiệp để cho ra đờicác loại thẻ liên kết với nhiều tiện ích như: chăm sóc sức khoẻ, giáo dục, muasắm,…

2 Xu hướng phát triển của Internet-banking

Trong thời gian qua, số lượng người dùng Internet tại Việt Nam đã tăngtrưởng rất nhanh Năm 2005 đánh dấu tỷ lệ người sử dụng Internet tại Việt Namvượt ngưỡng trung bình của Châu Á (9,87%) thì đến cuối năm 2006 đã đạtngưỡng trung bình của thế giới (16,8%)1 Đây là tín hiệu đáng mừng cho sự pháttriển dịch vụ ngân hàng điện tử qua Internet

1 Bộ Thương Mại, “Báo cáo Thương mại điện tử Việt Nam 2006”, Tr.30

Hình 6: Phát triển người dùng Internet 2001-2006

Nguồn: Trung tâm Internet Việt Nam tháng 12/2006, www.vnnic.net.vn

Một số ít các ngân hàng ở Việt Nam đã triển khai hệ thống InternetBanking nhưng chỉ cung cấp được dịch vụ cơ bản là tra cứu số dư tài khoản, lịch

sử giao dịch Trong khi hệ thống Internet Banking ở các ngân hàng nước ngoài

có khả năng cung cấp rất nhiều dịch vụ: thanh toán hoá đơn, chuyển khoản,thanh toán séc Thậm chí hệ thống Internet Banking ở các nước còn phục vụ đốitượng khách hàng là các doanh nghiệp với rất nhiều dịch vụ như: cho vay, thanhtoán, quản lý tiền mặt, mở L/C…

Nếu xét đến các chỉ số chi phí, hiệu quả đầu tư Việc mở rộng hệ thốngkênh thanh toán và mạng lưới phục vụ khách hàng thường đòi hỏi chi phí đầu tưrất lớn do đó ngân hàng phải cân nhắc hiệu quả đầu tư Lấy ví dụ hệ thốngInternet Banking Hệ thống Internet Banking có thể đồng thời phục vụ hàng

triệu khách hàng Chỉ số “chi phí đầu tư cho việc phục vụ một khách hàng” của hệ thống Internet Banking chỉ dưới 1$ - nghĩa là hiệu quả cao hơn gấp nhiều

lần so việc mở một chi nhánh hay đầu tư hệ thống Call Center Chỉ số “chi phíđầu tư cho việc phục vụ một khách hàng” tương ứng khi mở một chi nhánh vàkhi xây dựng hệ thống Call Center là khoảng 500$ và 5$ Trong thời đại “nhanh

Hình 7: Chi phí đầu tư cho việc phục vụ một khách hàng

Nguồn : Hội thảo Banking Vietnam 2007

Bảng 3: Chi phí trung bình cho một giao dịch ngân hàng

Chi phí trung bình/giao dịch

Nguồn: Điều tra của Booz, Allen và Hamilton 2000

Như vậy, phát triển kênh phân phối qua Internet hứa hẹn mang lại nhiềulợi ích cho cả ngân hàng lẫn khách hàng Nắm bắt được xu thế đó, một số ngânhàng đã có kế hoạch phát triển dịch vụ Internet-banking như Techcombank,ACB, VCB,…

Dịch vụ Internet-banking có thể được phát triển theo 2 cách thức:

 Ngân hàng thương mại theo mô hình truyền thống thiết kế Website vàcung cấp dịch vụ ngân hàng qua Internet bổ sung cho các kênh phân phối truyềnthống

 Thành lập ngân hàng trực tuyến chỉ tồn tại trên môi trường mạng,cung cấp dịch vụ 100% thông qua mạng Internet Ngân hàng ảo có thể cho phép

khách hàng mở tài khoản và rút tiền thông qua máy ATM hoặc các kênh phânphối từ xa của các tổ chức khác.

