(Luận văn thạc sĩ) quản trị rủi ro trong hoạt động ngân hàng điện tử tại ngân hàng thương mại cổ phần á châu

Phương pháp nghiên cứu Dựa trên cơ sở lý luận cơ bản về quản trị rủi ro hoạt động ngân hàng điện tử và kết hợp với các phương pháp như: thu thập phiếu khảo sát nhân viên ACB; thống kê k

NGUYỄN HOÀNG YẾN

QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI NGÂN HÀNG THƯƠNG ẠI

CỔ PHẦN Á CHÂU

LUẬN VĂN THẠC SĨ KINH TẾ Chuyên ngành: Kinh tế tài chính Ngân hàng

MÃ SỐ: 60.31.12 Người hướng dẫn khoa học: PGS., TS Lê Phan Thị Diệu Thảo

TP Hồ Chí Minh- Năm 2013

LỜI CAM ĐOAN

Tác giả luận văn có lời cam đoan danh dự về công trình khoa học này của mình,

cụ thể:

Tôi tên là: NGUYỄN HOÀNG YẾN

Sinh ngày 01 tháng 10 năm 1988 tại TP HCM

Quê quán: TP HCM

Hiện cư ngụ tại: 88/11/6 Nguyễn Khoái, Phường 2, Quận 4, TP HCM

Hiện công tác tại: Ngân hàng TMCP Á Châu – PGD Tôn Đản

Là học viên cao học khóa 13 của Trường Đại học Ngân hàng TP.HCM

Cam đoan đề tài: “Quản trị rủi ro trong hoạt động ngân hàng điện tử tại ngân hàng thương mại cổ phần Á Châu”

Người hướng dẫn khoa học: PGS., TS Lê Phan Thị Diệu Thảo

Luận văn được thực hiện tại Trường Đại học Ngân hàng TP.HCM

Đề tài này là công trình nghiên cứu của riêng tôi, các kết quả nghiên cứu có tính độc lập riêng, không sao chép bất kỳ tài liệu nào và chưa được công bố toàn bộ nội dung này bất kỳ ở đâu; các số liệu, các nguồn trích dẫn trong luận văn được chú thích nguồn gốc rõ ràng, minh bạch

Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan danh dự của tôi

TP.HCM, ngày 01 tháng 10 năm 2013

Tác giả

Nguyễn Hoàng Yến

MỤC LỤC

Số trang

Lời cam đoan i

Mục lục ii

Danh mục từ viết tắt vi

Danh mục các sơ đồ, biểu đồ và bảng biểu vii

Lời mở đầu viii

CHƯƠNG 1: QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ

Error! Bookmark not defined 1.1 Khái niệm hoạt động ngân hàng điện tử Error! Bookmark not defined 1.2 Dịch vụ ngân hàng điện tử Error! Bookmark not defined 1.2.1 Thanh toán qua ATM Error! Bookmark not defined 1.2.2 Thanh toán qua POS Error! Bookmark not defined 1.2.3 Phone banking Error! Bookmark not defined 1.2.4 Mobile banking Error! Bookmark not defined 1.2.5 Home banking Error! Bookmark not defined 1.2.6 Internet banking Error! Bookmark not defined 1.2.7 Kiosk banking Error! Bookmark not defined 1.3 Nhận diện rủi ro hoạt động ngân hàng điện tử Error! Bookmark not

defined

1.3.1 Rủi ro chiến lược Error! Bookmark not defined 1.3.2 Rủi ro uy tín Error! Bookmark not defined 1.3.3 Rủi ro tác nghiệp Error! Bookmark not defined 1.3.4 Rủi ro tín dụng Error! Bookmark not defined 1.3.5 Rủi ro thanh khoản Error! Bookmark not defined.

1.3.6 Rủi ro thị trường Error! Bookmark not defined 1.4 Nguyên tắc quản trị rủi ro hoạt động ngân hàng điện tử Error! Bookmark

1.5 Kinh nghiệm tại một số nước trên thế giới về quản trị rủi ro hoạt động

ngân hàng điện tử Error! Bookmark not defined 1.5.1 Tại Malaysia Error! Bookmark not defined 1.5.2 Tại Singapore Error! Bookmark not defined 1.5.3 Tại Mỹ Error! Bookmark not defined 1.5.4 Bài học kinh nghiệm cho ACB Error! Bookmark not defined Kết luận chương 1 Error! Bookmark not defined.

CHƯƠNG 2: THỰC TRẠNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN

HÀNG ĐIỆN TỬ TẠI NGÂN HÀNG TMCP Á CHÂU Error! Bookmark not

defined

2.1 Hoạt động ngân hàng điện tử tại ngân hàng TMCP Á Châu (ACB) Error!

Bookmark not defined

2.1.1 Giới thiệu ACB Error! Bookmark not defined 2.1.2 Trung tâm ngân hàng điện tử tại ACB Error! Bookmark not

defined

2.1.2.1 Chức năng của trung tâm ngân hàng điện tử Error! Bookmark

not defined

2.1.2.2 Cơ cấu tổ chức tại trung tâm ngân hàng điện tử của ACB Error!

Bookmark not defined

2.1.3 Dịch vụ ngân hàng điện tử tại ACB Error! Bookmark not defined 2.1.3.1 Internet service Error! Bookmark not defined 2.1.3.2 Mobile Service Error! Bookmark not defined 2.1.3.3 SMS service Error! Bookmark not defined.

2.1.3.4 Phone Service Error! Bookmark not defined 2.1.4 Kết quả kinh doanh ngân hàng điện tử Error! Bookmark not

defined

2.2 Thực trạng quản trị rủi ro hoạt động ngân hàng điện tử tại ACB Error!

Bookmark not defined

2.2.1 Tổ chức bộ máy quản trị rủi ro hoạt động ngân hàng điện tử Error!

Bookmark not defined

2.2.2 Nhận diện rủi ro hoạt động ngân hàng điện tử Error! Bookmark not

2.2.4.2 Quản trị rủi ro trong giao dịch với khách hàng Error!

Bookmark not defined

2.2.4.3 Quản trị rủi ro với bên thứ ba Error! Bookmark not defined 2.2.4.4 Quản trị rủi ro trong các trường hợp xảy ra sự cố Error!

Bookmark not defined

2.3 Khảo sát chất lượng quản trị rủi ro hoạt động ngân hàng điện tử tại ACB

Error! Bookmark not defined 2.3.1 Nghiên cứu định tính Error! Bookmark not defined 2.3.2 Nghiên cứu định lượng Error! Bookmark not defined 2.3.2.1 Thực hiện kiểm định chất lượng thang đo Error! Bookmark

not defined

2.3.2.2 Thực hiện phân tích nhân tố khám phá Error! Bookmark not

defined

2.3.2.3 Phân tích hồi quy đa biến Error! Bookmark not defined.

2.4 Ứng dụng mô hình SWOT đánh giá quản trị rủi ro hoạt động ngân hàng

điện tử tại ACB Error! Bookmark not defined 2.4.1 Điểm mạnh Error! Bookmark not defined.

2.4.2 Điểm yếu Error! Bookmark not defined 2.4.3 Cơ hội Error! Bookmark not defined 2.4.4 Thách thức Error! Bookmark not defined Kết luận chương 2 Error! Bookmark not defined.

CHƯƠNG 3: GIẢI PHÁP HOÀN THIỆN HOẠT ĐỘNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI NGÂN HÀNG TMCP Á CHÂU

Error! Bookmark not defined.

3.1 Định hướng hoạt động quản trị rủi ro hoạt động ngân hàng điện tử tại

ACB Error! Bookmark not defined 3.1.1 Định hướng phát triển của ACB đến năm 2015 Error! Bookmark not

defined

3.1.2 Định hướng quản trị rủi ro hoạt động ngân hàng điện tử tại ACB đến

năm 2015 Error! Bookmark not defined.

3.2 Giải pháp hoàn thiện công tác quản trị rủi ro hoạt động ngân hàng điện tử

tại ACB Error! Bookmark not defined.

3.2.1 Về tổ chức bộ máy quản trị rủi ro hoạt động ngân hàng điện tử (S2,

S3, W1) Error! Bookmark not defined.

3.2.2 Về quy trình, cơ chế quản trị rủi ro hoạt động ngân hàng điện tử (S1,

S6, W5, W6, W7) Error! Bookmark not defined 3.2.3 Về an toàn, bảo mật (S4, S5, O2, T3, T4, W2, W3, W4) Error!

Bookmark not defined

3.2.4 Về nguồn nhân lực (O2, T2, W1) Error! Bookmark not defined 3.2.5 Về nâng cao nhận thức khách hàng (W3, T1) Error! Bookmark not

Phụ lục

DANH MỤC TỪ VIẾT TẮT

ACB Ngân hàng thương mại cổ phần Á Châu

ATM Automated Teller Machine, máy rút tiền tự động

Mật khẩu dùng một lần POS Point of sale, điểm chấp nhận thẻ

TMCP Thương mại cổ phần

DANH MỤC CÁC SƠ ĐỒ, BIỂU ĐỒ VÀ BẢNG BIỂU

Sơ đồ 2.1: Sơ đồ tổ chức tại trung tâm ngân hàng điện tử 32

Sơ đồ 2.2: Ban quản trị rủi ro hoạt động ngân hàng điện tử 41

BIỂU ĐỒ Biểu đồ 2.1: Số lượng hợp đồng các loại dịch vụ ngân hàng điện tử tính đến tháng 6/2013 40

Biểu đồ 2.2: Kết quả kiểm tra kiến thức nhân viên về hoạt động ngân hàng điện tử BẢNG BIỂU Bảng 2.1: Internet service dành cho khách hàng cá nhân 35

Bảng 2.2: Internet service dành cho khách hàng doanh nghiệp 35

Bảng 2.3: Mobile service dành cho khách hàng cá nhân 36

Bảng 2.4: Kết quả kinh doanh hoạt động ngân hàng điện tử 39

Bảng 2.5: Các biến đặc trưng và thang đo chất lượng tốt 54

Bảng 2.6: Các biến của nhân tố 55

Bảng 2.7: Mối quan hệ giữa biến độc lập và biến phụ thuộc 57

Bảng 2.8: Vị trí quan trọng của các yếu tố 57

LỜI MỞ ĐẦU

1 Lý do lựa chọn đề tài

Phát triển các dịch vụ của ngân hàng điện tử là xu hướng tất yếu, mang tính khách quan trong nền kinh tế hiện đại, trong thời đại hội nhập kinh tế quốc tế Lợi ích đem lại của ngân hàng điện tử là rất lớn cho khách hàng, ngân hàng và cho nền kinh tế, nhờ tính tiện ích, tiện lợi, nhanh chóng, chính xác và bảo mật Sự ảnh hưởng của nó không chỉ tác động đến lợi ích của ngân hàng mà còn tác động tới người tiêu dùng và tổng thể nền kinh tế Chính vì thế nó đang chiếm vị thế quan trọng trong công cuộc phát triển của các ngân hàng thương mại nói chung