II / MỘT SỐ GIẢI PHÁP NHẰM NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM

1 Về phía Nhà nước

1.1 Ban hành các văn bản pháp lý, tạo hành lang pháp lý cho hoạt động ngân hàng điện tử

Chúng ta mới đang tiến những bước đầu trong phát triển thương mại điện

tử nói chung và ngân hàng điện tử nói riêng, và cân phải xây dựng một nền tảng pháp lý cho các hoạt động này phát triển

Luật Giao dịch điện tử được Quốc hội ban hành vào ngày 29/11/2005 và

có hiệu lực kể từ ngày 01/03/2006 đã có tác động rất lớn đến hoạt động giaodịch điện tử Về cơ bản, luật Giao dịch điện tử đã bao quát được hầu hết cáckhía cạnh trong giao dịch thương mại điện tử như thừa nhận tính pháp lý củathông điệp điện tử, chữ ký điện tử, chứng thực điện tử, hợp đồng điện tử, thanhtra và điều khoản giải quyết tranh chấp, vi phạm Tuy nhiên, Giao dịch điện tửvẫn không thể hiện hết những đặc trưng riêng của thương mại điện tử, do vậycần văn bản dưới luật Nghị định về Thương mại điện tử do Chính phủ ban hànhngày 09/06/2006 là nghị định đầu tiên cụ thể hoá luật giao dịch điện tử Nghịđịnh tập trung vào chứng từ điện tử và quản lý Nhà nước về Thương mại điện

tử Hiện tại, ngành Ngân hàng đã ban hành các văn bản dưới luật làm cơ sở chohoạt động ngân hàng điện tử an toàn và hiệu quả hơn:

+ Quyết định số 35/2006/QĐ-NHNN quy định về nguyên tắc quản lý rủi

ro trong hoạt động ngân hàng điện tử ban hành ngày 31/7/2006

+ Quyết định số 04//2006/QĐ-NHNN quy định về quy chế an toàn , bảomật hệ thống công nghệ thông tin trong ngành ngân hàng ban hành ngày18/01/2007

+ Nghị định số 35/2007/NĐ-CP về giao dịch điện tử trong ngành ngânhàng ban hành ngày 08/3/2007

Bên cạnh đó là việc hoàn thiện các quy định pháp luật quy định cụ thểtừng loại hình E-banking, về quyền và nghĩa vụ của tưng bên tham gia giao dịchNHĐT, cũng với những quy định về ứng dụng và phát triển thương mại điện tửnhư bảo mật, quyền sở hữu trí tuệ, luật bảo vệ dữ liệu thông tin cá nhân, bảo vệngười tiêu dùng, về an ninh, tội phạm máy tính…phù hợp với thông lệ quốc tế

1.2.Định hướng thống nhất về áp dụng nền tảng công nghệ và tiêu chuẩn an toàn cần thiết

Cơ chế chính sách phù hợp chuẩn mực quốc tế là cơ sở định hướng để cácngân hàng tiến hành hiện đại hoá Vì vậy, Ngân hàng Nhà nước phải định hướng

về phát triển công nghệ làm cơ sở cho các TCTD thực hiện thống nhất Banhành các cơ chế, nghiệp vụ hoạt động theo chuẩn mực quốc tế để khi các ngânhàng hiện đại hoá công nghệ thì các quy định này được áp dụng tương thích vớicông nghệ hiện đại

NHNN nên có định hướng thống nhất về việc áp dụng nền tảng côngnghệ và tiêu chuẩn an toàn cần thiết để phát triển của hệ thống thanh toán hiệnđại và an toàn; xây dựng cơ chế phối hợp trong việc phát hiện sớm, phòng ngừahiện tượng, hành vi gian lận và giả mạo thẻ; xây dựng những quy định về dựphòng rủi ro cho các ngân hàng trong lĩnh vực ngân hàng điện tử nói chung vàrủi ro về hoạt động nói riêng là vấn đề cấp bách, quan trọng hiện nay nhằm tạothuận lợi cho các ngân hàng đã, đang và sẽ tham gia vào các kênh phân phốiđiện tử tại Việt Nam Song song bên cạnh đó cần thực hiện đồng bộ trong toàn

hệ thống ngân hàng, tạo sự thống nhất và giảm thiểu chi phí phát sinh trong quátrình thực hiện chuyển đổi từ thẻ từ sang thẻ chíp

1.3 Tăng cường đầu tư và phát triển hạ tầng về viễn thông, thông tin

Để tăng cường hỗ trợ dịch vụ NHĐT, cần nâng cao hệ thống thông viễn thông theo một số hướng sau:

tin Tiến hành nâng cấp hệ thống truyền thông và thông tin quốc gia, đảm bảonâng cao và duy tri ổn định đường truyền điện thoại, đường truyền Internet.Đồng thời tiếp tục mở rộng hệ thống thông tin và viễn thông trong cả nước, tạođiều kiện người dân tiếp xúc nhiều hơn với các công nghệ truyền thông và thôngtin Cho phép tăng thêm các doanh nghiệp tham gia cung cấp dịch vụ Internet,điện thoại, tăng cường cạnh tranh để nâng cao chât lượng dịch vụ và giảm giádịch vụ.