Một trong những yếu tố ảnh hưởng đến sự phát triển dịch vụ ngân hàng điện tử là yếu

tố rủi ro gặp phải trong hoạt động ngân hàng điện tử Những rủi ro trong hoạt động ngân hàng điện tử đã tạo nên tâm lý e ngại cho các ngân hàng cũng như khách hàng Nếu không xây dựng được hệ thống quản trị rủi ro hiệu quả thì sẽ không nhận định, phân loại rủi ro và không có hướng xử lý kịp thời để khắc phục rủi ro gây tổn thất cho khách hàng và ngân hàng Chính vì vậy, nghiên cứu thực trạng và tìm ra những giải pháp nâng cao năng lực quản trị rủi ro trong hoạt động ngân hàng điện tử là điều mà ngành ngân hàng Việt Nam nói chung và các ngân hàng thương mại nói riêng luôn hướng tới

Vì tác giả nhận thấy sự cần thiết, lợi ích cũng như tầm quan trọng của vấn đề trên nên

tác giả quyết định chọn đề tài: “Quản trị rủi ro trong hoạt động ngân hàng điện tử tại

Ngân hàng TMCP Á Châu” làm đề tài nghiên cứu luận văn

2 Mục tiêu nghiên cứu đề tài

Luận văn này được thực hiện nhằm hệ thống hóa những cơ sở khoa học chung nhất về quản trị rủi ro trong hoạt động ngân hàng điện tử, đánh giá về thực trạng quản trị rủi ro

hoạt động ngân hàng điện tử tại ACB và đề xuất các giải pháp hoàn thiện công tác quản trị rủi ro hoạt động ngân hàng điện tử tại ACB

3 Đối tượng, phạm vi nghiên cứu

Công tác quản trị rủi ro hoạt động ngân hàng điện tử bao gồm 4 nội dung là: nhận diện rủi ro; đo lường, đánh giá rủi ro; phòng ngừa, hạn chế rủi ro và theo dõi, giám sát rủi

ro Tuy nhiên, do thời gian nghiên cứu có hạn nên luận văn tập trung nghiên cứu 2 nội dung là nhận diện và hạn chế rủi ro hoạt động ngân hàng điện tử tại ACB Các số liệu được sử dụng trong phần thực trạng tại ACB là từ năm 2010 đến tháng 6 năm 2013

4 Phương pháp nghiên cứu

Dựa trên cơ sở lý luận cơ bản về quản trị rủi ro hoạt động ngân hàng điện tử và kết hợp với các phương pháp như: thu thập phiếu khảo sát nhân viên ACB; thống kê kết quả hoạt động kinh doanh dịch vụ ngân hàng điện tử; xử lý thông tin thu thập được; sử dụng phần mềm SPSS để phân tích, từ đó tác giả đưa ra những nhận xét, đánh giá về chất lượng quản trị rủi ro hoạt động ngân hàng điện tử tại ACB và rút ra những bài học kinh nghiệm cho ACB từ các ngân hàng nước ngoài

Bên cạnh đó, tác giả sử dụng mô hình phân tích SWOT để phân tích những điểm mạnh, điểm yếu, cơ hôi, thách thức đối với ACB từ đó đề xuất giải phải nhằm hoàn thiện công tác quản trị rủi ro hoạt động ngân hàng điện tử tại ACB

5 Những kết quả mới đạt được trong nghiên cứu

Qua tham khảo các đề tài “Quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam” của Phạm Thanh Giang, năm 2007, tác giả nhận thấy tác giả đi trước chỉ tập trung nghiên cứu 2 nội dung là nhận diện và hạn chế rủi ro chiến lược, rủi ro hoạt động, rủi ro uy tín và rủi ro pháp lý trong dịch vụ ngân hàng điện tử Đề tài “Hạn chế rủi ro giao dịch trong Internet banking tại các ngân hàng thương mại Việt Nam” của Nguyễn Thị Thanh Thúy, năm 2008, thì chỉ nghiên cứu những rủi ro trong Internet banking và

chỉ nghiên cứu về rủi ro giao dịch chứ chưa nghiên cứu toàn bộ hoạt động ngân hàng điện tử và các loại rủi ro khác liên quan đến Internet banking

Điểm mới của luận văn là tác giả nghiên cứu dựa trên cơ sở lý thuyết của Basel nhận diện các rủi ro trong hoạt động ngân hàng điện tử một các toàn diện, bao gồm: rủi ro chiến lược, rủi ro uy tín, rủi ro tác nghiệp, rủi ro tín dụng, rủi ro thanh khoản, rủi ro thị trường và nêu lên các nguyên tắc quản trị rủi ro hoạt động ngân hàng điện tử Bên cạnh

đó, tác giả cũng nêu lên thực trạng các nguyên tắc quản trị rủi ro hoạt động ngân hàng điện tử tại ACB, định lượng được chất lượng quản trị rủi ro hoạt động ngân hàng điện

tử tại ACB, từ đó xây dựng mô hình SWOT đánh giá trong công tác quản trị và có giải pháp để hạn chế rủi ro trong hoạt động ngân hàng điện tử tại ACB

6 Kết cấu đề tài

Chương 1: QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ

Chương 2: THỰC TRẠNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG ĐIỆN

TỬ TẠI NGÂN HÀNG TMCP Á CHÂU

Chương 3: GIẢI PHÁP HOÀN THIỆN HOẠT ĐỘNG QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI NGÂN HÀNG TMCP Á CHÂU

CHƯƠNG 1: QUẢN TRỊ RỦI RO HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ

1.1 Khái niệm hoạt động ngân hàng điện tử

Ngân hàng điện tử (E-banking) 1

là việc cung cấp các sản phẩm và dịch vụ ngân hàng bán lẻ có giá trị thấp thông qua các kênh điện tử cũng như các dịch vụ thanh toán điện

tử có giá trị lớn và các dịch vụ ngân hàng bán buôn được cung cấp qua kênh điện tử Những sản phẩm và dịch vụ ngân hàng điện tử cung cấp cũng bao gồm các hoạt động ngân hàng truyền thống như việc truy cập thông tin tài chính, đi vay và mở tài khoản tiền gửi cũng như các sản phẩm và dịch vụ khá mới như dịch vụ thanh toán hóa đơn điện tử…

Hiện nay, có nhiều quan điểm đồng nhất Internet banking với E-banking Thực chất Internet banking chỉ là một bộ phận của E-banking Dịch vụ ngân hàng điện tử hiểu theo nghĩa trực quan đó là một loại dịch vụ ngân hàng được khách hàng thực hiện nhưng không phải đến quầy giao dịch gặp nhân viên ngân hàng Hiểu theo nghĩa rộng hơn đây là sự kết hợp giữa một số hoạt động dịch vụ ngân hàng truyền thống với công nghệ thông tin và điện tử viễn thông E-banking là một dạng của thương mại điện tử (electronic commerce hay e-commerce) ứng dụng trong hoạt động kinh doanh ngân hàng Cũng có thể hiểu cụ thể hơn, E-banking là một hệ thống phần mềm tin học cho phép khách hàng có thể tìm hiểu thông tin hay thực hiện một số giao dịch ngân hàng thông qua phương tiện điện tử công nghệ thông tin, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện tử hoặc công nghệ tương tự Tuy nhiên, thực tế đã cho thấy, với tính chất bảo mật không cao, dịch vụ Internet banking vẫn còn được cung cấp hạn chế và đòi hỏi quá trình xác nhận giao dịch phức tạp hơn

1.2 Dịch vụ ngân hàng điện tử

Hiện nay trên thị trường đã xuất hiện khá đa dạng các dịch vụ ngân hàng điện tử, mỗi dịch vụ có những tính năng và tiện ích riêng Tuy nhiên, về nguyên tắc thì các dịch vụ ngân hàng điện tử là việc thiết lập một kênh trao đổi thông tin tài chính giữa khách

hàng và ngân hàng nhằm phục vụ nhu cầu sử dụng dịch vụ ngân hàng của khách hàng một các nhanh chóng, an toàn và thuận tiện Những dịch vụ ngân hàng điện tử phổ biến nhất hiện nay gồm có giao dịch qua máy ATM; POS; Phone banking; Mobile banking; Home banking; Internet banking; Kiosk banking, tiêu chí phân loại các dịch vụ ngân hàng điện tử được dựa trên tên gọi của thiết bị đầu cuối

1.2.1 Thanh toán qua ATM

Máy rút tiền tự động (ATM) 2 hay máy giao dịch tự động là một thiết bị ngân hàng giao dịch tự động với khách hàng, thực hiện việc nhận dạng khách hàng thông qua thẻ ATM (thẻ ghi nợ, thẻ tín dụng) hay các thiết bị tương thích, và giúp khách hàng kiểm tra tài khoản, rút tiền mặt, chuyển khoản thanh toán hàng hóa, dịch vụ

Ngoài chức năng cơ bản cho phép khách hàng rút tiền mặt, in sao kê, chuyển khoản thanh toán, nhiều ngân hàng đã bổ sung thêm dịch vụ gửi tiền mặt, gửi ngân phiếu vào tài khoản, thanh toán tiền điện, nước, điện thoại, bán vé hay các giao dịch điện tử trực tiếp khác cho các máy rút tiền tự động Sự khác nhau này là những giao dịch thuộc giá trị gia tăng của thẻ do ngân hàng đó tạo ra, nhằm tạo thế khác biệt trong cạnh tranh và nâng cao năng lực của thẻ ATM cho khách hàng của ngân hàng mình

Máy rút tiền tự động, phối hợp với thẻ ATM đã khuyến khích người dân sử dụng dịch

vụ ngân hàng cho chi tiêu hàng ngày Một ví dụ là các ông chủ có thể trả lương nhân viên qua tài khoản ngân hàng, và người nhận lương có thể lấy tiền mặt từ tài khoản qua các máy thay vì phải giao dịch với nhân viên ngân hàng

Dữ liệu của các giao dịch banking được truyền qua hệ thống mạng banking, đó có thể là đường truyền thuê bao, đường mạng dial-up theo điện thoại hay các đường truyền dữ liệu không dây nối giữa các máy ATM đến hệ thống chủ

ATM-1.2.2 Thanh toán qua POS

Thanh toán qua POS 3 là hình thức thanh toán không dùng tiền mặt thông qua việc sử dụng kết nối giữa thiết bị đọc thẻ - còn gọi là máy quẹt (cà) thẻ/ hoặc máy POS với thẻ ngân hàng Qua đó, hệ thống tự động trích tiền từ tài khoản của người mua trả cho người bán ngay Sử dụng hình thức này chủ thẻ có thể thanh toán tiền hàng hóa dịch

vụ, rút tạm ứng tiền mặt tại bất kỳ điểm chấp nhận thẻ nào

Dịch vụ ngân hàng này được triển khai tại các điểm chấp nhận thanh toán thẻ thông

qua hợp đồng chấp nhận thẻ Việc thực hiện các giao dịch này tại điểm chấp nhận

thanh toán phải có 2 điều kiện:

- Điểm chấp nhận này đã có hợp đồng chấp nhận thanh toán thẻ này với ngân hàng phát hành hoặc là đại lý thanh toán của ngân phát hành và được ngân hàng trang

bị loại máy thanh toán phù hợp

- Khách hàng khi thực hiện giao dịch phải nhập mã số cá nhân của mình, chính

vì phải nhập mã số cá nhân nên việc được trang bị loại máy phù hợp mới có thể thực hiện được giao dịch, do có nhiều loại máy hiện không cho phép khách hàng nhập mã số

cá nhân vào máy

Công dụng của máy POS là có thể thanh toán hàng hóa tại các siêu thị, trung tâm thương mại, cửa hàng ; thanh toán phí dịch vụ như điện, nước, điện thoại, bảo hiểm ; thực hiện các giao dịch như kiểm tra số dư, chuyển khoản , hay một chức năng ít được biết đến như rút tiền mặt POS-banking thực sự khác biệt so với ATM-banking Nếu ATM chỉ đơn giản thay cho cái ví tiền thì POS còn nhiều lợi ích hơn thế Thông qua POS, khách hàng vừa có thể rút tiền như thẻ ATM, vừa có thể thanh toán trực tiếp

1.2.3 Phone banking

Phone banking 4 là hệ thống tự động trả lời các thông tin về dịch vụ, sản phẩm ngân hàng qua điện thoại hoạt động 24/24h Đặc điểm của Phone banking là hệ thống này

hoàn toàn làm việc tự động dựa trên chương trình đã được lập trình sẵn Phone banking cung cấp cho khách hàng một số tiện ích như: cung cấp tất cả các thông tin về sản phẩm, dịch vụ của ngân hàng một cách đầy đủ, cập nhật; cung cấp các thông tin hữu ích về các sản phẩm dịch vụ mới, thanh toán hoá đơn và chuyển tiền, tiếp nhận qua điện thoại các khiếu nại, thắc mắc từ khách hàng khi sử dụng sản phẩm, dịch vụ của ngân hàng

1.2.4 Mobile banking

Mobile banking 5 là loại dịch vụ ngân hàng hiện đại dựa trên công nghệ viễn thông không dây của mạng điện thoại di động bao gồm việc thực hiện dịch vụ ngân hàng bằng cách kết nối điện thoại di động với trung tâm cung cấp dịch vụ ngân hàng điện tử (tương tự như Home banking) và kết nối Internet trên điện thoại di động sử dụng giao thức ứng dụng không dây WAP Khách hàng dùng điện thoại di động nhắn tin theo mẫu của ngân hàng và gửi đến số dịch vụ để yêu cầu ngân hàng thực hiện các giao dịch Một số tiện ích mà dịch vụ Mobile banking cung cấp cho khách hàng như: cung cấp các thông tin liên quan đến hoạt động tài khoản cá nhân khách hàng, thông báo số

dư tài khoản bằng tin nhắn ngay khi có giao dịch phát sinh, thực hiện giao dịch thanh toán hóa, đối với khách hàng chưa có tài khoản ngân hàng sẽ được cung cấp thông tin tài khoản sản phẩm dịch vụ ngân hàng như tỷ giá, giá chứng khoán, lãi suất và các thông tin tài khoản cá nhân

1.2.5 Home banking

Home banking 6 được xây dựng dựa trên một trong hai nền tảng là hệ thống các phần mềm ứng dụng hoặc nền tảng công nghệ web, thông qua hệ thống máy chủ, mạng Internet và máy tính của khách hàng, thông tin tài chính sẽ được thiết lập, mã hoá, trao đổi và xác nhận giữa ngân hàng với khách hàng Đặc điểm của Home baking là cho phép khách hàng thực hiện hầu hết các giao dịch ngân hàng tại nhà, tại văn phòng công

ty mà không cần trực tiếp đến ngân hàng, giúp khách hàng tiết kiệm được thời gian, chi

phí Ngân hàng cung cấp một số tiện ích qua dịch vụ Home banking cho khách hàng như: chuyển tiền, thanh toán, xem số dư và các giao dịch trên tài khoản, thư tín dụng…

1.2.6 Internet banking

Internet banking 7 là một kênh phân phối các sản phẩm dịch vụ ngân hàng, mang sản phẩm dịch vụ của ngân hàng đến tận nhà hay văn phòng của từng khách hàng một Với một máy tính kết nối Internet, khách hàng đã có thể thực hiện truy cập vào Internet banking ở bất cứ nơi nào, bất cứ thời điểm nào Khách hàng có tài khoản tại ngân hàng với mã truy cập và mật khẩu truy cập do ngân hàng cung cấp có thể theo dõi các giao dịch phát sinh trên tài khoản của mình Nếu dịch vụ Home banking hoạt động trên mạng thông tin liên lạc cục bộ giữa ngân hàng và khách hàng, thì dịch vụ Internet banking hoạt động qua mạng máy tính toàn cầu Qua dịch vụ Internet Banking, khách hàng có thể thực hiện một số giao dịch như: xem thông tin về tài khoản, chuyển tiền, xem thông báo lãi suất, thông báo tỉ giá, biểu phí dịch vụ và những thông tin khác của ngân hàng, thanh toán các hóa đơn cho các hàng hóa, dịch vụ mà khách hàng đã sử dụng, chuyển các thông tin dữ liệu từ Internet Banking xuống các phần mềm ứng dụng của khách hàng …

1.2.7 Kiosk banking

Kiosk banking 8 là dịch vụ ngân hàng ứng dụng công nghệ cao hướng tới việc phục vụ khách hàng với chất lượng cao Trên đường phố các ngân hàng sẽ đặt các trạm làm việc có chứa các thiết bị ngân hàng giao dịch tự động với khách hàng có kết nối Internet tốc độ cao hoặc các mạng nội bộ của ngân hàng Khách hàng sử dụng thiết bị máy tính ở trong trạm để truy cập vào trang web của Ngân hàng, nhập mã sử dụng và mật khẩu truy cập, hoặc cho thẻ vào máy rồi nhập mã pin và bắt đầu tiến hành các giao dịch như: xem lịch sử các giao dịch qua tài khoản, thanh toán hoá đơn, chuyển khoản, cập nhật các thông tin về các sản phẩm, dịch vụ của ngân hàng đang cung cấp

1.3 Nhận diện rủi ro hoạt động ngân hàng điện tử

Vì sự phát triển nhanh chóng của công nghệ thông tin nên không thể mô tả một cách thấu đáo các rủi ro trong hoạt động ngân hàng điện tử Tuy nhiên, các rủi ro đối với ngân hàng cung cấp dịch vụ ngân hàng điện tử phần lớn không phải là mới, bao gồm 6 loại rủi ro chính liên quan đến ngân hàng điện tử là rủi ro chiến lược; rủi ro uy tín; rủi

ro tác nghiệp (bao gồm rủi ro an ninh và rủi ro pháp lý); rủi ro tín dụng; rủi ro thị trường; rủi ro thanh khoản Đặc biệt, rủi ro chiến lược, rủi ro tác nghiệp và rủi ro uy tín

rõ ràng đã trở nên phức tạp hơn do sự xuất hiện và phát triển nhanh chóng về mức độ phức tạp của công nghệ trong hoạt động ngân hàng điện tử 9

1.3.1 Rủi ro chiến lược

Rủi ro chiến lược 10 là một trong những rủi ro hoạt động ngân hàng điện tử lớn nhất mà các ngân hàng gặp phải Rủi ro chiến lược khác với loại rủi ro khác ở chỗ là nó tổng quát hơn, quyết định chiến lược được thực hiện bởi Hội đồng quản trị của một ngân hàng hoặc Giám đốc điều hành quản lý sẽ có tác động đối với tất cả các loại rủi ro khác trong hoạt động ngân hàng điện

Quyết định chiến lược của Hội đồng quản trị về yếu tố công nghệ tiên phong có thể dẫn đến những nguy cơ chiến lược quan trọng Nếu tổ chức thay đổi công nghệ nhanh chóng nhưng không phù hợp với việc cân đối chi phi, lợi nhuận sẽ trở thành gánh nặng cho tổ chức Tương tự như vậy, một tín đồ công nghệ quá thận trọng có thể nhận thấy mình không thể khẳng định vị trí của mình trong một thị trường ngân hàng bão hòa Trước khi Internet xuất hiện, các ngân hàng sử dụng mạng độc quyền trong hợp nhất các kênh phân phối của họ và kết nối theo những cách hạn chế cho các ngân hàng khác Các mạng độc quyền giúp cung cấp một chiến lược phòng thủ chống lại những người mới tham gia vào và cung cấp bảo vệ thương hiệu cá nhân Tuy nhiên, khi Internet xuất hiện thì nó là một mạng mở với khả năng truy cập mở cho phép các ngân hàng và phi ngân hàng tự do để tạo ra và tận dụng kinh doanh hiện tại mà không cần mở rộng vật lý

hiện diện Do đó, sự cạnh tranh trong ngành công nghiệp dịch vụ tài chính đã được tăng lên đáng kể và có thể sẽ tăng hơn nữa và hầu hết các ngân hàng tin rằng các kênh phân phối ngân hàng điện tử sẽ giúp họ giảm chi phí hoạt động

Tuy nhiên, nhiều khách hàng vẫn muốn duy trì mối quan hệ với một ngân hàng hoạt động truyền thống, điều này đã tạo ra nhiều thị phần khách hàng phức tạp cho ngân hàng Sự xuất hiện của nhiều thị phần và nền công nghệ cao đã đặt ra cả cơ hội chiến lược và cả các mối đe dọa cho ngân hàng Tùy thuộc vào chiến lược của mỗi ngân hàng