- Nghiên cứu và thử nghiệm các sản phẩm phần cứng, phân mềm trongdịch vụ NHĐT, trong công tác bảo mật ở các mức độ khác nhau

- Chuẩn hoá thông tin và các hệ thống thông tin trong từng lĩnh vực, đảmbảo các điều kiện cần thiết cho việc trao đổi và sử dụng chung các cơ sở dữ liệu,các hệ thông thông tin trong nước

2 Về phía các ngân hàng thương mại

2.1 Quản trị rủi ro chiến lược

2.1.1 Lựa chọn phát triển dịch vụ ngân hàng điện tử

Không phải ngân hàng nào có đầy đủ các sản phẩm dịch vụ thì mới đượcxem là một ngân hàng hiện đại Vấn đề là tùy theo đặc điểm hoạt động của từngngân hàng; tùy chiến lược kinh doanh; tùy từng đối tượng khách hàng, kháchhàng mục tiêu, khách hàng triển vọng mà phát triển những dịch vụ tương ứng

Có những ngân hàng chuyên cung cấp dịch vụ bán buôn, có ngân hàng chuyêncung cấp dịch vụ trọn gói và có những ngân hàng chuyên cung cấp dịch vụ bán

lẽ Ở đây, đề cập đến dịch vụ thanh toán thẻ, như chúng ta biết những tiện ích từdịch vụ thẻ mà NH cung cấp cho khách hàng được xem là tiêu chí đánh giá trình

độ phát triển ngân hàng ở mức độ nào: một là, sự tiện ích, tính đa năng, đa dụngcủa thẻ là tiêu chí để xem rằng thẻ đó thực sự là sản phẩm dịch vụ hiện đại haychỉ là thẻ ATM thông thường; hai là tiêu chí đánh giá trình độ công nghệ củangân hàng đó hiện đại chưa

Song, chất lượng dịch vụ có tính quan trọng hơn Bởi vì nếu như chấtlượng dịch vụ không đảm bảo, không được nâng cao, thì sự đa dạng và pháttriển các dịch vụ sẽ không có ý nghĩa khi không được khách hàng chấp nhận sửdụng Mặt khác sự cạnh tranh về dịch vụ giữa các ngân hàng ngày càng đượcnâng lên và mỗi NH càng cố gắng giũ vững thị phần của từng loại dịch vụ Đểđạt được mục tiêu đó, ngoài việc sự đa dạng dịch vụ, nghiệp vụ Marketing, uytín và thương hiệu của ngân hàng, quy mô và màng lưới của ngân hàng còn tùythuộc vào trình độ ứng dụng công nghệ

2.1.2 Xây dựng chiến lược kinh doanh trong tầm trung và dài hạn

Việc ứng dụng công nghệ phải đi liền với việc ngân hàng xây dựng đượcchiến lược kinh doanh trong tầm trung và dài hạn Nếu với kế hoạch kinh doanhtrong ngắn hạn hoặc chỉ giải quyết những vấn đề trước mắt, thì với những côngnghệ đơn giản, các ngân hàng có thể thực hiện ở các mức độ ghi chép, xử lý cácgiao dịch đơn giản, không kết nối liên chi nhánh được, không phát triển các dịch

vụ hiện đại, không quản trị kinh doanh ngân hàng được, không nối kết thôngsuốt với các ngân hàng khác…Với cách làm này vừa tốn chi phí, vừu khônghiệu quả Do đó, ngân hàng cần xác định mục tiêu hoạt động, xây dựng mộtchiến lược kinh doanh, xác định khách hàng mục tiêu, khách hàng tiềm năng để

từ đó có sự ứng dụng công nghệ tương ứng phù hợp Có thể ngay bây giờ côngnghệ được ứng dụng chưa được khai thác hết tính năng, công dụng nhưng nó sẽphát huy trong tương lai hệ của từng ngân hàng

2.1.3 Chú trọng chất lượng về nhân sự

Ngành ngân hàng Việt Nam đã nhận thức rõ được xu thế hội nhập hiệnnay, ngoài việc thiết lập một hệ thống cơ sở hạ tầng hiện đại, vấn đề đào tạonguồn nhân lực chuyên nghiệp, có khả năng sử dụng CNTT và có kiến thứ vêCNTT hiện đại trong ngành ngân hàng càng trở nên cần thiết Thực tế hiện nay

là nguồn cán bộ làm công tác CNTT tại các ngân hàng chủ yếu được đào tạotheo 2 hình thức:

- Thứ 1, những người được đào tạo chuyên về CNTT , sau về công tác tạicác ngân hàng được cử đi đào tạo thêm về kiến thức kinh tế và nghiệp vụ.