để định ra hướng phát triển của họ, phải đảm bảo rằng họ không phá vỡ các mối quan

hệ truyền thống giữa khách hàng với ngân hàng và đồng thời có thể mở rộng thị phần khách hàng thông qua kênh ngân hàng điện tử Ngoài ra, sự áp dụng các công nghệ cao trong sản phẩm ngân hàng sẽ tạo ra được sản phẩm đa dạng hơn, chất lượng hơn, nhưng có thể sẽ tăng chi phí rất nhiều cho việc đầu tư công nghệ, dẫn đến làm giảm lợi nhuận ngân hàng, khả năng xảy ra nguy cơ an ninh bảo mật và rủi ro pháp lý Vì vậy, các nhà quản lý ngân hàng cần phải cẩn thận xem xét cách chiến lược hoạt động ngân hàng điện tử, đánh giá ưu và nhược điểm trong chiến lược của họ để giúp duy trì khả năng cạnh tranh và lợi nhuận của ngân hàng nhưng không dẫn đến gia tăng rủi ro trong hoạt động ngân hàng

1.3.2 Rủi ro uy tín

Rủi ro uy tín 11 của ngân hàng có thể bị ảnh hưởng bởi bất kỳ sự bất lợi đối với hoạt động ngân hàng điện tử Ngân hàng từ lâu đã kinh doanh dựa trên uy tín của họ, dựa trên niềm tin Uy tín của ngân hàng có thể bị ảnh hưởng nếu khả năng cung cấp một mạng lưới giao dịch không đáng tin cậy, các dịch vụ ngân hàng điện tử được thực hiện kém, sản phẩm không phù hợp, gần gũi khách hàng, thất bại trong việc cung cấp thông tin giao dịch an toàn, chính xác, kịp thời hoặc vi phạm sự riêng tư của khách hàng Hơn nữa, vi phạm an ninh lớn trong một ngân có thể làm suy yếu niềm tin người tiêu dùng nói chung hay niềm tin thị trường vào khả năng của các ngân hàng để quản lý

một cách hợp lý trong giao dịch trên internet Bất kỳ vấn đề mà một ngân hàng có thể trải nghiệm liên quan đến dữ liệu và bảo vệ sự riêng tư có thể đe dọa đến uy tín của ngân hàng cũng như danh tiếng của bất kỳ ngân hàng khác coi được tham gia vào các hoạt động tương tự

Để bảo vệ chống lại những tình huống xấu có thể gây ra thiệt hại cho danh tiếng của

họ, ngân hàng cần xây dựng và giám sát các tiêu chuẩn hiệu suất cho hoạt động ngân hàng điện tử của họ Thường xuyên xem xét và kiểm tra liên tục kinh doanh, phục hồi

và ứng phó sự cố kế hoạch và chiến lược truyền thông cũng rất quan trọng để bảo vệ danh tiếng của các ngân hàng

1.3.3 Rủi ro tác nghiệp

Rủi ro tác nghiệp bao gồm bao gồm rủi ro an ninh và rủi ro pháp lý 12 Rủi ro tác nghiệp là rủi ro gây mất mát do qui trình nội bộ không phù hợp hoặc không hoạt động,

vì lý do con người và hệ thống hoặc các sự kiện bên ngoài

Rủi ro pháp lý phát sinh từ sự tăng trưởng nhanh chóng trong việc sử dụng ngân hàng điện tử và sự khác biệt giữa các giao dịch điện tử và giao dịch truyền thống Ngân hàng điện tử là một kênh phân phối mới, nơi các luật lệ và quy định điều chỉnh việc cung cấp điện tử của một số sản phẩm tổ chức tài chính hoặc dịch vụ có thể không rõ ràng hoặc vẫn đang phát triển Những nguy cơ pháp lý có thể xảy ra là ngân hàng không chắc chắn về quyền hạn pháp định của nhà nước hoặc pháp luật của quốc gia chi phối giao dịch ngân hàng điện tử, tiết lộ thông tin khách hàng, lưu giữ các tài liệu không tuân thủ quy định pháp luật trong yêu cầu cho quảng cáo trực tuyến, các ứng dụng, báo cáo, thuyết minh và thông báo và thành lập các văn bản thỏa thuận giao dịch điện tử, cung cấp dịch vụ điện tử không ràng buộc đầy đủ pháp lý 13

Rủi ro an ninh luôn được các ngân hàng quan tâm hàng đầu vì các hoạt động của ngân hàng điện tử đều phụ thuộc vào công nghệ Để hạn chế nguy cơ về an ninh, các ngân hàng có thể xem xét triển khai thực hiện phát triển cơ sở hạ tầng công nghệ để có thể

tạo điều kiện cho khả năng tương tác, đảm bảo an ninh, toàn vẹn và sẵn sàng của dữ liệu và hỗ trợ việc quản lý các mối quan hệ với các nhà cung cấp dịch vụ của bên thứ

ba Hơn nữa, công nghệ cũng đang thay đổi đáng kể mô hình kinh doanh và điều hành các quy trình, các ngân hàng cần phải đảm bảo rằng họ có thủ tục kiểm soát thích hợp bao gồm cả kiểm soát thay đổi và quy trình kiểm toán

1.3.4 Rủi ro tín dụng

Rủi ro tín dụng 14 của ngân hàng có thể bị ảnh hưởng bởi các hoạt động ngân hàng điện

tử trong một số cách Việc sử dụng kênh phân phối sản phẩm qua Internet có thể cho phép các ngân hàng, đặc biệt là các tổ chức nhỏ, mở rộng rất nhanh chóng phát triển sản phẩm tín dụng đến với khách hàng, nhưng nó có thể dẫn đến rủi ro trong việc đánh giá chất lượng tài sản, làm tăng những thách thức đối với sự xác minh tài sản thế chấp, hoàn thiện thế chấp với người đi vay ngoài khu vực và rủi ro kiểm soát nội bộ Ngoài

ra, Internet cũng làm khó khăn hơn để xác thực danh tính và mức độ tín nhiệm của một khách hàng tiềm năng, đó là những yếu tố cần thiết để quyết định tín dụng Hơn nữa,

có một xu hướng cho ngân hàng là những khoản tiền gửi thông qua Internet thì được mức lãi suất cao hơn, vì vậy các ngân hàng đã mở rộng các khoản tín dụng dưới chuẩn tại các ngân hàng để hỗ trợ các lãi suất huy động cao hơn Chính sách tín dụng ảnh hưởng rất lớn đối với sự phát triển của ngân hàng, vì vậy cần phải luôn giám sát hoạt động tín dụng và thực tiễn quản lý bất kể là kênh phân phối sản phẩm được sử dụng là thông qua điện tử hay truyền thống

1.3.5 Rủi ro thanh khoản

Rủi ro thanh khoản 15 có thể rất đáng kể đối với các ngân hàng chuyên môn hoá vào hoạt động tiền điện tử nếu họ không thể chắc chắn rằng họ có đủ mức vốn để thu hồi tiền điện tử và đáp ứng những nhu cầu thanh toán vào một thời điểm nhất định Thông tin bất lợi về ngân hàng, cho dù đó là sự thật hay không, có thể dễ dàng phổ biến trên Internet thông qua các bản tin và các nhóm tin tức Điều này có thể gây ra người gửi

tiền rút tiền của họ hàng loạt trong bất cứ lúc nào Ngoài ra, việc không đáp ứng được nhu cầu thu hồi tiền điện tử một cách đúng lúc cũng có thể dẫn đến tình trạng xảy ra khiếu kiện chống lại ngân hàng và như vậy, danh tiếng của ngân hàng sẽ bị huỷ hoại

1.4 Nguyên tắc quản trị rủi ro hoạt động ngân hàng điện tử

Dựa trên các nghiên cứu trước đây của Nhóm Công tác về Ngân hàng Điện tử, Ủy ban Basel kết luận rằng 17 trong khi các nguyên tắc quản trị rủi ro ngân hàng truyền thống

là có thể ứng dụng cho các hoạt động ngân hàng điện tử thì tính chất phức tạp của kênh chuyển giao là mạng Internet cho thấy việc áp dụng các nguyên tắc này cần được điều chỉnh phù hợp với nhiều hoạt động ngân hàng trực tuyến và các khó khăn trong quản trị rủi ro Do đó, Ủy ban cho rằng Hội đồng Quản trị và Ban giám đốc ngân hàng cần

có trách nhiệm trong việc triển khai các bước để đảm bảo rằng ngân hàng đã đánh giá

và chỉnh sửa nếu thấy cần thiết các chính sách và qui trình quản trị rủi ro hiện thời nhằm quản lý được các hoạt động ngân hàng điện tử hiện tại và tương lai Ngoài ra, Ủy ban cho rằng việc giám sát quản lý rủi ro các hoạt động ngân hàng điện tử phải trở thành một phần không thể tách rời trong cơ cấu quản trị rủi ro tổng thể của ngân hàng

1.4.1 Giám sát của Hội đồng Quản trị và Ban giám đốc

Hội đồng Quản trị và Ban giám đốc chịu trách nhiệm xây dựng chiến lược kinh doanh của ngân hàng Trước khi vận hành hoạt động ngân hàng điện tử, Hội đồng Quản trị cần đảm bảo rằng kế hoạch ngân hàng điện tử được tích hợp chặt chẽ với các mục đích

chiến lược, có phân tích rủi ro đối với các hoạt động ngân hàng điện tử được đề xuất, biện pháp hạn chế rủi ro phù hợp và xây dựng quá trình theo dõi đối với các rủi ro đã được xác định và cần đánh giá liên tục kết quả của các hoạt động ngân hàng điện tử so với các mục đích và kết quả kinh doanh của ngân hàng

Ngoài ra, Hội đồng Quản trị và Ban giám đốc cần đảm bảo rằng các khía cạnh liên quan đến tác nghiệp và rủi ro an ninh của ngân hàng trong chiến lược kinh doanh ngân hàng điện tử đã được cân nhắc và giải quyết phù hợp Việc cung cấp các dịch vụ tài chính trên mạng Internet có thể làm thay đổi to lớn và/hoặc tăng các rủi ro đối với các nghiệp vụ ngân hàng truyền thống, có nghĩa là rủi ro chiến lược, rủi ro uy tín, rủi ro tác nghiệp, rủi ro tín dụng và rủi ro thanh khoản Do đó cần triển khai các bước nhằm đảm bảo rằng các qui trình hiện tại trong quản trị rủi ro, kiểm soát an ninh, tính tuân thủ và giám sát đối với các quan hệ thuê ngoài đã được đánh giá và chỉnh sửa phù hợp phục

vụ cho dịch vụ ngân hàng điện tử

Nguyên tắc 1: Hội đồng Quản trị và Ban giám đốc cần xây dựng cơ chế giám sát hiệu quả đối với các rủi ro liên quan đến các hoạt động ngân hàng điện tử, bao gồm việc xây dựng các cơ chế trách nhiệm giải trình, chính sách và biện pháp kiểm soát quản lý rủi ro