- Thứ 2, các cử nhân kinh tế/ngân hàng sau một thời gian công tác tạingân hàng được cử đi học thêm về CNTT

Cả hai loai hình đào tạo này đều có chung nhược điểm là lãng phí về mặtthời gian và chi phí cũng như thiếu tính chuyên nghiệp Tuy nhiên, để đáp ứngnhu cầu trước mắt, đây cũng là giải pháp tạm thời khắc phục tình trạng thiếu hụt

số lượng nhân viên CNTT trong quá trình phát triển dịch vụ NHĐT Do vậy, cần

sự phối hợp chặt chẽ giữa 2 lĩnh vực ngân hàng và CNTT để có thể:

 Nâng cao trình độ công nghệ thông tin của nhân viên nghiệp vụ và nhà quản trị các ngân hàng, giúp họ có khả năng chủ động định hướng, lựa chọn những công nghệ mới nhất cho ngân hàng

 Bối dưỡng kiến thức vê kinh tế, nghiệp vụ ngân hàng, cập nhật kiến thức CNTT hiện đại cho các chuyên viên CNTT trong toàn ngành ngân hàng để có thể ứng dụng những công nghệ mới nhất trong ngành ngân hàng

Bên cạnh kiến thức chuyên môn, tuyển mộ đội ngũ nhân viên có phẩmchất đạo đức tốt cũng là một trong những biện pháp giúp ngân hàng có thể pháttriển hoạt động NHĐT một cách an toàn và tốt nhất Bởi lẽ, dù cho công nghệ cóhiện đại đến đâu thì một khâu nào đó trong quá trình xử lý cũng phải có tác độngcủa bàn tay con người Cho nên ngoài việc đầu tiên cần làm là hiện đại hóa đếnmức giảm thiểu một cách tối đa những tác động đó trong quá trình xử lý, việctiếp theo đối với những khâu, những bước không thể tự động hóa được thì cầnphải có những nhân viên trung thực và có tinh thần trách nhiệm cao trong côngviệc đảm nhiệm, sau đó mới đến khâu kiểm tra, kiểm soát để đảm bảo khôngmột sự gian lận nào có thể thực hiện được

2.1.4 Thiết lập cơ chế giám sát quản lý rủi ro hiệu quả

- Khi xem xét các dự án E-banking, nhà quản lý cần phải phân tích kỹ,đánh giá đúng sự ảnh hưởng đến chiến lược phát triển, quản lý rủi ro của ngânhàng Nếu đánh giá quá thấp ảnh hưởng của dự án, ngân hàng có thể sẽ gặp

nhiều rủi ro; nếu đánh giá quá cao thì chi phí ngân hàng phải trả cho đầu tư banđầu để xây dựng E-banking sẽ tăng

- Thực hiện E-banking, các nhà quản lý và cán bộ ngân hàng cần nhậnthức đầy đủ tính chất phức tạp của các ứng dụng E-banking và phải có kiến thứcnhất định về kỹ thuật, công nghệ ngân hàng Điều này là cần thiết cho dù các hệthống và các dịch vụ E-banking của ngân hàng đó được quản lý trực tiếp haythuê dịch vụ của bên thứ ba Các quy trình giám sát cần được thực hiện thườngxuyên, hiệu quả nhằm phát hiện và xử lý kịp thời bất kỳ rủi ro phát sinh hay mọixâm nhập bất hợp pháp có thể xuất hiện trong các hệ thống E-banking

- Các quy trình quản lý rủi ro đối với các hoạt động E-banking phải đượctích hợp trong cơ chế quản lý rủi ro chung của ngân hàng Đồng thời các chínhsách và quy trình quản lý rủi ro của ngân hàng cần được thường xuyên xem xétđánh giá, chỉnh sửa, nâng cấp kịp thời nhằm đảm bảo tính phù hợp và đủ khảnăng xử lý những rủi ro mới phát sinh trong các hoạt động E-banking ở thờiđiểm hiện tại cũng như trong tương lai Những nội dung cần xem xét gồm:

+ Đánh giá rủi ro liên quan đến E-banking của các tổ chức ngân hàng.+ Thiết lập cơ chế báo cáo, quy trình, lịch trình công việc bảo đảm côngtác an ninh và quản lý các hoật động ngân hàng được thực hiện một cách hợp lý(hẳng hạn như: sự xâm nhập mạng trái phép, vi phạm bảo mật của nhân công vàmọi sự lạm dụng thái quá trong việc sử dụng máy tính)

+ Phát hiện các nhân tố tiềm ẩn rủi ro để từ đó đưa ra các phương án bảođảm an ninh, tính toàn vẹn và nguyên bản của các sản phẩm, dịch vụ E-banking

- Đối với việc triển khai các hoạt động E-banking quốc tế, cần tìm hiểu

kỹ các quy định pháp lý của các quốc gia liên quan về việc đăng ký kinh doanh,đăng ký sản phẩm, giám sát và các yêu cầu bảo vệ khách hàng và thực hiện phântích các nhân tố rủi ro liên quan trước khi thực hiện

- Quy mô và cấu trúc của quy trình quản lý rủi ro của mỗi ngân hàng cóthể khác nhau phụ thuộc vào quy mô và tính phức tạp của các hoạt động E –

Banking tương xứng với chức năng giao dịch và tầm quan trọng của các hệthống, sự ảnh hưởng của mạng và tính nhạy cảm của thông tin được xử lý.

2.2 Về quản trị rủi ro hoạt động

2.1.2 Đánh giá và phê duyệt các nội dung cơ bản của quy trình kiểm soát bảo mật của ngân hàng.

Hệ thống kiểm soát bảo mật của ngân hàng cần được thường xuyên nângcấp và duy trì liên tục để bảo đảm an toàn các hệ thống công nghệ và dữ liệu E –Banking, tránh các hiểm hoạ phát sinh từ nội bộ hoặc từ bên ngoài Điều này cónghĩa là cần phải thiết lập việc phân quyền hợp lý, kiểm soát truy cập logic và

dữ liệu chặt chẽ, kiểm soát an ninh cơ sở hạ tầng nghiêm ngặt nhằm duy trì giớihạn cho phép đối với cả người sử dụng nội bộ lẫn bên ngoài

E-banking có tốc độ phát triển nhanh chóng trong môi trường Internet; đểbảo đảm kiểm soát bảo mật hiệu quả đối với các hoạt động E-banking, Ngânhàng cần phải xây dựng quy trình bảo mật toàn diện, bao gồm các chính sách,các thủ tục và chỉ ra những mối đe doạ tiềm ẩn Các yếu tố cơ bản của một quytrình bảo mật E – Banking gồm:

• Phân công nhiệm vụ cho từng người quản lý/chuyên viên trong việcgiám sát việc thiết lập và duy trì các chính sách bảo mật

• Kiểm soát dữ liệu, kiểm soát lôgic và giám sát chặt chẽ các quy trìnhnhằm ngăn chặn truy cập trái phép từ bên trong và bên ngoài đến CSDL và cácứng dụng E-banking

• Thường xuyên kiểm tra và đánh giá các giải pháp, các quy trình kiểmsoát bảo mật ở các khâu; phát triển các giải pháp bảo mật, nâng cấp các phầnmềm, các gói dịch vụ và những phương pháp cần thiết khác

2.1.3 Quan tâm đúng mức và thiết lập quy trình giám sát các quan hệ với bên ngoài và các sản phẩm của đối tác hỗ trợ hoạt động E-banking (bên thứ 3).

Ngân hàng tin tưởng vào các đối tác và các nhà cung cấp dịch vụ nhằmtriển khai các chức năng quan trọng của E-banking, nhưng trong số đó nhiềuchức năng, sản phẩm nằm ngoài sự kiểm soát trực tiếp của ngân hàng Vì vậy,cần thiết phải có một quy trình quản lý rủi ro tổng thể đối với các hoạt động củacác đối tác và các nhà cung ứng dịch vụ.

Trong xu thế hội nhập quốc tế và toàn cầu hoá, các mối quan hệ của ngânhàng với bên ngoài có xu hướng tăng cả về quy mô và tính phức tạp do sự pháttriển của CNTT và E-banking Hơn nữa, các dịch vụ E-banking ngày càng hiệnđại, tất yếu càng phụ thuộc vào các đối tác công nghệ

Những vấn đề liên quan đến nghiên cứu rủi ro và những khả năng giámsát quản lý rủi ro của ngân hàng đối với bên thứ 3 gồm:

• Phải lường trước những rủi ro có thể phát sinh khi tham gia hợp tác vớicác đối tác tham gia triển khai các ứng dụng và hệ thống E-banking

• Đánh giá năng lực và khả năng tài chính của nhà cung ứng dịch vụtrước khi ký kết hợp đồng thực hiện dịch vụ E-banking

• Hợp đồng cần phải xác định rõ trách nhiệm của của tất cả các bên thamgia

• Chính sách bảo mật và cơ chế quản lý rủi ro của các hệ thống E –Banking liên quan phải đáp ứng được yêu cầu, tiêu chuẩn của chính ngân hàng

• Công tác thẩm kế nội bộ và/hoặc kiểm toán độc lập phải được thực hiệntheo định kỳ

• Có các phương án cụ thể khả thi, kế hoạch dự phòng thích hợp đối vớicác hoạt động E-banking

2.2.1 Xác thực và phân quyền cho khách hàng khi thực hiện giao dịch qua Internet

- Sử dụng các phương pháp tin cậy để nhận dạng và kiểm tra quyền hạncủa khách hàng, giám sát các hoạt động của khách hàng trong suốt thời gian

kích hoạt tài khoản là một trong những công việc cần thiết để giảm thiểu rủi ro

về thông tin của khách hàng bị đánh cắp, giả mạo hoặc các chuyển tiền bất hợppháp

- Có thể sử dụng một số phương pháp xác thực: số PIN, mật khẩu, smartcard, sinh trắc học và chứng thực số Quá trình thực hiện có thể kết hợp một vàinhân tố trên với nhau để làm tăng độ an toàn Thông qua việc đánh giá nhữngrủi ro tiềm ẩn của hệ thống E – Banking để lựa chọn phương pháp xác thực thíchhợp

2.2.2 Xác thực giao dịch, hạn chế việc thoái thác và thiết lập giải trình cho các giao dịch E-banking

Sử dụng xác thực giao dịch là phương pháp hiệu quả nhằm hạn chế việcthoái thác trong giao dịch E-banking; bằng cách tạo ra chứng cứ nguồn gốcnhằm bảo vệ người gửi (nhận) thông tin chống lại việc phủ nhận của người nhận(gửi) thông tin dữ liệu đó bằng cách:

• Tất cả những bên tham gia vào giao dịch đều được xác thực và việc kiểmsoát cần được duy trì qua kênh đã được xác thực

• Dữ liệu giao dịch tài chính cần được bảo vệ chống lại sự thay đổi bấthợp pháp và nếu có sự thay đổi, phải được kiểm soát, phát hiện

• Hệ thống E-banking được thiết kế nhằm giảm thiểu những rủi ro cho các

cá nhân đã được cấp quyền tham gia giao dịch, cũng như những thông tin cầnthiết giúp cho khách hàng hiểu rõ những rủi ro tiềm ẩn khi tham gia giao dịchvới hệ thống

Hiện nay, nhiều tổ chức ngân hàng đã đầu tư hoặc thuê các hạ tầng kỹthuật nhằm ngăn chặn các hành vi thoái thác và đảm bảo tính bảo mật, toàn vẹncủa các giao dịch điện tử, ví dụ như hệ thống chứng thực số với công nghệ mãkhoá công khai (PKI) Ngân hàng có thể phát hành chứng thực số cho kháchhàng hoặc các đối tác nhằm cấp cho họ quyền sử dụng và hạn chế rủi ro thoáithác giao dịch