Việc đề cao cảnh giác trong giám sát là cần thiết trong cơ chế kiểm soát nội bộ hiệu quả đối với các hoạt động ngân hàng điện tử Bởi vì tính chất đặc biệt của kênh cung cấp dịch vụ là mạng Internet nên nó đặt ra nhiều thách thức đối với các qui trình quản trị rủi ro truyền thống như các yếu tố chính của kênh cung cấp dịch vụ (mạng Internet

và các công nghệ liên quan) nằm ngoài sự kiểm soát trực tiếp của ngân hàng; mạng Internet hỗ trợ cho kênh cung cấp dịch vụ hiện diện tại các quốc gia với các qui định pháp lý khác nhau, bao gồm cả những dịch vụ hiện ngân hàng không cung cấp tại trụ sở; Sự phức tạp của các vấn đề liên quan đến ngân hàng điện tử và điều này liên quan

đến các khái niệm và thuật ngữ kỹ thuật chuyên ngành mức độ cao và đa phần là nằm ngoài sự hiểu biết truyền thống của Hội đồng Quản trị và Ban giám đốc

Hội đồng Quản trị và Ban giám đốc cần đánh giá chiến lược của ngân hàng bằng việc phân tích lợi/hại và phân tích chiến lược phù hợp Nếu không đánh giá chiến lược phù hợp ngay từ đầu và liên tục đánh giá quá trình thực hiện so với kế hoạch thì ngân hàng

sẽ chịu rủi ro trong việc đánh giá sai lệch chi phí và/hoặc đánh giá quá cao khả năng bù đắp của các sáng kiến ngân hàng điện tử

Ngoài ra, Hội đồng Quản trị và Ban giám đốc cần đảm bảo rằng ngân hàng sẽ không triển khai nghiệp vụ kinh doanh ngân hàng điện tử mới hoặc áp dụng các công nghệ mới khi chưa có kinh nghiệm cần thiết nhằm giám sát quản trị rủi ro một cách đầy đủ Kinh nghiệm quản lý và trình độ của nhân viên phải tương xứng với tính chất và mức

độ phức tạp của các ứng dụng ngân hàng điện tử cùng các công nghệ có liên quan Việc có đủ trình độ là cần thiết cho dù hệ thống và dịch vụ ngân hàng điện tử được nội

bộ quản lý hay thuê bên thứ ba Qui trình giám sát của Ban giám đốc cần phải năng động nhằm can thiệp chính xác và hiệu quả vào bất kỳ vấn đề gì quan trọng trong hệ thống ngân hàng điện tử hoặc trường hợp xảy ra đột nhập an ninh Rủi ro uy tín ở mức

độ cao hơn trong nghiệp vụ ngân hàng điện tử cho thấy sự cần thiết phải cảnh giác theo dõi khả năng hoạt động của hệ thống, sự hài lòng của khách hàng cũng như phải có cơ chế báo cáo giải quyết tình huống cho Hội đồng Quản trị và Ban giám đốc

Cuối cùng, Hội đồng Quản trị và Ban giám đốc cần đảm bảo rằng các qui trình quản trị rủi ro đối với các hoạt động ngân hàng điện tử được tích hợp vào phương thức quản trị rủi ro tổng thể của ngân hàng Các chính sách và qui trình quản trị rủi ro của ngân hàng cần được đánh giá nhằm đảm bảo có khả năng giải quyết các rủi ro mới nảy sinh từ các hoạt động ngân hàng điện tử hiện nay hoặc trong tương lai

Mạng Internet hỗ trợ rất nhiều cho khả năng cung cấp dịch vụ và sản phẩm của một ngân hàng trong vùng lãnh thổ không giới hạn về địa lý giữa các quốc gia Nếu hoạt

động ngân hàng điện tử vượt phạm vi biên giới này được triển khai mà không được cấp phép bằng văn bản cụ thể tại "quốc gia chủ nhà" thì ngân hàng càng chịu nguy cơ rủi ro

về pháp lý, qui định và rủi ro quốc gia do có sự khác biệt lớn giữa các hệ thống luật pháp liên quan đến việc cấp phép hoạt động, giám sát ngân hàng và các qui định bảo vệ khách hàng Vì cần phải tránh việc không tuân thủ luật và qui định tại một quốc gia nước ngoài cũng như cần phải quản trị các yếu tố rủi ro quốc gia có liên quan nên các ngân hàng triển khai nghiệp vụ ngân hàng điện tử quốc tế cần phải tìm hiểu kỹ các rủi

ro trước khi triển khai và quản lý có hiệu quả các nghiệp vụ này

Dựa vào qui mô và mức độ phức tạp của các hoạt động ngân hàng điện tử mà qui mô

và cơ cấu các chương trình quản trị rủi ro sẽ khác nhau giữa các tổ chức ngân hàng Các nguồn lực cần thiết để theo dõi dịch vụ ngân hàng điện tử cần phải tương xứng với chức năng giao dịch và tầm quan trọng của các hệ thống, khả năng bị thương tổn của các hệ thống và sự nhạy cảm của các thông tin được lưu chuyển

(Phụ lục 1.1: Thông lệ tốt nhất trong giám sát quản trị rủi ro mà Hội đồng Quản trị và

Ban giám đốc nên xem xét)

Nguyên tắc 2: Hội đồng Quản trị và Ban giám đốc cần đánh giá và chấp thuận các lĩnh vực then chốt trong qui trình kiểm soát an ninh của ngân hàng

Hội đồng Quản trị và Ban giám đốc cần giám sát việc xây dựng và duy trì liên tục một

cơ sở hạ tầng kiểm soát an ninh nhằm bảo vệ cho các hệ thống và dữ liệu ngân hàng điện tử đối với các nguy cơ xuất phát từ bên trong và bên ngoài Điều này bao gồm việc xây dựng các đặc quyền cấp phép phù hợp, kiểm soát truy cập lôgíc và truy cập ở mức vật lý, và cơ sở hạ tầng an ninh phù hợp nhằm duy trì các giới hạn hợp lý và hạn chế đối với các hoạt động của người sử dụng nội bộ và bên ngoài

Bảo vệ tài sản của ngân hàng là một trong các trách nhiệm được giao của Hội đồng Quản trị và là một trong những trách nhiệm cơ bản của Ban giám đốc Tuy nhiên, đây

là một nhiệm vụ có nhiều thách thức trong môi trường ngân hàng điện tử thay đổi

nhanh chóng vì các rủi ro an ninh phức tạp gắn liền với việc hoạt động trên mạng công cộng Internet và sử dụng các công nghệ luôn đổi mới

Để có những biện pháp kiểm soát an ninh phù hợp đối với các hoạt động ngân hàng điện tử, Hội đồng Quản trị và Ban giám đốc cần đảm bảo rằng ngân hàng có một qui trình an ninh tổng thể, bao gồm các chính sách và thủ tục, đối phó với các nguy cơ an ninh tiềm tàng xuất phát từ bên trong hoặc bên ngoài trên cơ sở ngăn chặn và xử lý các tình huống xảy ra Các yếu tố quan trọng của một qui trình an ninh ngân hàng điện tử hiệu quả bao gồm:

- Phân công trách nhiệm rõ ràng cho giám đốc/nhân viên trong việc giám sát việc xây dựng và duy trì các chính sách an ninh công ty

- Có biện pháp kiểm soát phù hợp cụ thể nhằm ngăn chặn truy cập trái phép ở mức vật lý vào môi trường máy tính

- Có biện pháp kiểm soát lôgíc và qui trình theo dõi phù hợp nhằm ngăn chặn truy cập trái phép từ nội bộ hoặc bên ngoài vào các ứng dụng và cơ sở dữ liệu ngân hàng điện tử

- Thường xuyên đánh giá và kiểm tra các biện pháp và kiểm soát an ninh bao gồm việc liên tục theo dõi sự phát triển của ngành công nghiệp an ninh hiện tại, cài đặt nâng cấp phần mềm, bản sửa lỗi phù hợp và các biện pháp cần thiết khác

(Phụ lục 1.2: Thông lệ tốt nhất giúp đảm bảo an ninh cho ngân hàng điện tử)

Nguyên tắc 3: Hội đồng Quản trị và Ban giám đốc cần xây dựng một qui trình giám sát và đánh giá tuân thủ liên tục và tổng thể nhằm quản lý các mối quan hệ thuê ngoài của ngân hàng và việc phụ thuộc vào bên thứ ba khác trong việc hỗ trợ dịch vụ ngân hàng điện tử

Việc ngày càng phụ thuộc vào các đối tác và nhà cung cấp dịch vụ là bên thứ ba để thực hiện các chức năng ngân hàng điện tử quan trọng sẽ làm giảm khả năng kiểm soát

trực tiếp của Ban giám đốc ngân hàng Do đó, cần có một qui trình tổng thể nhằm quản

lý các rủi ro liên quan đến việc thuê ngoài và sự phụ thuộc vào các bên thứ ba khác Trước đây, việc thuê ngoài thường chỉ giới hạn đối với một nhà cung cấp dịch vụ đơn

lẻ đối với một chức năng cụ thể Tuy nhiên, trong những năm gần đây, quan hệ thuê ngoài của ngân hàng đã tăng lên cả về qui mô lẫn mức độ phức tạp vì lý do trực tiếp liên quan đến sự phát triển về công nghệ thông tin và sự xuất hiện của nghiệp vụ ngân hàng điện tử Ngoài sự phức tạp thì có một thực tế là các dịch vụ ngân hàng điện tử được thuê ngoài có thể được thầu phụ là các nhà cung cấp dịch vụ khác đảm nhận và/hoặc được thực hiện ở nước ngoài Hơn nữa, vì các ứng dụng và dịch vụ ngân hàng điện tử đã phát triển ở mức độ cao về mặt công nghệ và đã trở nên quan trọng về mặt chiến lược nên một số chức năng hoạt động của nghiệp vụ ngân hàng điện tử sẽ phụ thuộc vào một số ít bạn hàng hoạt động chuyên biệt và cung cấp dịch vụ là bên thứ ba Những vấn đề này có thể dẫn tới việc tập trung nhiều rủi ro hơn và cần có sự quan tâm của từng ngân hàng cũng như đối với toàn hệ thống

Ngoài ra, các yếu tố này cũng cho thấy sự cần thiết phải đánh giá tổng thể và liên tục các quan hệ thuê ngoài và sự phụ thuộc bên ngoài, bao gồm những nguy cơ rủi ro tiềm

ẩn đối với ngân hàng và khả năng giám sát quản trị rủi ro

(Phụ lục 1.3: thông lệ tốt nhất đối với việc quản lý các hệ thống ngân hàng điện tử được thuê ngoài và sự phụ thuộc vào bên thứ ba)