2.2.3 Tách biệt nhiệm vụ trong các hệ thống, CSDL và các ứng dụng E-banking

Tách biệt nhiệm vụ là một phương pháp kiểm soát nội bộ được thiết kếvới mục đích giảm thiểu rủi ro gian lận trong các tiến trình và trong các hệ thốnghoạt động Tách biệt nhiệm vụ sẽ bảo đảm sự chính xác và tính toàn vẹn của dữliệu, ngăn chặn những hành động bất hợp pháp của mỗi cá nhân Nếu các nhiệm

vụ được tách biệt một cách hiệu quả, các hành động gian lận chỉ có thể xảy rakhi có sự thông đồng Đối với một CSDL bảo mật yếu kém, việc truy cập có thểđược thực hiện dễ dàng hơn thông qua mạng nội bộ và mạng bên ngoài, vì vậycác thủ tục xác thực và nhận dạng, kiến trúc an toàn, tính hợp lý của các quytrình và công tác lưu vết cần phải được chú trọng

Một số biện pháp để thiết lập và duy trì tách biệt nhiệm vụ trong môitrường E-banking:

• Xử lý các giao dịch và hệ thống cần phải được thiết kế sao cho khôngmột bên cung ứng dịch vụ có thể tham gia, hoàn tất các bước xử lý một giaodịch

• Mọi hệ thống E-banking cần phải được kiểm tra nhằm bảo đảm rằngviệc tách biệt nhiệm vụ không bị bỏ qua

• Tách biệt nhiệm vụ cần phải được duy trì giữa sự phát triển và quản lýcác hệ thống E-banking

2.2.4 Kiểm soát quyền và phân quyền đối với các hệ thống, CSDL và các ứng dụng E-banking

Để duy trì giải pháp tách biệt nhiệm vụ, các ngân hàng cần phải thực hiệnkiểm soát chặt chẽ chức năng kiểm soát và phân quyền truy cập Nếu có bất kỳsai sót nào trong việc kiểm soát quyền sẽ dẫn đến việc truy cập trái phép và gâyhậu quả xấu đến ngân hàng và khách hàng

Trong các hệ thống E-banking, quyền truy cập được thiết lập và phân phốitheo phương thức tập trung hóa và thường được lưu lại trong CSDL CSDL nàyđược bảo vệ cẩn thận sẽ giúp cho ngân hàng kiểm soát quyền một cách hiệu quả

2.2.5 Bảo vệ tính toàn vẹn dữ liệu của các giao dịch, bản ghi và thông tin banking

E-Bảo vệ tính toàn vẹn dữ liệu trong giao dịch E – Banking được hiểu làthông tin trong trạng thái chuyển đi hay lưu lại sẽ không bị thay đổi nếu khôngđược phép Nếu tính toàn vẹn dữ liệu của các giao dịch, bản ghi và thông tin E-banking bị vi phạm, sẽ dẫn đến các rủi ro về tài chính, pháp lý và uy tín

Thông thường giai đoạn đầu triển khai E – Banking, có thể xảy ra lỗichương trình phần mềm hoặc một số tính huống (kỹ thuật hoặc thủ tục pháp lý)phát sinh ngoài tiên liệu Do đó, các ngân hàng cần triển khai xây dựng, hoànthiện và tuân thủ quy trình khi thực hiện, đảm bảo an toàn các giao dịch, phùhợp và toàn vẹn dữ liệu

Các giao dịch E-banking thường được truyền qua mạng công cộng, nên dễgặp rủi ro; cho nên ngân hàng cần phải có giải pháp bảo đảm tính chính xác, tínhtoàn vẹn và sự tin cậy của các giao dịch, bản ghi và thông tin Một số biện pháp

để bảo vệ tính toàn vẹn dữ liệu trong môi trường E-banking:

• Các giao dịch, bản ghi của E-banking cần được lưu lại, được kiểm tra vàthay đổi bằng một phương thức tối ưu nhất nhằm hạn chế truy cập trái phéptrong suốt toàn bộ quá trình xử lý

• Giao dịch E-banking và các quy trình lưu bản ghi phải được thực hiệntrong môi trường kỹ thuật công nghệ hiện đại, đủ điều kiện kiểm soát, ngăn chặncác truy cập trái phép, hạn chế rủi ro

• Các chính sách kiểm soát cần được thay đổi hợp lý, nhằm ngăn chặnnhững thay đổi trái phép hệ thống E-banking, những thay đổi này có thể ảnhhưởng tiêu cực đến quá trình kiểm soát hoặc độ tin cậy của dữ liệu

• Bất kỳ những lỗi hay sự thay đổi nào trong bản ghi hoặc giao dịch E –Banking, phải được kiểm soát qua chức năng xử lý, giám sát giao dịch