1.4.2 Kiểm soát an ninh

Trong khi Hội đồng Quản trị có trách nhiệm đảm bảo xây dựng các qui trình kiểm soát

an ninh phù hợp đối với nghiệp vụ ngân hàng điện tử thì nội dung của các qui trình này cần có sự quan tâm đặc biệt của Ban giám đốc vì thách thức về an ninh ngày càng tăng trong nghiệp vụ ngân hàng điện tử Những vấn đề sau cần được xác định rõ:

- Xác thực

- Không khước từ

- Toàn vẹn dữ liệu và giao dịch

- Phân công nhiệm vụ

- Kiểm soát cấp phép

- Duy trì tập tin lưu giữ bằng chứng phục vụ đánh giá độc lập

- Bảo mật thông tin quan trọng của ngân hàng

Nguyên tắc 4: Ngân hàng cần triển khai những biện pháp cần thiết để chứng thực danh tính và cấp phép cho khách hàng thực hiện giao dịch qua mạng Internet

Trong nghiệp vụ ngân hàng cần phải xác nhận rằng sự liên hệ, giao dịch hoặc yêu cầu truy cập cụ thể là hợp lệ Do đó, ngân hàng cần sử dụng các biện pháp đáng tin cậy để xác minh danh tính và cấp phép cho khách hàng mới cũng như chứng thực danh tính và cấp phép cho khách hàng cũ có nhu cầu thực hiện giao dịch điện tử

Xác thực khách hàng trong quá trình truy gốc tài khoản là vấn đề quan trọng trong việc giảm rủi ro mất cắp danh tính, sử dụng tài khoản gian lận và rửa tiền Việc ngân hàng không có khả năng chứng thực khách hàng một cách hiệu quả có thể dẫn tới trường hợp đối tượng bất hợp pháp có thể truy cập tài khoản ngân hàng điện tử, cuối cùng gây

ra tổn thất về tài chính, uy tín do gian lận, rò rỉ thông tin mật hoặc hành động phạm tội Việc xây dựng và chứng thực danh tính cá nhân cũng như cấp phép truy cập vào hệ thống ngân hàng trong môi trường mở hoàn toàn có tính chất điện tử có thể là một nhiệm vụ khó khăn Việc cấp phép cho người sử dụng hợp pháp có bị làm sai lệch bằng việc sử dụng một số kỹ thuật gọi là “tấn công lừa đảo" Tin tặc trực tuyến cũng có thể giành quyền kiểm soát phiên giao dịch của một cá nhân đã được xác nhận là hợp pháp bằng việc sử dụng kỹ thuật "đánh hơi" và thực hiện các hoạt động có tính chất phá hoại hoặc tội phạm Ngoài ra, các qui trình kiểm soát chứng thực có thể bị vô hiệu hóa bằng việc thay đổi trong cơ sở dữ liệu chứng thực

Do vậy, điều quan trọng là ngân hàng cần có chính sách và thủ tục chính thức để xác định các phương thức phù hợp nhằm đảm bảo rằng ngân hàng xác thực một cách đầy

đủ danh tính và cấp phép xác nhận cá nhân, đại lý hoặc hệ thống bằng cách sử dụng các biện pháp duy nhất và nếu thực tế cho phép thì vô hiệu hóa tất cả các đối tượng hoặc hệ thống không được cấp phép Ngân hàng có thể cung cấp cho chúng ta một số phương thức chứng thực như mã số nhận dạng cá nhân, mật khẩu, thẻ thông minh, các phương pháp chứng thực sinh trắc học và kỹ thuật số Các phương pháp này có thể sử dụng một hoặc nhiều yếu tố (có nghĩa là sử dụng cả hai công nghệ là mật khẩu và sinh trắc học để chứng thực) Phương pháp chứng thực sử dụng nhiều yếu tố nói chung có mức độ bảo mật cao hơn

Ngân hàng cần xác định phương thức chứng thực cần sử dụng dựa trên việc đánh giá rủi ro của Ban giám đốc ngân hàng xuất phát từ hệ thống ngân hàng điện tử nói chung hoặc từ các tiểu cấu phần khác Việc phân tích rủi ro này cần đánh giá khả năng giao dịch của hệ thống ngân hàng điện tử (có nghĩa là chuyển tiền, thanh toán hóa đơn, truy nguyên nguồn gốc khoản vay, hợp nhất tài khoản…), mức độ nhạy cảm và giá trị của

dữ liệu ngân hàng điện tử đang được lưu trữ và mức độ dễ sử dụng của phương pháp chứng thực đối với khách hàng

Các qui trình xác định danh tính và chứng thực khách hàng tinh vi trong môi trường hệ thống giao dịch vượt phạm vi biên giới là đặc biệt quan trọng trong bối cảnh có thêm khó khăn nảy sinh từ các giao dịch điện tử giữa các khách hàng nằm ngoài phạm vi biên giới, bao gồm mức độ rủi ro cao hơn trong việc xác định danh tính và mức độ khó khăn cao hơn trong việc kiểm tra mức độ tin cậy đối với khách hàng tiềm năng

(Phụ lục 1.4: thông lệ tốt nhất đối với việc theo dõi phương pháp chứng thực)

Nguyên tắc 5: Ngân hàng cần sử dụng các phương pháp chứng thực giao dịch nhằm nâng cao khả năng không khước từ và xây dựng các biện pháp giải trình đối với các giao dịch ngân hàng điện tử

Không khước từ bao gồm việc tạo ra bằng chứng gốc hoặc chuyển giao thông tin điện

tử để bảo vệ người gửi trong trường hợp bị người nhận cố tình từ chối đã tiếp nhận dữ liệu hoặc bảo vệ người nhận trong trường hợp bị người gửi cố tình từ chối không gửi

dữ liệu Rủi ro của khước từ giao dịch vốn đã là một vấn đề trong các giao dịch thông thường như thẻ tín dụng hoặc các giao dịch chứng khoán Tuy nhiên, rủi ro này trong dịch vụ ngân hàng điện tử trở nên trầm trọng hơn vì những khó khăn trong việc chứng thực khẳng định danh tính và quyền hạn của các bên trong giao dịch, khả năng thay đổi hoặc bắt cóc các giao dịch điện tử và khả năng những người sử dụng dịch vụ ngân hàng điện tử tuyên bố rằng những giao dịch đó đã bị thay đổi nhằm mục đích gian lận

Tổ chức ngân hàng đã bắt đầu sử dụng các kỹ thuật khác nhau nhằm thiết kế cơ chế không khước từ và đảm bảo tính chất bảo mật và toàn vẹn của các giao dịch ngân hàng điện tử như chứng nhận số sử dụng cơ sở hạ tầng khóa công khai Một ngân hàng có thể phát hành một chứng nhận số cho một khách hàng hoặc một đối tác để cho phép duy nhất họ có thể được nhận dạng/chứng thực và giảm rủi ro không khước từ trong thực hiện giao dịch Mặc dầu tại một số quốc gia, một số văn bản pháp lý đã qui định quyền của khách hàng trong việc từ chối thực hiện giao dịch nhưng tại một số quốc gia khác thì luật lệ đã được thông qua trong đó qui định rằng chữ ký điện tử là có hiệu lực pháp lý Khi công nghệ tiếp tục phát triển thì các kỹ thuật như vậy ngày càng có xu hướng được chấp nhận rộng rãi hơn

Nguyên tắc 6: Ngân hàng cần đảm bảo có những biện pháp phù hợp trong việc phân công nhiệm vụ một cách hợp lý trong hệ thống ngân hàng điện tử, cơ sở dữ liệu và ứng dụng

Phân công nhiệm vụ là biện pháp kiểm soát nội bộ cơ bản được thiết kế nhằm giảm rủi

ro gian lận trong qui trình tác nghiệp và hệ thống cũng như đảm bảo rằng các giao dịch

và tài sản của công ty được xác nhận, lưu hồ sơ và bảo vệ một cách phù hợp Việc phân công nhiệm vụ là quan trọng nhằm đảm bảo tính chính xác và toàn vẹn của dữ liệu và được sử dụng ngăn ngừa một đối tượng có hành động gian lận Nếu nhiệm vụ đã được phân công phù hợp thì gian lận chỉ có thể xảy ra thông qua cấu kết thông đồng

Dịch vụ ngân hàng điện tử có thể sẽ làm điều chỉnh phương thức phân công trách nhiệm được thực hiện và duy trì vì các giao dịch được thực hiện trên hệ thống điện tử

mà tại đó danh tính có thể bị che dấu hoặc giả mạo Ngoài ra, trong nhiều trường hợp, các chức năng tác nghiệp và giao dịch ngày càng trở nên cô đọng và tích hợp trong các ứng dụng ngân hàng điện tử Do đó, những biện pháp kiểm soát truyền thống để duy trì

sự phân công trách nhiệm cần phải được đánh giá lại và áp dụng để đảm bảo duy trì mức độ kiểm soát phù hợp Vì truy cập vào các cơ sở dữ liệu có mức độ bảo mật kém ngày càng trở nên dễ dàng hơn từ các hệ thống nội bộ và bên ngoài nên cần phải có thủ tục nhận dạng và cấp phép chặt chẽ, an toàn và kiến trúc hiệu quả đối với các qui trình

xử lý thẳng theo luồng và có các tập tin lưu giữ bằng chứng phục vụ kiểm tra độc lập (Phụ lục 1.5: thông lệ tốt nhất để xây dựng và duy trì phân công nhiệm vụ trong môi trường ngân hàng điện tử)

Nguyên tắc 7: Ngân hàng cần đảm bảo cần kiểm soát cấp phép phù hợp và đặc quyền truy cập trong hệ thống, cơ sở dữ liệu và ứng dụng ngân hàng điện tử

Để duy trì việc phân công trách nhiệm, ngân hàng cần kiểm soát chặt chẽ việc cấp phép

và đặc quyền truy cập Việc không có biện pháp kiểm soát cấp phép phù hợp có thể giúp cho đối tượng thay đổi quyền hạn, làm cho việc phân công trách nhiệm mất tác

dụng và có thể truy cập vào hệ thống, cơ sở dữ liệu hoặc ứng dụng ngân hàng điện tử

mà đối tượng đó không có quyền hạn truy cập

Trong hệ thống ngân hàng điện tử, quyền cấp phép và truy cập được thực hiện tập trung hoặc phân tán trong một ngân hàng và thường được lưu trữ trong cơ sở dữ liệu

Do đó, điều quan trọng là phải bảo vệ các cơ sở dữ liệu này không bị thay đổi hoặc phá hỏng, phục vụ cho việc kiểm soát cấp phép hiệu quả

(Phụ lục 1.6: thông lệ tốt nhất nhằm xây dựng các biện pháp kiểm soát phù hợp đối với quyền cấp phép, truy cập vào hệ thống, cơ sở dữ liệu và ứng dụng ngân hàng điện tử)

Nguyên tắc 8: Ngân hàng cần đảm bảo có các biện pháp phù hợp nhằm bảo vệ tính toàn vẹn của các giao dịch, hồ sơ và thông tin ngân hàng điện tử

Toàn vẹn dữ liệu là sự đảm bảo rằng các thông tin đang lưu chuyển hoặc lưu trữ không

bị thay đổi mà không được phép Sự thất bại trong duy trì tính toàn vẹn dữ liệu trong các giao dịch, hồ sơ và thông tin sẽ gây ra tổn thất tài chính cho ngân hàng cũng như gây ra rủi ro về uy tín và pháp lý

Tính chất của qui trình xử lý thẳng theo luồng trong ngân hàng điện tử có thể gây khó khăn trong việc sớm phát hiện ra lỗi lập trình hoặc các hoạt động gian lận Do đó, điều quan trọng là ngân hàng cần triển khai xử lý thẳng theo luồng thế nào để đảm bảo an toàn và hiệu quả cũng như đảm bảo tính toàn vẹn của dữ liệu

Vì ngân hàng điện tử được giao dịch trên mạng công cộng, nên có nguy cơ bị phá hủy

dữ liệu, gian lận và thay đổi hồ sơ Do đó, ngân hàng cần có các biện pháp phù hợp đảm bảo tính chính xác, đầy đủ và tin cậy của các giao dịch, hồ sơ và thông tin được lưu chuyển qua mạng Internet, cơ sở dữ liệu tại chỗ hoặc nội bộ của ngân hàng, hoặc được lưu chuyển/lưu trữ tại nhà cung cấp dịch vụ bên thứ ba thay mặt ngân hàng (Phụ lục 1.7: thông lệ tốt nhất về việc duy trì toàn vẹn dữ liệu trong môi trường ngân hàng điện tử)

Nguyên tắc 9: Ngân hàng cần đảm bảo phải lưu giữ đầy đủ tập tin lưu giữ bằng chứng phục vụ đánh giá độc lập đối với tất cả các giao dịch ngân hàng điện tử

Việc sử dụng mạng Internet để cung cấp các dịch vụ tài chính càng gây nhiều khó khăn trong việc áp dụng và thực thi kiểm soát nội bộ và duy trì đầy đủ các tập tin lưu giữ bằng chứng phục vụ đánh giá độc lập nếu các biện pháp này không được áp dụng trong môi trường ngân hàng điện tử Ngân hàng không chỉ gặp khó khăn trong vấn đề phải có những biện pháp kiểm soát nội bộ hữu hiệu trong môi trường tự động hóa cao mà còn liên quan đến việc làm sao các biện pháp kiểm soát đó có thể được kiểm toán độc lập, đặc biệt trong các tình huống và ứng dụng ngân hàng điện tử quan trọng

Môi trường kiểm soát nội bộ của ngân hàng có thể bị suy yếu nếu không có khả năng duy trì đầy đủ các tập tin lưu giữ bằng chứng phục vụ kiểm toán đối với các hoạt động ngân hàng điện tử Điều này là do hầu hết, nếu không phải là tất cả các hồ sơ và bằng chứng hỗ trợ cho giao dịch điện tử đều ở dạng điện tử

(Phụ lục 1.8: thông lệ tốt nhất nhằm giúp đảm bảo rằng cần lưu trữ bằng chứng rõ ràng phục vụ kiểm toán đối với các giao dịch ngân hàng điện tử)

Nguyên tắc 10: Ngân hàng cần có biện pháp phù hợp trong việc bảo toàn tính bảo mật của thông tin ngân hàng điện tử quan trọng Các biện pháp sử dụng để bảo toàn tính bảo mật cần tương xứng với mức độ nhạy cảm của các thông tin được lưu chuyển và/hoặc lưu trữ tại các cơ sở dữ liệu

Bảo mật là việc đảm bảo rằng thông tin quan trọng vẫn giữ được tính riêng tư đối với ngân hàng và không bị đối tượng bất hợp pháp làm lộ hoặc sử dụng Việc sử dụng sai mục đích hoặc công bố dữ liệu bất hợp pháp sẽ gây rủi ro pháp lý và rủi ro uy tín cho ngân hàng Dịch vụ ngân hàng điện tử đã tạo thêm nhiều khó khăn về an ninh cho ngân hàng vì điều này đã làm tăng nguy cơ rủi ro về dữ liệu khi được lưu chuyển trên mạng công cộng hoặc lưu trữ tại cơ sở dữ liệu có thể bị truy cập bởi người hoặc đối tượng bất hợp pháp hoặc sử dụng theo cách mà khách hàng cung cấp thông tin không mong

muốn Ngoài ra, việc sử dụng nhiều dịch vụ của nhà cung cấp càng làm tăng rủi ro bị lộ thông tin cho bên thứ ba

(Phụ lục 1.9: thông lệ tốt nhất đảm bảo tính bảo mật về thông tin ngân hàng điện tử)

1.4.3 Quản trị rủi ro pháp lý và rủi ro uy tín

Luật pháp và qui chế liên quan đến bảo vệ khách hàng và tính riêng tư là khác nhau giữa các quốc gia Tuy nhiên, ngân hàng nói chung có trách nhiệm rõ ràng trong việc cung cấp cho khách hàng một mức độ bảo vệ phù hợp liên quan đến việc công bố thông tin, bảo vệ dữ liệu khách hàng và cung cấp dịch vụ liên tục tương đương với mức

độ mà khách hàng sử dụng các dịch vụ ngân hàng qua kênh cung cấp dịch vụ ngân hàng truyền thống

Nguyên tắc 11: Ngân hàng cần đảm bảo cung cấp đầy đủ thông tin trên trang chủ

để cho phép các khách hàng tiềm năng có đủ thông tin để kết luận về danh tính và trạng thái pháp lý của ngân hàng trước khi tiến hành giao dịch ngân hàng điện tử

Nhằm giảm thiểu rủi ro pháp lý và rủi ro uy tín liên quan đến các hoạt động ngân hàng điện tử được cung cấp trong và ngoài nước, ngân hàng cần đảm bảo cung cấp đầy đủ thông tin trên trang chủ để cho phép khách hàng có đủ thông tin kết luận về danh tính

và trạng thái pháp lý của ngân hàng trước khi tiến hành giao dịch ngân hàng điện tử

Ví dụ về thông tin mà ngân hàng có thể cung cấp trên trang chủ bao gồm:

- Tên của ngân hàng, địa chỉ của hội sở, văn phòng tại địa phương nếu cần thiết

- Danh tính của các cơ quan giám sát ngân hàng chính, chịu trách nhiệm giám sát hội sở ngân hàng

- Làm thế nào khách hàng có thể liên hệ với trung tâm dịch vụ khách hàng của ngân hàng về vấn đề dịch vụ, khiếu nại, nghi ngờ sử dụng tài khoản sai mục đích,…

- Làm thế nào khách hàng có thể truy cập và sử dụng chương trình thanh tra hoặc các chương trình khiếu nại

- Làm thế nào khách hàng có thể truy cập thông tin về đền bù quốc gia đang áp dụng hoặc bảo đảm tiền gửi và mức độ bảo vệ mà họ được hưởng (hoặc các đường dẫn đến trang web cung cấp các thông tin đó)

- Thông tin cần thiết khác hoặc buộc phải đăng tải theo qui định pháp luật

Nguyên tắc 12: Ngân hàng cần có biện pháp đảm bảo tuân thủ qui định của luật pháp về tính riêng tư của khách hàng, theo đó ngân hàng cung cấp các dịch vụ và sản phẩm ngân hàng điện tử

Duy trì sự riêng tư của thông tin khách hàng là một trách nhiệm quan trọng của ngân hàng Việc tiết lộ sai mục đích hoặc không được phép về dữ liệu bảo mật của khách hàng sẽ gây ra rủi ro về pháp lý và uy tín đối với ngân hàng

(Phụ lục 1.10: thông lệ tốt nhất giúp duy trì sự riêng tư của thông tin khách hàng sử dụng dịch vụ ngân hàng điện tử)

Nguyên tắc 13: Ngân hàng cần có năng lực phù hợp, qui trình kế hoạch dự phòng

và duy trì kinh doanh giúp đảm bảo sự hoạt động liên tục của hệ thống và dịch vụ ngân hàng điện tử

Để bảo vệ ngân hàng trước các rủi ro kinh doanh, rủi ro pháp lý và rủi ro uy tín, dịch

vụ ngân hàng điện tử cần được cung cấp trên cơ sở nhất quán và kịp thời theo kỳ vọng của khách hàng Để thực hiện được điều này, ngân hàng cần có khả năng cung cấp dịch

vụ ngân hàng điện tử cho người sử dụng đầu cuối từ nguồn sơ cấp (có nghĩa là các ứng dụng và hệ thống trong nội bộ ngân hàng) hoặc nguồn thứ cấp (có nghĩa là các ứng dụng và hệ thống của nhà cung cấp dịch vụ) Việc duy trì hoạt động liên tục cũng phụ thuộc vào khả năng của các hệ thống dự phòng nhằm phòng tránh các cuộc tấn công từ chối dịch vụ hoặc các sự kiện khác dẫn tới việc gián đoạn kinh doanh

Vấn đề duy trì khả năng hoạt động liên tục của hệ thống và ứng dụng ngân hàng điện

tử có thể là to lớn trong trường hợp có nhu cầu giao dịch cao, đặc biệt trong các giai đoạn cao điểm Ngoài ra, kỳ vọng ở mức độ cao của khách hàng liên quan tới thời gian chu kỳ xử lý giao dịch ngắn và khả năng cung cấp dịch vụ liên tục (24x7) cũng nâng tầm quan trọng của công tác xây dựng kế hoạch dự phòng, khả năng hoạt động liên tục

và kế hoạch duy trì kinh doanh

(Phụ lục 1.11: thông lệ tốt nhất liên quan đến năng lực, kế hoạch dự phòng và duy trì kinh doanh)

Nguyên tắc 14: Ngân hàng cần xây dựng các kế hoạch xử lý tình huống phù hợp nhằm quản lý, ngăn chặn và giảm thiểu các vấn đề xảy ra từ các sự kiện bất ngờ, bao gồm các cuộc tấn công từ bên trong và bên ngoài có thể làm ảnh hưởng đến khả năng cung cấp hệ thống và dịch vụ ngân hàng điện tử

Cơ chế xử lý tình huống hiệu quả là quan trọng trong việc giảm thiểu rủi ro tác nghiệp, rủi ro pháp lý và rủi ro uy tín nảy sinh từ các sự kiện bất ngờ như các cuộc tấn công từ bên trong và bên ngoài có thể làm ảnh hưởng đến việc cung cấp hệ thống và dịch vụ ngân hàng điện tử Ngân hàng cần xây dựng các kế hoạch xử lý tình huống phù hợp bao gồm các chiến lược truyền thông nhằm đảm bảo duy trì kinh doanh, kiểm soát rủi

ro uy tín và hạn chế trách nhiệm liên quan đến việc gián đoạn dịch vụ ngân hàng điện

tử, bao gồm cả các vấn đề xuất phát từ các hệ thống và nghiệp vụ đã thuê ngoài

(Phụ luc 1.12: thông lệ tốt nhất xây dựng kế hoạch đối phó với các sự kiện bất thường xảy ra)

1.5 Kinh nghiệm tại một số nước trên thế giới về quản trị rủi ro hoạt động ngân hàng điện tử

1.5.1 Tại Malaysia

Malaysia 18 đã phát triển hoạt động ngân hàng điện tử được gần 30 năm với kênh phân phối đầu tiên qua hệ thống máy giao dịch tự động ATM vào đầu những năm 1980, và tiếp theo là triển khai hoạt động Phone-banking và Home-banking cuối thập niên đó Hiện nay đã phát triển thêm các hoạt động như Mobile-banking, Kiosk-banking và Internet-banking

Tốc độ tăng trưởng nhanh chóng của hoạt động ngân hàng điện tử tại thị trường Malaysia đem lại không ít lợi ích cũng như rủi ro tiềm ẩn Và thách thức lớn nhất là vấn đề an toàn bảo mật thông tin, đặc biệt khi cung cấp dịch vụ qua Internet Các ngân hàng nhận thức được rằng điện tử không phải là vạn năng, và các hoạt động E-banking cần được giám sát như các hoạt động ngân hàng truyền thống, thậm chí còn chặt chẽ hơn, chú trọng và quy trình và cơ chế vận hành

Vấn đề bảo mật trong hoạt động ngân hàng điện tử được quản trị theo 3 giai đoạn:

Giai đoạn 1 là, xây dựng chính sách, quy trình và giải pháp liên quan đến bảo

mật khi thông tin khách hàng được gửi từ máy khách đến trang chủ của khách hàng

Giai đoạn 2 là, thiết lập môi trường bảo mật lưu trữ cơ sở dữ liệu của máy chủ

và thông tin khách hàng, thông qua các biện pháp như giám sát hoạt động ngân hàng điện tử, sử dụng mật khẩu, mã hóa và bảo mật thông tin, phát hiện và phòng chống virus, bức tường lửa

Giai đoạn 3 là, tiếp nhận phản hồi và không ngừng nâng cấp quy trình bảo mật

Vấn đề an ninh trong hoạt động ngân hàng điện tử không chỉ được xem xét đơn giản là việc ứng dụng các phần mềm và phần cứng vào quản lý, mà yêu cầu các giải pháp an ninh liên tục phù hợp với chính sách an ninh đã được thiết lập Ngay từ trước khi triển

khai dịch vụ, các ngân hàng phải đảm bảo khả năng xử lý các sự cố an ninh thông qua việc đáp ứng các yêu cầu về vận hành và cơ sở hạ tầng của ngân hàng Trung ương như yêu cầu về quyền ưu tiên và biện pháp xác thực, kiểm soát tiếp cận logic và vật lý, kiểm soát người dùng nội bộ và bên ngoài thông qua các thiết bị phát hiện xâm nhập trái phép, tường lửa, đảm bảo sự nguyên vẹn của dữ liệu giao dịch, bản ghi và thông tin Ngoài ra, cần duy trì việc kiểm soát lưu vết đối với các giao dịch E-banking và duy trì bảo mật các thông tin E-banking quan trọng theo mức độ nhạy cảm của thông tin Trong khi nhận thức về an ninh mạng của người dân còn tương đối thấp thì các ngân hàng càng phải tăng cường hoạt động giám sát liên tục cũng như thực hiện chính sách

an ninh nội bộ nghiêm ngặt

1.5.2 Tại Singapore

Ở Singapore 19, dịch vụ Internet banking đầu tiên đã xuất hiện từ năm 1997, số lượng các công ty cung cấp dịch vụ ngân hàng có lẽ chiếm tỷ lệ lớn nhất so với các loại hình dịch vụ khác Dịch vụ tài chính mang tính cạnh tranh cao, nhưng bên cạnh các ngân hàng hiện đại Singapore vẫn tồn tại các ngân hàng truyền thống Tính tự động hoá về lĩnh vực này rất cao, có thể xử lý tự động các dịch vụ ngân hàng, từ xử lý đơn, thư tín dụng đến thanh toán, rút tiền Khi ngân hàng thấy có rủi ro hệ thống sẽ cảnh báo và thông tin về khách hàng được các ngân hàng chia sẻ cùng một kho cơ sở dữ liệu của quốc gia được các ngân hàng thuê và kết nối bởi hệ thống mạng bậc cao trong toàn quốc, nghĩa là tất cả các ngân hàng ở Singapore đều để dữ liệu của mình ở kho cơ sở

dữ liệu quốc gia Một đặc điểm nữa là các khách hàng tại Singapore sử dụng thẻ là chủ yếu, hầu như ai là công dân Singapore cũng ít nhất có một loại thẻ tín dụng thanh toán, giao dịch với ngân hàng Thói quen dùng thẻ đã khiến tất cả các dịch vụ công cộng hay nhà hàng đều thanh toán bằng thẻ

Hiện ngân hàng DBS là ngân hàng lớn nhất ở Singapore Riêng ngân hàng này sử dụng chương trình Vison Plus nó có khả năng xử lý các dịch vụ ngân hàng và báo cáo chi

tiết tình trạng khách hàng bằng cách cho điểm khách hàng, ngân hàng này xử lý đăng

ký thẻ ghi nợ 47.000 đơn/tháng và 5.300 đơn/tháng với thẻ tín dụng khác, hiện ngân hàng này đang quản lý 2 triệu thẻ đang hoạt động Hiện trên 250 dịch vụ ngân hàng đã được tự động hoá cao ở đây Năm 2003 các ngân hàng hiện đại ở Singapore xử lý dữ liệu và thanh toán hoàn toàn bằng thẻ thông minh được gọi là thẻ Chip theo tiêu chuẩn ISO 1900/MIDV Các chi nhánh của ngân hàng lớn tại đây không xử lý dữ liệu mà chỉ thực hiện nghiệp vụ của ngân hàng mình, phần xử lý dữ liệu được tập trung hoá cao ở trụ sở chính của ngân hàng

Ngoài ra, để tạo cho người dùng sụ tin cậy khi sử dụng Internet banking, ngân hàng Trung ương Singapore đã nghiên cứu bối cảnh an ninh ở các quốc gia khác, xây dựng tiêu chuẩn phù hợp cho Singapore và giúp các ngân hàng thương mại triển khai được các tiêu chuẩn đó Mặt khác, ngân hàng Trung ương Singapore giúp các ngân hàng thương mại không bị ảnh hưởng đến uy tín cũng như hình ảnh của họ khi bị tấn công, tạo lòng tin của người dùng đối với các dịch vụ trực tuyến và khuyến khích họ sử dụng

Có thể thấy vai trò của Chính phủ Singapore là xây dựng, ban hành các tiêu chuẩn, các quy định, các định hướng để các ngân hàng tuân thủ và một khi họ tuân thủ họ sẽ được

an toàn, nếu ngân hàng không tuân theo buộc phải đóng cửa hoặc có những chế tài phù hợp Cụ thể, tháng 12/2006, Singapore chính thức đưa vào vận hành hệ thống xác thực

2 nhân tố để đảm bảo an toàn cho hệ thống Internet banking tại quốc gia này Để xác thực, hệ thống an toàn thông tin này sử dụng nhiều nhân tố khác nhau như: cái bạn có (chẳng hạn như mật khẩu, token); cái bạn biết; hay cái bạn làm…hệ thống sử dụng 2 nhân tố xác thực thuộc 2 nhóm khác nhau kể trên để xác thực giúp tăng tính an toàn

1.5.3 Tại Mỹ

Website của các ngân hàng xuất hiện lần đầu tiên trên mạng Internet vào khoảng giữa những năm 1990 Ý tưởng sử dụng các lợi thế của Internet trong cuộc cạnh tranh trên

thị trường tài chính đã dẫn đến sự ra đời của các ngân hàng cung cấp dịch vụ hoàn toàn trên mạng

Để hạn chế rủi ro giao dịch trong E-banking 20

, ngoài việc đẩy mạnh hỗ trợ nghiên cứu, phát triển hạ tầng cơ sở công nghệ thông tin, khuyến khích các ngân hàng tăng cường đầu tư cho hệ thống E-banking và các giải pháp bảo mật, chính phủ Mỹ còn đẩy mạnh hoạt động tuyên truyền nhằm nâng cao nhận thức của khách hàng sử dụng Internet banking cũng như các ngân hàng Phòng quản lý tiền tệ trực thuộc ngân hàng trung ương đưa ra các văn bản hướng dẫn (Internet banking-Comptroller handbook, Authentication in an Electronic Banking Environment-2001 Guidance…) xây dựng các quy tắc (Final Rule on Electronic Banking) và tổ chức các khóa đào tạo giúp cho các nhà cung cấp dịch vụ, các đơn vị gia công phần mềm và các ngân hàng có thể xây dựng những thủ tục, quy trình giám sát và kiểm tra hoạt động E-banking Các quy tắc, văn bản hướng dẫn này thường xuyên được cập nhật và thay đổi cho phù hợp với môi trường công nghệ thông tin luôn biến động và yêu cầu kinh doanh thay đổi

1.5.4 Bài học kinh nghiệm cho ACB

Một là, ngân hàng phải xây dựng một chính sách an ninh hợp lý và tuân thủ nghiêm

ngặt chính sách đó Mặt khác, các khách hàng cũng phải tuân thủ chính sách đó, đồng thời phối hợp và có trách nhiệm bảo vệ hệ thống điện tử của ngân hàng khỏi các hành

vi khai thác bất hợp pháp, nâng cao ý thức tự bảo vệ của khách hàng

Hai là, trước khi cung cấp dịch vụ ngân hàng điện tử ra thị trường, ngân hàng phải đảm

bảo được sản phẩm đáp ứng yêu cầu của pháp luật

Ba là, xây dựng và tuân thủ chính sách an ninh mạng nghiêm ngặt, góp phần tăng

cường tính bảo mật thông tin và an toàn trong giao dịch ngân hàng điện tử đối với khách hàng và ngân hàng