2.2.6 Lưu vết đối với quá trình giao dịch E-banking

Việc tuân thủ quy định kiểm soát nội bộ sẽ khó khăn hơn đối với các giaodịch ngân hàng điện tử qua Internet Các ngân hàng không chỉ chịu áp lực trongviệc đảm bảo hoạt động kiểm soát nội bộ trong các môi trường tự động cao, màcòn chịu áp lực trong việc duy trì tính độc lập của hoạt động kiểm soát, đặc biệtvới các ứng dụng và các hoạt động E-banking chủ chốt

Duy trì việc kiểm soát lưu vết đối với các hoạt động E-banking sẽ làm tăngvai trò kiểm soát nội bộ của một ngân hàng Những loại giao dịch E-banking saucần được lưu vết:

• Mở, thay đổi hoặc đóng tài khoản của khách hàng;

• Mọi giao dịch liên quan đến kết quả tài chính;

• Mọi sự hỗ trợ, chuyển đổi hay hủy bỏ quyền truy cập hệ thống

2.2.7 Bảo mật thông tin E-banking quan trọng, thông tin có tính nhạy cảm được chuyền và/hoặc lưu trong CSDL

Bảo mật có nghĩa là giữ cho các thông tin quan trọng không bị rò rỉ vàkhông bị truy cập trái phép Sự xuất hiện của E-banking cũng đồng nghĩa vớinhững thách thức về bảo mật thông tin sẽ tăng thêm Bởi vì khi truyền qua mạngInternet hoặc lưu trữ trong CSDL, thông tin dễ bị truy cập trái phép Hơn nữatrong thời đại ứng dụng công nghệ, sự phụ thuộc ngày càng gia tăng đối với cácđối tác, các nhà cung ứng dịch vụ có thể là nguyên nhân gây rò rỉ các dữ liệuquan trọng của ngân hàng

Mục tiêu của việc bảo mật thông tin E – Banking:

• Tất cả dữ liệu ngân hàng và các bản ghi được bảo mật, chỉ có các cánhân, tổ chức hoặc hệ thống được cấp quyền sử dụng mới được truy cập;

• Mọi dữ liệu ngân hàng bảo mật phải được duy trì bởi hệ thống bảo mật

và được bảo vệ tránh bị truy cập, thay đổi trái phép trong suốt thời gian truyềntrên mạng;

• Ngân hàng phải kiểm soát việc sử dụng và bảo vệ dữ liệu trong suốt quátrình bên thứ 3 truy cập đến dữ liệu ngân hàng thông qua các quan hệ ngoàiluồng;

• Mọi truy cập đến dữ liệu có kiểm soát, phải được cài đặt, sử dụng mậtkhẩu để tránh truy cập trái phép

2.3 Về quản trị rủi ro về pháp lý và uy tín

2.3.1 Cung cấp đầy đủ thông tin về ngân hàng

Để các khách hàng tiềm năng không phải đoán mò khi kết luận về địa vịpháp lý và tình trạng của ngân hàng trước khi tham gia vào các giao dịch ngânhàng điện tử nhằm tránh rủi ro uy tín, các ngân hàng nên đảm bảo cung cấp đầy

đủ thông tin trên website, ví dụ như:

 Tên ngân hàng và địa chỉ trụ sở chính (và các chi nhánh nếu có thể)

 Cơ quan giám sát ngân hàng có thẩm quyền và trách nhiệm giám sáttrụ sở chính của ngân hàng

 Phương thức liên hệ với trung tâm dịch vụ khách hàng về những vấn

đề về dịch vụ, khiếu nại, nghi ngờ tài khoản bị sử dụng sai mục đích

 Phương thức tiếp cận và sử dụng công cụ khiếu tố hoặc chương trìnhkhiếu nại của khách hàng

 Phương thức tiếp cận thông tin về việc bồi hoàn hoặc mức bảo hiểmtiền gửi và mức độ bảo vệ dành cho khách hàng (hoặc đường dẫn đến cácwebsite cung cấp những thông tin này)

 Các thông tin cần thiết khác hoặc theo yêu cầu của pháp luật

2.3.2 Đáp ứng các yêu cầu của khách hàng, phù hợp về mặt pháp lý

Bảo mật thông tin riêng của khách hàng là nhiệm vụ quan trọng của mỗingân hàng khi thực hiện E-banking Để có thể đáp ứng được những thách thứcliên quan đến việc bảo mật thông tin cho khách hàng, các ngân hàng cần phảibảo đảm rằng: