Quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam

Tài liệu tham khảo tài chính ngân hàng Quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam

MỤC LỤC

LỜI MỞ ĐẦU 1

CHƯƠNG I: CƠ SỞ KHOA HỌC VỀ QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ 6

I / TỔNG QUAN VỀ NGÂN HÀNG ĐIỆN TỬ 6

1 Khái niệm về ngân hàng điện tử 6

2 Phân loại ngân hàng điện tử 7

2.1 Hoạt động ngân hàng điện tử qua hệ thống máy giao dịch tự động (ATM-banking) 8

2.2 Hoạt động ngân hàng điện tử qua hệ thống máy chấp nhận thẻ (POS-banking) 8

2.3 Hoạt động ngân hàng điện tử qua điện thoại cố định (telephone-banking) 10

2.4 Hoạt động ngân hàng điện tử qua điện thoại di động 11

2.5 Hoạt động ngân hàng điện tử qua mạng máy tính cục bộ (home-banking) 11

2.6 Hoạt động ngân hàng điện tử qua mạng máy tính toàn cầu (internet-banking) 12

2.7 Hoạt động ngân hàng điện tử qua trung tâm ngân hàng tự động (kiosk-banking) 14

3 Thách thức đối với hoạt động ngân hàng điện tử 14

3.1 Vốn đầu tư lớn 14

3.2 An ninh bảo mật 15

3.3 Quản trị rủi ro 16

II / QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ 16

1 Khái niệm về rủi ro và quản trị rủi ro 16

1.1 Khái niệm về rủi ro 17

1.2 Khái niệm quản trị rủi ro 17

2 Các loại rủi ro trong hoạt động ngân hàng điện tử 17

2.1 Rủi ro chiến lược 18

2.1.1 Khái niệm rủi ro chiến lược 18

2.1.2 Nguyên nhân gây ra rủi ro chiến lược 18

2.2 Rủi ro hoạt động 19

2.2.1 Khái niệm về rủi ro hoạt động 19

2.2.2 Nguyên nhân gây ra rủi ro hoạt động: 19

2.3 Rủi ro uy tín 21

2.3.1 Khái niệm rủi ro uy tín 21

2.3.2 Nguyên nhân gây ra rủi ro uy tín 21

2.4 Rủi ro pháp lý 23

2.4.1 Khái niệm về rủi ro pháp lý 23

2.4.2 Nguyên nhân gây ra rủi ro pháp lý 23

2.5 Các rủi ro khác 24

3 Quản trị rủi ro trong hoạt động ngân hàng điện tử 25

3.1 Quản trị rủi ro chiến lược 25

3.1.1 Phân tích chi phí / lợi nhuận 25

3.1.2 Đánh giá mức độ sẵn sàng của ngân hàng 25

3.1.3 Xây dựng quy trình quản trị rủi ro 25

3.2 Quản trị rủi ro hoạt động 26

3.2.1 Kiểm soát an ninh 26

3.2.2 Xác thực giao dịch 27

3.2.3 Bảo mật thông tin 28

3.3 Quản trị rủi ro pháp lý và rủi ro uy tín 29

3.3.1 Cung cấp đầy đủ thông tin về ngân hàng 29

3.3.2 Bảo mật thông tin riêng của khách hàng 30

3.3.3.Đảm bảo đủ năng lực cung ứng dịch vụ 30

III KINH NGHIỆM CỦA MỘT SỐ NƯỚC VỀ QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ 31

1 Kinh nghiệm của Malaysia về quản trị rủi ro trong hoạt động ngân hàng điện tử 31

2 Kinh nghiệm của Singapore về quản trị rủi ro trong hoạt động ngân hàng điện tử 34

CHƯƠNG II: THỰC TRẠNG QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM 36

I / TỔNG QUAN VỀ HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM 36

1 Quá trình triển khai ngân hàng điện tử của các ngân hàng thương mại Việt Nam 36

1.1 Dịch vụ ATM-banking và POS-banking 37

1.2 Các dịch vụ ngân hàng điện tử khác 39

2 Đánh giá tình hình triển khai dịch vụ ngân hàng điện tử tại Việt nam 40

2.1 Những kết quả đạt được 40

2.2 Những mặt còn hạn chế 41

II / THỰC TRẠNG QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM 43

1 Quản trị rủi ro chiến lược trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 43

1.1 Rủi ro chiến lược trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 43

1.2 Quản trị rủi ro chiến lược trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 44

2 Quản trị rủi ro hoạt động trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 45

2.1 Rủi ro hoạt động trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 45

2.2 Quản trị rủi ro hoạt động trong hoạt động ngân hàng điện tử

tại các ngân hàng thương mại Việt Nam 48

2.2.1 Xây dựng chính sách an ninh 48

2.2.2 Phương pháp nhận dạng người sử dụng 49

2.2.3 Một số biện pháp bảo mật khác 51

3 Quản trị rủi ro uy tín và pháp lý trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 52

3.1 Rủi ro uy tín và pháp lý trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 52

3.2 Quản trị rủi ro uy tín và pháp lý trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam 56

III / ĐÁNH GIÁ HOẠT ĐỘNG QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM 57

1 Những điểm mạnh của quản trị rủi ro trong hoạt động ngân hàng điện tử tại các NHTM Việt Nam 57

1.1 Thích ứng nhanh với biến động của thị trường 58

1.2 Bắt đầu nhận thức được tầm quan trọng của vấn đề an toàn, bảo mật 58

1.3 Ngôn ngữ sử dụng trong giao dịch dễ hiểu 58

2 Những hạn chế của quản trị rủi ro trong hoạt động ngân hàng điện tử tại các NHTM Việt Nam 58

2.1 Những hạn chế trong quản trị rủi ro chiến lược 58

2.2 Những hạn chế trong quản trị rủi ro hoạt động 59

2.3 Những hạn chế trong quản trị rủi ro uy tín và pháp lý 59

CHƯƠNG III : GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM 61

I / XU HƯỚNG PHÁT TRIỂN NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM 61

1 Xu hướng phát triển của ATM-banking 61

2 Xu hướng phát triển của Internet-banking 62

II / MỘT SỐ GIẢI PHÁP NHẰM NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI VIỆT NAM 65

1 Về phía Nhà nước 65

1.1 Ban hành các văn bản pháp lý, tạo hành lang pháp lý cho hoạt động ngân hàng điện tử 65

1.2.Định hướng thống nhất về áp dụng nền tảng công nghệ và tiêu chuẩn an toàn cần thiết 66

1.3 Tăng cường đầu tư và phát triển hạ tầng về viễn thông, thông tin 67

2 Về phía các ngân hàng thương mại 67

2.1 Quản trị rủi ro chiến lược 67

2.1.1 Lựa chọn phát triển dịch vụ ngân hàng điện tử 67

2.1.2 Xây dựng chiến lược kinh doanh trong tầm trung và dài

hạn 68

2.1.3 Chú trọng chất lượng về nhân sự 68

2.1.4 Thiết lập cơ chế giám sát quản lý rủi ro hiệu quả 69

2.2 Về quản trị rủi ro hoạt động 71

2.1.2 Đánh giá và phê duyệt các nội dung cơ bản của quy trình kiểm soát bảo mật của ngân hàng 71

2.1.3 Quan tâm đúng mức và thiết lập quy trình giám sát các quan hệ với bên ngoài và các sản phẩm của đối tác hỗ trợ hoạt động E-banking (bên thứ 3) 71

2.2.1 Xác thực và phân quyền cho khách hàng khi thực hiện giao dịch qua Internet 72

2.2.2 Xác thực giao dịch, hạn chế việc thoái thác và thiết lập giải trình cho các giao dịch E-banking 73

2.2.3 Tách biệt nhiệm vụ trong các hệ thống, CSDL và các ứng dụng E-banking 74

2.2.4 Kiểm soát quyền và phân quyền đối với các hệ thống, CSDL và các ứng dụng E-banking 74

2.2.5 Bảo vệ tính toàn vẹn dữ liệu của các giao dịch, bản ghi và thông tin E-banking 75

2.2.6 Lưu vết đối với quá trình giao dịch E-banking 76

2.2.7 Bảo mật thông tin E-banking quan trọng, thông tin có tính nhạy cảm được chuyền và/hoặc lưu trong CSDL 76

2.3 Về quản trị rủi ro về pháp lý và uy tín 77

2.3.1 Cung cấp đầy đủ thông tin về ngân hàng 77

2.3.2 Đáp ứng các yêu cầu của khách hàng, phù hợp về mặt pháp lý 77

2.3.3 Có kế hoạch dự phòng nhằm đảm bảo tính sẵn sàng cao của dịch vụ và hệ thống E-banking 78

2.3.4 Xây dựng các kế hoạch đối ứng 79

2.3.5 Nâng cao trình độ của khách hàng 80

KẾT LUẬN 81

DANH MỤC TÀI LIỆU THAM KHẢO 82

PHỤ LỤC 84

DANH MỤC TỪ VIẾT TẮT

Agribank Ngân hàng Nông nghiệp và Phát triển nông thôn

ATM Automated Teller Machine, máy rút tiền tự độn

BKIS Bach Khoa Internetwork Security Center, Trung tâm An

ninh mạng Bách KhoaBNM Bank Negara Malaysia, Ngân hàng Trung Ương

Malaysia

EAB, DongA Bank Ngân hàng Đông Á

ICB, Incombank Ngân hàng Công thương

IBSP Hệ thống thanh toán điện tử liên ngân hàng

NHTMCP Ngân hàng thương mại cổ phần

PIN Personal Identification Number

Số nhận dạng cá nhânPOS Point of sale, Điểm bán hàng, điểm chấp nhận thẻ

TCB, Techcombank Ngân hàng Kỹ thương Việt Nam

VCB, Vietcombank Ngân hàng Ngoại Thương

DANH MỤC CÁC HÌNH

Hình 1: Hệ thống bảo mật trong hoạt động ngân hàng điện tử 32

Hình 2: Mô hình thanh toán điện tử liên ngân hàng 36

Hình 3: Chính sách an ninh của Agribank 49

Hình 4: Phương pháp xác thực người sử dụng của Agribank 50

Hình 5: Theo dõi/giám sát với IP camera - giải pháp của Sony 51

Hình 6: Phát triển người dùng Internet 2001-2006 63

Hình 7: Chi phí đầu tư cho việc phục vụ một khách hàng 64

DANH MỤC CÁC BẢNG Bảng 1: Một vài số liệu thống kê về thị trường thanh toán thẻ Việt Nam 37

Bảng 2: So sánh thị trường thẻ Việt Nam và quốc gia khác 61

Bảng 3: Chi phí trung bình cho một giao dịch ngân hàng 64

LỜI MỞ ĐẦU

1 Tính cấp thiết của đề tài

Ngày nay, sự phát triển của khoa học công nghệ, đặc biệt là ngành côngnghệ thông tin, ngành điện tử - tin học, đã tác động đến mọi mặt hoạt động củađời sống, kinh tế - xã hội, làm thay đổi nhận thức và phương pháp sản xuất kinhdoanh của nhiều lĩnh vực, nhiều ngành kinh tế khác nhau, trong đó có lĩnh vựcngân hàng Nếu như trong các lĩnh vực khác, công nghệ thông tin chỉ để trợ giúpcho công tác quản trị thì riêng với ngành ngân hàng, đây lại là một bộ phận cấuthành kinh doanh Xu thế phát triển và cạnh tranh của các ngân hàng dựa trênnền tảng công nghệ tiên tiến - hoạt động ngân hàng điện tử - là xu hướng tất yếu,mang tính khách quan trong thời đại hội nhập kinh tế quốc tế Thực tế cho thấyngân hàng điện tử đem lại không ít lợi ích cho khách hàng, ngân hàng và chotoàn bộ nền kinh tế

Không nằm ngoài xu thế đó, trong những năm gần đây, các ngân hàngViệt Nam đã, đang và sẽ có rất nhiều nỗ lực trong việc hiện đại hoá công nghệngân hàng Và khi Việt Nam đã trở thành thành viên chính thức thứ 150 của tổchức thương mại thế giới WTO, những cam kết quốc tế của Việt Nam trong việc

mở cửa thị trường tài chính - ngân hàng đòi hỏi các Ngân hàng thương mại ViệtNam phải hội nhập sâu rộng hơn trong lĩnh vực tài chính - ngân hàng, phải đổimới phương thức kinh doanh, từ kinh doanh các dịch vụ truyền thống sang cácdịch vụ hiện đại Cho đến nay, nhiều sản phẩm và dịch vụ ngân hàng điện tử lầnlượt được tung ra thị trường đã thu hút được sự quan tâm của cả khách hàng cánhân lẫn khách hàng doanh nghiệp, đáp ứng được phần nào nhu cầu của nềnkinh tế đặc biệt đáp ứng tối đa giá trị gia tăng cho khách hàng và cho xã hội, gópphần thúc đẩy mạnh công nghiệp hoá hiện đại hoá nền kinh tế

Tuy nhiên, việc “chạy đua” vào thị trường mới mẻ này dường như làmcho các tổ chức tín dụng lãng quên việc nhận diện rủi ro đối với nghiệp vụ ngânhàng điện tử Nhiều ý kiến cho rằng điện tử là vạn năng, do đó khi chuyển đổi

sang “chế độ điện tử” là không hề có rủi ro Nhưng thực tế đã chứng minh sựnhanh nhạy của công nghệ hiện đại luôn đi kèm với rủi ro lớn, và một khi conngười không kiểm soát được sẽ dẫn đến hậu quả khó lường Thực trạng hoạtđộng của ngân hàng điện tử tại Việt Nam đã cho thấy những hạn chế về trình độcũng như kinh nghiệm dẫn đến hiệu quả của công tác quản trị rủi ro trong hoạtđộng ngân hàng điện tử chưa cao Trong thời gian qua đã xảy ra hàng loạt các vụkhiếu nại, thậm chí khiếu kiện của khách hàng liên quan đến việc mất tiền trongtài khoản cũng như chất lượng dịch vụ ngân hàng điện tử Tuy nhiên, các ngânhàng Việt Nam vẫn chưa có biện pháp xử lý sự việc một cách thoả đáng, làmgiảm lòng tin của khách hàng vào dịch vụ Chính vì vậy, nghiên cứu thực trạng

và tìm ra những giải pháp nâng cao năng lực quản trị rủi ro trong hoạt động ngânhàng điện tử là điều mà ngành ngân hàng Việt Nam nói chung và các ngân hàngthương mại nói riêng luôn hướng tới

Nhận thấy sự cần thiết, lợi ích cũng như tầm quan trọng của vấn đề trên

nên em quyết định chọn đề tài: “ Quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam ” để viết khoá luận tốt nghiệp của mình.

2 Mục đích nghiên cứu của đề tài

Khoá luận này được thực hiện nhằm đưa ra những cơ sở khoa học chungnhất về quản trị rủi ro trong hoạt động ngân hàng điện tử, đánh giá khái quát vềnăng lực quản trị rủi ro trong hoạt động ngân hàng điện tử của các ngân hàngthương mại Việt Nam và đưa ra một số giải pháp nhằm nâng cao hơn nữa nănglực quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam trong thờigian trước mắt

3 Phạm vi nghiên cứu của đề tài

Công tác quản trị rủi ro trong hoạt động ngân hàng điện tử thường gồm 4nội dung là: nhận biết rủi ro; đo lường, đánh giá rủi ro; phòng ngừa, hạn chế rủi

ro và theo dõi, giám sát rủi ro Tuy nhiên, do thời gian nghiên cứu có hạn nênkhoá luận tập trung nghiên cứu 2 nội dung là nhận diện và phòng ngừa, hạn chếcác rủi ro chiến lược, rủi ro hoạt động, rủi ro uy tín và rủi ro pháp lý trong dịch

vụ ngân hàng điện tử bán lẻ tại các ngân hàng thương mại Việt Nam Và các sốliệu trong phần thực trạng là từ năm 2000 đến năm 2007.

4 Các vấn đề khoá luận cần giải quyết

Với mục đích nghiên cứu như trên, khoá luận này tập trung giải quyết câu

hỏi chính được đưa ra là: “Làm thế nào nâng cao năng lực quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam?”

Hoạt động quản trị rủi ro trong ngân hàng điện tử thường bao gồm bốn nộidung chính là: quản trị rủi ro chiến lược, quản trị rủi ro hoạt động, quản trị rủi ro

uy tín, và quản trị rủi ro pháp lý Do đó, để trả lời câu hỏi chính, khoá luận cầnphải lần lượt đi vào giải quyết bốn câu hỏi phụ Khi tất cả các câu hỏi phụ đượcgiải quyết thoả đáng thì đồng thời câu hỏi chính được giải quyết

Câu hỏi chính:

Làm thế nào để nâng cao khả năng quản trị rủi ro

trong hoạt động ngân hàng điện tử tại Việt Nam?

Câu hỏi phụ cần giải quyết

Làm thế nào để nâng cao khả năng quản trị rủi ro pháp lý trong NHĐT tại Việt Nam?

Làm thế nào để nâng cao khả năng quản trị rủi ro chiến lược trong NHĐT tại Việt Nam?

5 Phương pháp giải quyết vấn đề

Từ những cơ sở khoa học chung nhất về quản trị rủi ro trong hoạt độngngân hàng điện tử, kết hợp với việc phân tích va tổng hợp các tài liêu thu thậpđược từ sách, báo, tạp chí, Internet…, người viết đưa ra những nhận xét, đánhgiá về năng lực quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam

và có so sánh với kinh nghiêm của các ngân hàng nước ngoài Qua đó, ngườiviết đã lần lượt giải quyết các câu hỏi phụ nhằm hướng tởi trả lời câu hỏi chínhcủa khoá luận

6 Cấu trúc của khóa luận

Ngoài phần mở đầu, kết luận, mục lục, danh từ viết tắt và danh mục tàiliệu tham khảo, khoá luận được kết cấu thành 3 chương Trong đó, chương I đưa

ra những cơ sở khoa học chung nhất để giải quyết vấn đề đưa ra trong khoá luận.Chương II lần lượt phân tích thực trạng quản trị rủi ro trong hoạt động ngânhàng điện tử tại Việt Nam theo các câu hỏi phụ đã nêu ra Chương III đưa ra một

số kiến nghị và giải pháp nhằm nâng cao khả năng quản trị rủi ro trong hoạtđộng ngân hàng điện tử của các ngân hàng thương mại Việt Nam

Chương I: Cơ sở khoa học về quản trị rủi ro trong hoạt động ngân hàng

điện tử

Chương I đưa ra một cái nhìn khái quát về hoạt động ngân hàng điện tử,quản trị rủi ro trong hoạt động ngân hàng điện tử và kinh nghiệm quản trị rủi rocủa một số nước trên thế giới

Chương II: Thực trạng quản trị rủi ro trong hoạt động ngân hàng điện

tử tại Việt Nam

Chương II được chia làm 3 phần lớn:

 Tổng quan về hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam: đánh giá về kết quả đạt được và hạn chế của các ngân hàng

thương mại Việt Nam khi áp dụng dịch vụ ngân hàng điện tử…

 Quản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam: thực

trạng quản trị rủi ro chiến lược, quản trị rủi ro hoạt động, quản trị rủi ro uy tín,

và quản trị rủi ro pháp lý các ngân hàng thương mại Việt Nam…

 Đánh giá quản trị rủi ro trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam: đưa ra những nhận xét, đánh giá chung về

những điểm mạnh và những hạn chế về quản trị rủi ro trong hoạt động ngânhàng điện tử tại Việt Nam…

Chưong III: Giải pháp nhằm nâng cao năng lực quản trị rủi ro trong

hoạt động ngân hàng điện tử tại Việt Nam

Xu hướng phát triển của ngân hàng điện tử tại Việt Nam trong thời giantới Đưa ra một số giải pháp và kiến nghị cơ bản nhất đối với Nhà nước cũngnhư đối với các ngân hàng thương mại Việt Nam để nâng cao hơn nữa khả năngQuản trị rủi ro trong hoạt động ngân hàng điện tử tại Việt Nam

Do những hạn chế về thời gian nghiên cứu và kiến thức cũng như nguồntài liệu tham khảo trước một đề tài còn mới nên khoá luận không tránh khỏinhững thiếu sót rất mong nhận được sự góp ý và phê bình từ phía các thầy cô vàbạn đọc

Em xin chân thành cảm ơn sự hướng dẫn tận tình của Th.S Phạm ThuHương, sự giúp đỡ của gia đình và bạn bè trong suốt quá trình hoàn thành khoáluận này

Hà Nội, tháng 11/2007

Sinh viên

Phạm Thanh Giang

CHƯƠNG I: CƠ SỞ KHOA HỌC VỀ QUẢN TRỊ RỦI

RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ

I / TỔNG QUAN VỀ NGÂN HÀNG ĐIỆN TỬ

1 Khái niệm về ngân hàng điện tử

Cùng với sự phát triển của thương mại điện tử, ngân hàng điện tử - việcphát triển thương mại điện tử trong lĩnh vực ngân hàng – đã có những bước tiếnquan trọng Ngày nay, hầu hết các ngân hàng và tổ chức tín dụng đã ứng dụngcông nghệ thông tin, cụ thể là máy tính và mạng máy tính, vào hoạt động ngânhàng Tuy nhiên, nếu chỉ dừng lại ở tác nghiệp nghiệp vụ ngân hàng thì chưa thểgọi là ngân hàng điện tử mà bao hàm cả yếu tố kỹ thuật và phục vụ: tự động vàdịch vụ Đã có rất nhiều cách định nghĩa khác nhau về hoạt động ngân hàng điệntử:

Ngân hàng Commonweath Bank - ngân hàng có mạng lưới ATM lớn nhấtAustralia - đã liệt kê ra các dịch vụ của mình để định nghĩa hoạt động ngân hàngđiện tử: “Ngân hàng điện tử là một loạt các dịch vụ ngân hàng có sử dụng thiết

bị điện tử, bao gồm: ATM, telephone banking, internet banking, chuyển khoản

tự động AFT,… đem lại sự thuận tiện cho khách hàng khi tiến hành hầu hết cácgiao dịch ngân hàng tại bất ký thời điểm nào.”1

Theo định nghĩa của Ngân hàng Trung Ương Bahamas trong “Guidelines for electronic banking” thì “ngân hàng điện tử (e-banking) là hoạt động phân

phối tự động các sản phẩm và dịch vụ ngân hàng truyền thống cũng như hiện đạitrực tiếp đến khách hàng thông qua kênh giao tiếp tương tác điện tử E-bankingbao gồm các hệ thống cho phép các khách hàng cá nhân hay doanh nghiệp tiếpcận với tài khoản, thực hiện các giao dịch hoặc nhận được các thông tin về sảnphẩm và dịch vụ ngân hàng thông qua mạng công cộng hoặc nội bộ, trong đó cóInternet.”2

1 Commonwealth Bank of Australia, “Electronic Banking - General Information and Terms and Conditions

(Ngân hàng điện tử - Thông tin và các điều khoản chung)”, 29/01/2007, Tr.1

2 Ngân hàng Trung Ương Bahamas, “Guidelines for electronic banking (Quy định về các nguyên tắc trong hoạt

động ngân hàng điện tử)”, 6/6/2006, Tr.1

Theo Quy định về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử của Ngân hàng Nhà nước Việt Nam ban hành ngày 31/7/2006 thì

“Hoạt động ngân hàng điện tử là hoạt động ngân hàng được thực hiện qua cáckênh phân phối điện tử” Trong đó, khái niệm kênh phân phối điện tử không chỉđược hiểu thuần tuý là cầu nối đưa sản phẩm và dịch vụ hoàn chỉnh từ ngânhàng đến người tiêu dùng, mà là một khái niệm bao hàm mọi hoạt động bêntrong và bên ngoài ngân hàng để xử lý và thực hiện dịch vụ đến khách hàng

“Kênh phân phối điện tử là hệ thống các phương tiện điện tử và quy trình tựđộng xử lý giao dịch được tổ chức tín dụng sử dụng để giao tiếp với khách hàng

và cung ứng các sản phẩm, dịch vụ ngân hàng cho khách hàng.” Theo đó, kênhphân phối điện tử gồm tổng thể các quy trình và hệ thống phương tiện điện tửgiao dịch với khách hàng như hệ thống máy ATM, POS,…; hệ thống quản lý và

xử lý dữ liệu – giao dịch tại các ngân hàng; hệ thống giao tiếp và xử lý giao dịchliên ngân hàng

Thực chất của ngân hàng điện tử là việc thiết lập một kênh trao đổi thôngtin tài chính giữa khách hàng và ngân hàng nhằm phục vụ nhu cầu sử dụng dịch

vụ ngân hàng của khách hàng một cách nhanh chóng, an toàn và thuận tiện

Như vậy, khái niệm “ngân hàng điện tử” hay E-banking trong khóa luận

này được hiểu là việc sử dụng các kênh phân phối điện tử để cung cấp các sản phẩm và dịch vụ ngân hàng.

2 Phân loại ngân hàng điện tử

Cách phân loại này dựa trên tên gọi của thiết bị đầu cuối hoặc cơ chế hoạtđộng của dịch vụ ngân hàng điện tử

2.1 Hoạt động ngân hàng điện tử qua hệ thống máy giao dịch tự động banking) 3

(ATM-ATM hay máy giao dịch tự động là một thiết bị ngân hàng giao dịch tựđộng với khách hàng, thực hiện việc nhận dạng khách hàng thông qua thẻ ATM,

3 Bách khoa toàn thư mở Wikipedia Việt Nam, vi.wikipedia.org , ngày 1/10/2007

thẻ ghi nợ, thẻ tín dụng hay các thiết bị tương thích, và giúp khách hàng kiểm tratài khoản, rút tiền mặt, chuyển khoản thanh toán hàng hóa, dịch vụ.

Ngoài chức năng cơ bản cho phép khách hàng rút tiền mặt, in sao kê,chuyển khoản thanh toán, nhiều ngân hàng đã bổ sung thêm dịch vụ gửi tiềnmặt, gửi ngân phiếu vào tài khoản, thanh toán tiền điện, nước, điện thoại, bán véhay các giao dịch điện tử trực tiếp khác cho các máy rút tiền tự động Sự khácnhau này là những giao dịch thuộc giá trị gia tăng của thẻ do ngân hàng đó tạo

ra, nhằm tạo thế khác biệt trong cạnh tranh và nâng cao năng lực của thẻ ATMcho khách hàng của ngân hàng mình

Máy rút tiền tự động, phối hợp với thẻ ATM hay thẻ ghi nợ, khuyến khíchngười dân sử dụng dịch vụ ngân hàng cho chi tiêu hàng ngày Một ví dụ là cácông chủ có thể trả lương nhân viên qua tài khoản ngân hàng, và người nhậnlương có thể lấy tiền mặt từ tài khoản qua các máy thay vì phải giao dịch vớinhân viên ngân hàng

Dữ liệu của các giao dịch ATM-banking được truyền qua hệ thống mạngATM-banking Đó có thể là đường truyền thuê bao, đường mạng dial-up theođiện thoại hay các đường truyền dữ liệu không dây nối giữa các máy ATM đến

Về bản chất, POS – đơn vị chấp nhận thẻ - là nhà hàng, khách sạn, siêuthị… được lắp đặt máy EDC và có chấp nhận thanh toán thẻ Dịch vụ ngân hàng

này được triển khai tại các điểm chấp nhận thanh toán thẻ thông qua hợp đồng chấp nhận thẻ đó Việc thực hiện các giao dịch này tại điểm chấp nhận thanh

toán phải có 2 điều kiện: 4

 Điểm chấp nhận này đã có hợp đồng chấp nhận thanh toán thẻ này vớingân hàng phát hành hoặc là đại lý thanh toán của ngân phát hành và được ngânhàng trang bị loại máy thanh toán phù hợp

 Khách hàng khi thực hiện giao dịch phải nhập mã số cá nhân của mình(PIN), chính vì phải nhập mã số cá nhân nên việc được trang bị loại máy phùhợp mới có thể thực hiện được giao dịch, do có nhiều loại máy hiện không chophép khách hàng nhập mã số cá nhân vào máy

Công dụng của máy POS là có thể thanh toán hàng hóa tại các siêu thị,trung tâm thương mại, cửa hàng ; thanh toán phí dịch vụ như điện, nước, điệnthoại, bảo hiểm ; thực hiện các giao dịch như kiểm tra số dư, chuyển khoản ,hay một chức năng ít được biết đến như rút tiền mặt Như vây, POS-bankingthực sự khác biệt so với ATM-banking Nếu ATM chỉ đơn giản thay cho cái vítiền thì POS còn nhiều lợi ích hơn thế Thông qua POS, khách hàng vừa có thểrút tiền như thẻ ATM, vừa có thể thanh toán trực tiếp

2.3 Hoạt động ngân hàng điện tử qua điện thoại cố định banking) 5

(telephone-Telephone-banking là hệ thống trả lời tự động hoạt động 24/24, kháchhàng nhấn vào các phím trên bàn phím điện thoại theo mã do ngân hàng quyđịnh trước để yêu cầu hệ thống trả lời thông tin cần thiết Dịch vụ ngân hàngđược cung cấp qua một hệ thống máy chủ và phần mềm quản lý đặt tại ngânhàng, liên kết với khách hàng thông qua tổng đài của dịch vụ Thông qua các

4 Bách khoa toàn thư mở Wikipedia Việt Nam, vi.wikipedia.org , ngày 1/10/2007

5 PGS.TS Trần Hoàng Ngân & Ngô minh Hải, “Sự phát triển Ngân hàng điện tử (E-banking) tại Việt Nam”,

http://www.lobs-ueh.net/LoBs/modules.php?name=News&file=article&sid=439 , 23/8/2006

phím chức năng được định nghĩa trước, khách hàng sẽ được phục vụ một cách

tự động hoặc qua thông qua nhân viên tổng đài

Khi đăng ký sử dụng dịch vụ telephone-banking, khách hàng sẽ đượccung cấp một mã khách hàng, hoặc mã tài khoản và tuỳ theo dịch vụ đăng kýkhách hàng có thể sử dụng nhiều dịch vụ khác nhau Nhìn chung, quy trình sửdụng dịch vụ telephone-banking như sau:

- Đăng ký sử dụng dịch vụ: Khách hàng phải cung cấp các thông tin cần

thiết và ký vào hợp đồng đồng ý sử dụng dịch vụ Phone-banking Sau đó, kháchhàng sẽ được cung cấp 2 số định danh duy nhất là mã khách hàng và mã khoátruy nhập hệ thống, ngoài ra khách hàng sẽ được cung cấp một mã tài khoảnnhằm tạo sự thuận tiện trong giao dịch vũng như đảm bảo an toàn và bảo mật

- Xử lý một giao dịch: Khi khách hàng quay số tới tổng đài, nhập mã

khách hàng và khoá truy nhập dịch vụ theo lời nhắc trên điện thoại, khách hàngchọn phím chức năng tương ứng với dịch vụ mình cần thực hiện giao dịch.Khách hàng có thể thay đổi, chỉnh sửa trước khi xác nhận giao dịch với ngânhàng, chứng từ giao dịch sẽ được in ra và gửi tới khách hàng khi giao dịch được

xử lý xong

- Qua telephone-banking, khách hàng có thể sử dụng rất nhiều dịch vụngân hàng như : hướng dẫn sử dụng dịch vụ, giới thiệu thông tin về dịch vụngân hàng, cung cấp thông tin tài khoản và bảng kê các giao dịch, báo nợ, báo

có, cung cấp thông tin ngân hàng như lãi suất, tỷ giá hối đoái, chuyển tiền, thanhtoán hoá đơn và dịch vụ hỗ trợ khách hàng,…thực hiện mọi lúc mọi nơi kể cảngoài giờ hành chính

2.4 Hoạt động ngân hàng điện tử qua điện thoại di động

MobilE-banking là một kênh phân phối sản phẩm dịch vụ ngân hàng qua

hệ thống mạng điện thoại di động Về nguyên tắc, đây chính là quy trình thôngtin được mã hoá, bảo mật và trao đổi giữa trung tâm xử lý của ngân hàng vàthiết bị di động của khách hàng (ĐTDĐ, Pocket PC, Palm…) Để sử dụng dịch

vụ này, khách hàng dùng điện thoại nhắn tin theo mẫu đã quy định trước và gửiđến số máy dịch vụ Mobile-banking của ngân hàng

Mobile Banking cho phép khách hàng truy cập thông tin tài khoản cá nhânhoặc thực hiện giao dịch thanh toán hoá đơn tiền điện, nước, điện thoại hoặcgiao dịch chứng khoán

2.5 Hoạt động ngân hàng điện tử qua mạng máy tính cục bộ banking) 6

(home-Home-banking là kênh phân phối dịch vụ của ngân hàng điện tử, cho phépkhách hàng thực hiện hầu hết các giao dịch chuyển khoản với ngân hàng (nơikhách hàng mở tài khoản) tại nhà, tại văn phòng công ty mà không cần đến ngânhàng

Đứng về phía khách hàng, home-banking đã mang lại những lợi ích thiếtthực: nhanh chóng – an toàn - thuận tiện Và khẩu hiệu “Dịch vụ ngân hàng 24h/ngày, 7ngày/tuần” chính là ưu thế lớn nhất mà mô hình ngân hàng “hành chính”truyền thống không thể nào sánh được Dịch vụ ngân hàng tại nhà được xâydựng trên một trong hai nền tảng: hệ thống các phần mềm ứng dụng (Softwarebase) và nền tảng công nghệ web (Web base), thông qua hệ thống máy chủ,mạng Internet và máy tính con của khách hàng, thông tin tài chính sẽ được thiếtlập, mã hoá, trao đổi và xác nhận giữa ngân hàng và khách hàng Mặc dù có một

số điểm khác biệt, nhưng nhìn chung, chu trình sử dụng dịch vụ ngân hàng điện

tử qua mạng máy tính cục bộ gồm các bước cơ bản sau đây:

 Bước 1: Thiết lập kết nối

Khách hàng kết nối máy tính của mình với hệ thống máy tính của ngânhàng qua mạng Internet, sau đó truy cập vào trang web của ngân hàng phục vụmình (hoặc giao diện người sử dụng của phần mềm) Sau khi kiểm tra và xácnhận khách hàng (User ID, Password…), khách hàng sẽ được thiết lập một

6 PGS.TS Trần Hoàng Ngân & Ngô minh Hải, “Sự phát triển Ngân hàng điện tư (E-banking) tại Việt Nam”,

http://www.lobs-ueh.net/LoBs/modules.php?name=News&file=article&sid=439 , 23/8/2006

đường truyền bảo mật (https) và đăng nhập (login) vào mạng máy tính của ngânhàng

 Bước 2: Thực hiện yêu cầu dịch vụ

Dịch vụ NHĐT rất phong phú và đa dạng, có thể là truy vấn thông tin tàikhoản, thiết lập nghiệp vụ chuyển tiền, huỷ bỏ việc chi trả séc, thanh toán điệntử,… và rất nhiều các dịch vụ trực tuyến khác

Trên website (hoặc giao diện người sử dụng) có sẵn hệ thống Menu chọnlựa và hướng dẫn cụ thể các bước để thực hiện quá trình giao dịch Tất cả mọiviệc khách hàng phải làm chỉ là chọn dịch vụ, cung cấp thông tin theo yêu cầucủa dịch vụ và của ngân hàng

 Bước 3: Xác nhận giao dịch, kiểm tra thông tin và thoát khỏi mạng (thông qua chữ ký điện tử, xác nhận điện tử, chứng thực điện tử,…):

Khi giao dịch được thực hiện hoàn tất, khách hàng kiểm tra lại giao dịch

và thoát khỏi mạng, những thông tin chứng từ cần thiết sẽ được quản lý, lưu trữ

và gửi tới khách hàng khi có yêu cầu

2.6 Hoạt động ngân hàng điện tử qua mạng máy tính toàn cầu banking)

(internet-Internet banking cũng là một trong những kênh phân phối các sản phẩmdịch vụ của ngân hàng, mang ngân hàng đến nhà, văn phòng, trường học, đếnbất kỳ nơi đâu và bất cứ lúc nào Với máy tính kết nối Internet, khách hàng sẽđược cung cấp và được hướng dẫn các sản phẩm, các dịch vụ ngân hàng tại cácwebsite riêng của các ngân hàng đó Qua Internet banking các khách hàng có thểgởi đến ngân hàng những thắc mắc, góp ý với ngân hàng và được trả lời sau mộtthời gian nhất định

Các cấp độ triển khai Internet-banking: 7

Website thông tin: Mục đích của website này là cung cấp thông tin chung

về ngân hàng, quảng cáo sản phẩm dịch vụ mà không có khả năng thực hiện

7 Bala Shanmugam và Balachandher Krishna Guru, “Electronic Banking in Malaysia (Hoạt động ngân hàng

điện tử tại Malaysia)”, 2003, Tr.3

giao dịch Các ngân hàng có thể thiết lập liên kết siêu văn bản từ trang web củamình đến trang web của bên thứ ba, hoặc quảng cáo sản phẩm, dịch vụ của bếnthứ ba Mức độ triển khai này tiểm ẩn ít rủi ro nhất do không liên kết đến hệthống máy tính nội bộ có lưu trữ cơ sở dữ liệu của ngân hàng Nhưng mặt khác

có thể bị các hacker tấn công làm sai lệch các thông tin

Website giao tiếp: cho phép một số giao dịch, giao tiếp giữa ngân hàng và

khách hàng Khi đó khách hàng có thể gửi các yêu cầu và kiểm tra tài khoản.Hình thức liên lạc có thể gồm email, các form trực tuyến, và vấn tin tài khoản.Với mức độ rủi ro cao hơn này, các ngân hàng phải kiểm soát, ngăn ngừa bất kỳhành động không được uỷ quyền nào nhằm tiếp cận mạng lưới nội bộ

Website giao dịch: Website này cho phép khách hàng thực hiện các giao

dịch, nhưng đồng thời cũng mang lại rủi ro lớn nhất cho ngân hàng Vì kháchhàng có khả năng tiếp cận với mạng lưới nội bộ và hệ thống máy tính nắm giữthông tin tài khoản Do đó yêu cầu mã hoá các thông tin dữ liêu nhạy cảm là vôcùng cần thiêt

Hiện nay, có nhiều quan điểm đồng nhất Internet-banking với E-banking.Thực chất Internet-banking chỉ là một bộ phận của E-banking và có những tiệních lớn hơn các kênh phân phối khác như giá giao dịch tương đối rẻ, tốc độnhanh, có thể truyền được dữ liệu đến khắp nơi trên thế giới một cách nhanhnhất… Như vậy có thể coi kênh phân phối này là linh hồn của NHĐT

Tuy nhiên, thực tế đã cho thấy, với tính chất bảo mật không cao, dịch vụInternet-banking vẫn còn được cung cấp hạn chế và đòi hỏi quá trình xác nhậngiao dịch phức tạp hơn

2.7 Hoạt động ngân hàng điện tử qua trung tâm ngân hàng tự động banking) 8

(kiosk-Kiosk-banking là việc cung cấp các dịch vụ ngân hàng điện tử tại các trạm

do ngân hàng lập ra, là sự phát triển của dịch vụ ngân hàng hướng tới việc phục

8 Nguyễn Quỳnh Chi, Khoá luận tốt nghiệp “Dịch vụ ngân hàng điện tử tại Việt Nam - Thực trạng và triển

vọng”, 2006, Tr.30

vụ khách hàng với chất lượng cao nhất và thuận tiện nhất Kiosk được thiết kếnhư một phòng nhỏ hay như một buồng điện thoại công cộng có chứa cácphương tiện để cung ứng và sử dụng dịch vụ NHĐT Thực chất, Kiosk-banking

có thể được coi như một chi nhánh ngân hàng ngoại trừ điểm khác biệt là tất cảcác dịch vụ được cung cấp tại chi nhánh này đều hoàn toàn tự động

Với các máy móc, thiết bị tự động đó, khách hàng có thể được hưởngnhiều tiện ích hơn khi sử dụng hệ thống thanh toán tự động ATM Đơn giảnnhất là kiosk với một máy tính có nối mạng Internet tốc độ cao để cung cấp dịch

vụ Internet-banking Nhưng thông thường thì kiosk được tích hợp nhiều dịch vụE-banking khác nhau: ATM-banking, telephone-banking, internet-banking đểlàm tăng tính tiện lợi cho khách hàng Khi khách hàng cần thực hiện giao dịchhoặc yêu cầu dịch vụ, họ chỉ cần truy cập, cung cấp số chứng nhận cá nhân vàmật khẩu để sử dụng dịch vụ của hệ thống ngân hàng phục vụ mình

Và để đảm bảo an toàn cho các khách hàng, tại mỗi Kiosk có hệ thốnggiám sát an ninh trung tâm và các nhân viên an ninh túc trực hàng ngày

3 Thách thức đối với hoạt động ngân hàng điện tử 9

3.1 Vốn đầu tư lớn

Xây dựng và phát triển NHĐT đòi hỏi nguồn vốn rất lớn để đầu tư vàocông nghệ và nhân lực Đó là chi phí đầu tư vào cơ sở vật chất, hạ tầng kỹ thuật,trang bị máy móc thiết bị cung cấp dịch vụ, xây dựng, phát triển phần mềm; đặcbiệt là khoản chi phí không nhỏ cho hoạt động tuyên truyền, quảng cáo nâng caonhận thức của khách hàng và dẫn đến chấp nhận một kênh cung cấp sản phẩm,dịch vụ ngân hàng hiện đại

Các ngân hàng còn phải đào tạo nguồn nhân lực nhằm tăng cường khảnăng vận hành và quản lý nghiệp vụ ngân hàng điện tử Nếu việc đào tạo độingũ nhân lực đi chậm hơn quá trình hiện đại hoá ngân hàng thì khả năng hấp thụ

9 Th.S Đỗ Văn Hữu, “Thúc đẩy phát triển Ngân hàng điện tử ở Việt Nam”,

http://www.centralbank.vn/vn/CdeCNTT/tinCdeCntt.jsp?tin=219 , ngày 24/06/2005

công nghệ sẽ hạn chế và đi kèm với tình trạng đó là những rủi ro sẽ dình dập hệthống ngân hàng.

Bên cạnh đó, việc lựa chọn công nghệ, phần mềm ứng dụng cũng có tínhquyết định đến hiệu quả hoạt động của ngân hàng điện tử Các TCTD cần đặcbiệt quan tâm lưu ý vấn đề này

Quá trình này phụ thuộc rất lớn vào năng lực tài chính của mỗi TCTD, xuthế và chính sách phát triển các dịch vụ ngân hàng hiện đại để bắt kịp xu thế hộinhập Đây là khó khăn vướng mắc hiện nay trong quá trình hiện đại hoá hoạtđộng ngân hàng, quá trình phát triển các dịch vụ của ngân hàng điện tử

Ngoài ra, chính sách của Nhà nước và các văn bản pháp quy của Ngânhàng Nhà nước cần được hoàn thiện nhằm tạo hành lang pháp lý cho sự pháttriển hoạt động ngân hàng điện tử

3.2 An ninh bảo mật

Quá trình xử lý giao dịch tự động làm giảm thiểu khả năng xảy ra nhữngsai sót cũng như gian lận của con người so với phương thức xử lý truyền thống.Nhưng mặt khác lại làm gia tăng sự phụ thuộc của hoạt động ngân hàng điện tửvào việc thiết kế, quy mô hoạt động của hệ thống cũng như mức độ phức tạp củacông nghệ thông tin Khi mọi thông tin, cơ sở dữ liệu đều được lưu trữ trong hệthống máy tính thì an toàn và bảo mật thông tin, bảo mật nguồn dữ liệu cũng làvấn đề rất quan trọng, mang ý nghĩa quyết định đến sự tồn tại và phát triển củamỗi ngân hàng Rủi ro lớn nhất trong hoạt động ngân hàng điện tử là vấn đề anninh thông tin

Đáp ứng nhu cầu này, hiện đã có nhiều phần mềm mã hóa kép dữ liệu,bảo mật,… nhằm tăng tính bảo mật, an toàn khi hệ thống bị xâm phạm Tuynhiên, tính bảo mật và an toàn của hệ thống phụ thuộc rất lớn vào các giải phápcông nghệ, giải pháp kỹ thuật, các chương trình phần mềm về mã khoá, chữ kýđiện tử, cũng như hệ thống pháp lý về hoạt động của ngân hàng điện tử

3.3 Quản trị rủi ro

Chưa bao giờ việc đổi mới công nghệ và dịch vụ dành cho khách hàngtrong hoạt động ngân hàng điện tử lại đang diễn ra với tốc độ nhanh như hiệnnay Trước đây, mỗi ứng dụng mới trong lĩnh vực ngân hàng chỉ được triển khaisau khi đã được thử nghiệm kỹ càng trong một khoảng thời gian tương đối dài.Tuy nhiên, hiện nay áp lực cạnh tranh gay gắt đã buộc các ngân hàng phải nhanhchóng tung ra các sản phẩm dịch vụ mới - thậm chí chỉ một thời gian ngắn saukhi ý tưởng xuất hiện Chính cạnh tranh đã đặt ra thách thức lớn cho công tácquản trị phải đánh giá chiến lược, phân tích rủi ro và lưu ý vấn đề an ninh trướckhi thực hiện các ứng dụng ngân hàng điện tử mới

Do đó, quản trị và phòng ngừa rủi ro cũng là một vấn đề lớn đặt ra tronghoạt động của NHĐT Gắn liền với quá trình phát triển các hoạt động của NHĐT

là quá trình đổi mới phương pháp quản lý, quản trị ngân hàng, hệ thống bộ máy tổchức và cơ cấu hoạt động, hệ thống quản trị rủi ro, kiểm soát và các biện phápphòng ngừa Các tổ chức tín dụng cần phân tích, xem xét các mô hình NHĐT đã

và đang phát triển của một số nước trên thế giới để xây dựng hệ thống quản trịNHĐT của mình, đảm bảo phát triển an toàn và hiệu quả

II / QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ

1 Khái niệm về rủi ro và quản trị rủi ro

1.1 Khái niệm về rủi ro 10

Rủi ro là khả năng gặp nguy hiểm có thể phát sinh từ một vài tiến trình

hay từ một vài sự kiện

Rủi ro có thể được chia thành hai loại: rủi ro động và rủi ro tĩnh:

 Rủi ro động là những rủi ro liên quan đến sự luôn thay đổi, đặc biệt làtrong nền kinh tế Đó là những rủi ro mà hậu quả của nó có thể có lợi, nhưngcũng có thể sẽ mang đến sự tổn thất ( sự thay đổi về thị hiếu khách hàng có thể

10 Bách khoa toàn thư mở Wikipedia Việt Nam, vi wikipedia.org , ngày 1/10/2007

phù hợp với sản phẩm mà doanh nghiệp đang kinh doanh hay không, sự thay đổi

về công nghệ kĩ thuật có phù hợp với khả năng tài chính của doanh nghiệp haykhông, sự thay đổi đó có quá nhanh hay không? )

 Rủi ro tĩnh là những rủi ro, mà hậu quả của nó chỉ liên quan đến sựxuất hiện tổn thất hay không, chứ không có khả năng sinh lời, và không chịu sựảnh hưởng của những thay đổi trong nền kinh tế Những rủi ro tĩnh thường liênquan đến các đối tượng: tài sản, con người, trách nhiệm dân sự

Như vậy, về định nghĩa chính thống, rủi ro chính là sự kiện mà kết quả hiện tại hoặc tương lai có khả năng khác biệt đáng kể so với mức dự kiến từ trước, hay còn gọi là mức kỳ vọng.

1.2 Khái niệm quản trị rủi ro

Quản trị rủi ro là quá trình nhận dạng, đo lường, đối phó và kiểm soát rủi ro, nhằm ngăn ngừa, hạn chế những tổn thất do rủi ro gây ra.

Quản trị rui ro là một hoạt động cần thiết không chỉ trong hoạt động kinhdoanh mà còn trong tất cả các lĩnh vực đời sống hằng ngày Quản trị rủi ro hiệuquả sẽ giữ các hoạt động ổn định, chủ động hơn và tránh được nhiều thiệt hạinhờ đã dự kiến từ trước

2 Các loại rủi ro trong hoạt động ngân hàng điện tử

Theo “Nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử” của

Ngân hàng Nhà nước Việt Nam ban hành ngày 31/7/2006 thì “Rủi ro trong hoạt động ngân hàng điện tử là khả năng xảy ra tổn thất khi thực hiện các hoạt động ngân hàng điện tử.”

Với tốc độ thay đổi nhanh chóng của công nghệ thông tin và theo đó làhoạt động NHĐT thì khó đưa ra danh sách đầy đủ tất cả các loại rủi ro Tuynhiên, về cơ bản, các rủi ro này không nằm ngoài những rủi ro truyền thống củahoạt động ngân hàng Do vậy, có thể chia các rủi ro trong hoạt động NHĐTthành các nhóm như đối với rủi ro truyền thống theo cách phân loại của Uỷ ban

Basel Trong đó, rủi ro chiến lược, rủi ro hoạt động, rủi ro pháp lý và rủi ro uytín là những loại rủi ro thường gặp nhất.

2.1 Rủi ro chiến lược

2.1.1 Khái niệm rủi ro chiến lược

Rủi ro chiến lược là sự biến động của thu nhập và nguồn vốn phát sinh từ những quyết định kinh doanh bất lợi, thực hiện không đúng các quyết định hay

từ các thay đổi trong môi trường hoạt động của ngân hàng 11

Khi một dịch vụ NHĐT mới chuẩn bị được đưa ra thị trường cần phảinhất quán với chiến lược tài chính tổng thể của ngân hàng Quy trình lập kếhoạch và ra quyết định phát triển một sản phẩm NHĐT nào đó phải dựa vàonhu cầu cụ thể của thị trường đang cần được đáp ứng hay nâng cao, thay vì đặt

ra mục tiêu kinh doanh độc lập cho sản phẩm đó

2.1.2 Nguyên nhân gây ra rủi ro chiến lược

 Các thành viên trong Hội đồng quản trị và ban lãnh đạo không ý thứcđược đầy đủ tính phức tạp của các vấn đề liên quan đến hoạt động ngân hàngđiện tử cũng như các khái niệm và ngôn ngữ mang tính kỹ thuật cao

 Các dịch vụ NHĐT được triển khai một cách ồ ạt theo phong trào màkhông dựa trên nguồn lực tài chính cũng như nhân lực của tổ chức

2.2 Rủi ro hoạt động 12

2.2.1 Khái niệm về rủi ro hoạt động

Rủi ro hoạt động là rủi ro phát sinh từ khả năng gây thiệt hại cho ngân hàng do hệ thống không đảm bảo sự thống nhất và mức độ tin cậy cần thiết Đây

là rủi ro nguy hiểm nhất và có ảnh hưởng tới sự sống còn của hoạt động ngânhàng điện tử

11 The Central Bank of Bahamas, “Guidelines for Electronic Banking (Các nguyên tắc về hoạt động ngân hàng

điện tử)”, 06/6/2006, Tr.4

12 Th.S Lê Văn Hinh, “Nhận diện rủi ro đối với nghiệp vụ ngân hàng điện tử và tiền điện tử”,

http://www.icb.com.vn/?id=075296&page=5&sheet=1&c=94&m=94

Các yếu tố về an ninh là vấn đề cần được quan tâm nhất vì các ngân hàngthường là đối tượng tấn công của những kẻ đột nhập hệ thống điện tử từ bênngoài hoặc bên trong nhằm tác động lên các sản phẩm hoặc hệ thống của ngânhàng Rủi ro hoạt động còn có thể phát sinh do nhầm lẫn của khách hàng, do các

hệ thống ngân hàng điện tử bị thiết kế hoặc triển khai không hoàn chỉnh Rấtnhiều tác động của các rủi ro này ảnh hưởng tới cả hoạt động ngân hàng điện tửlẫn hoạt động tiền điện tử

2.2.2 Nguyên nhân gây ra rủi ro hoạt động:

 Từ khâu kiểm soát tiếp cận hệ thống máy chủ và lưu trữ

- Việc kiểm soát việc truy cập hệ thống ngân hàng ngày càng trở nênphức tạp do việc phân bổ các điểm truy nhập, việc sử dụng các đường dây liênlạc, kể cả các mạng thông tin công cộng như Internet ngày càng được phát triển.Nếu kiểm soát không tốt có thể dẫn đến tình trạng những người chuyên lấy trộm

dữ liệu trên mạng Internet thực hiện thành công những hành động bất hợp pháp.Chẳng hạn, tội phạm có thể sử dụng thẻ và mã PIN của khách hàng để thực hiệngiao dịch

- Một lỗ hổng an ninh có thể dẫn đến những trách nhiệm pháp lý do bọnlừa đảo cố tình tạo ra cho ngân hàng, việc để lọt những trường hợp tiếp cậnngoài thẩm quyền có thể dẫn đến những thiệt hại trực tiếp hoặc gây ra các tráchnhiệm pháp lý cho khách hàng và các rắc rối khác

- Ngân hàng còn có thể phải gánh chịu những rủi ro có liên quan đến hành

vi lừa đảo của chính những nhân viên của mình: các nhân viên ngân hàng hoàntoàn có thể nắm được những dữ liệu của quy trình xác nhận nhằm mục đích truycập vào các tài khoản của khách hàng hoặc ăn cắp các thẻ lưu trữ giá trị Nguyênnhân là do cán bộ thoái hoá, biến chất, công tác soạn thảo quy trình tác nghiệp,kiểm tra, kiểm soát nội bộ không được thực hiện đúng chuẩn mực

- Ngoài ra, các lỗi không cố ý của những nhân viên cũng có thể gây tổnhại đến hệ thống của ngân hàng

 Từ hệ thống cung cấp sẩn phẩm và dịch vụ

- Các hệ thống đã lựa chọn có thể không được thiết kế hoặc triển khai tốt,trong quá trình vận hành có thể bị lỗi gián đoạn hoặc chạy chậm, do hệ thốngnày không phù hợp vơi nhu cầu của sử dụng

- Nhiều ngân hàng lại dựa vào các nhà cung cấp dịch vụ bên ngoài và cácchuyên gia độc lập để triển khai, vận hành và hỗ trợ các phần khác nhau củahoạt động NHĐT Việc này cũng tiềm ẩn rủi ro vì các nhà cung cấp dịch vụ cóthể không có chuyên gia cần thiết cho việc cung ứng các dịch vụ mà ngân hàngmong muốn hoặc không cập nhật kịp thời công nghệ của họ Các hoạt động củanhà cung cấp dịch vụ có thể bị gián đoạn do hệ thống của họ bị hỏng hoặc docác khó khăn về tài chính, điều này sẽ ảnh hưởng đến việc cung cấp sản phẩm

và dịch vụ của ngân hàng

- Tốc độ thay đổi nhanh chóng rất đặc trưng của công nghệ thông tin lạikhiến cho hệ thống của ngân hàng có thể bị lạc hậu Hơn nữa, việc công nghệthay đổi nhanh chóng có thể khiến các nhân viên không thể hiểu được đầy đủbản chất của công nghệ mới mà ngân hàng sử dụng Điều này sẽ gây ra nhữngrắc rối khi vận hành các hệ thống mới hoặc hệ thống được cập nhật

 Từ phía khách hàng:

Việc nhầm lẫn của khách hàng cho dù là vô tình hay cố ý cũng là một loạirủi ro hoạt động Rủi ro ngày càng cao khi ngân hàng không thực hiên truyền bákiến thức cho khách hàng của mình một cách thích hợp về ý thức an toàn bảomật Khi thiếu những biện pháp cần thiết để xác nhận giao dịch, các khách hàng

sẽ có khả năng phủ nhận những giao dịch mà trước đó họ đã chấp nhận, gây tổnthất cho ngân hàng Các khách hàng sử dụng thông tin cá nhân (thông tin chứngthực, số thẻ tín dụng hoặc số tài khoản ngân hàng) trong các giao dịch điện tửkhông được bảo mật sẽ tạo điều kiện cho bọn tội phạm tiếp cận được với các tàikhoản của họ Hậu quả là, ngân hàng có thể phải chịu tổn thất tài chính do kháchhàng thực chất là không chấp thuận các giao dịch đó Rửa tiền có thể cũng làmột vấn đề nữa cần phải quan tâm

2.3 Rủi ro uy tín 13

2.3.1 Khái niệm rủi ro uy tín

Rủi ro uy tín là rủi ro dư luận đánh giá xấu về ngân hàng gây khó khăn nghiêm trọng cho ngân hàng trong việc tiếp cận các nguồn vốn hoặc khách

hàng rời bỏ ngân hàng

Khi mà một ngân hàng bị người ta chê chách là một “ngân hàng bất tiện”thì lúc đó là lúc cần phải xem lại vấn đề về danh tiếng của ngân hàng Rủi ro uytín có thể kéo theo những hành động gây nên tình trạng kéo dài quan niệmkhông tốt trong dân chúng về hoạt động chung của ngân hàng, và như vậy khảnăng thiết lập và duy trì mối quan hệ khách hàng sẽ trở nên khó khăn

Rủi ro uy tín không chỉ quan trọng đối với một ngân hàng mà còn quantrọng đối với toàn hệ thống ngân hàng Chẳng hạn như, nếu một ngân hàng hoạtđộng toàn cầu bị tổn hại nghiêm trọng về danh tiếng do các hoạt động kinhdoanh ngân hàng điện tử và tiền điện tử của nó gây nên thì cần phải lưu tâm đến

an ninh của các hệ thống của những ngân hàng khác Trong những trường hợpđặc biệt nghiêm trọng, một tình huống như vậy có thể đe doạ đến sự ổn định củatoàn hệ thống ngân hàng

2.3.2 Nguyên nhân gây ra rủi ro uy tín

 Nguyên nhân chủ quan

Chính các hành động của ngân hàng, hoặc cách ngân hàng phản ứng trướchành động của các bên thứ ba đã tạo một hình ảnh xấu về ngân hàng đối vớicông chúng trong một thời gian dài Rủi ro uy tín thường là hệ quả trực tiếp củatrạng thái rủi ro cao hoặc các rắc rối ở những nhóm rủi ro khác, nhất là nhóm rủi

ninh, cho dù là do bên ngoài hay bên trong tấn công lên một hệ thống nào đó củangân hàng có thể làm suy giảm lòng tin của công chúng vào dịch vụ ngân hàng.

 Có thể phát sinh trong trường hợp khách hàng gặp vấn đề với dịch vụđược cung ứng nhưng không nhận được thông tin cần thiết về sản phẩm sử dụng

và các quy trình giải quyết trục trặc

 Có thể phát sinh từ các trục trặc lớn ở các mạng lưới giao tiếp khiếnkhách hàng gặp khó khăn trong việc tiếp cận với các quỹ hoặc thông tin tàikhoản của họ, nhất là trong trường hợp không có các phương tiện tiếp cận khác

để thay thế

 Nguyên nhân khách quan

 Các nhầm lẫn, hành động phi pháp và lừa đảo của các bên thứ ba cóthể khiến một ngân hàng phải chịu rủi ro uy tín

 Những tổn thất lớn do nhầm lẫn của một ngân hàng khác cũng có thểkhiến các khách hàng của ngân hàng có các sản phẩm, dịch vụ NHĐT giốnghoặc tương tự nghi ngờ vào sản phẩm và dịch vụ của ngân hàng đó, cho dù bảnthân ngân hàng không gặp các trường hợp tương tự như ngân hàng kia

 Có thể phát sinh từ những cuộc tấn công có chủ ý vào ngân hàng.Chẳng hạn như, một kẻ đột nhập xâm nhập vào website của một ngân hàng cóthể cố tình thay đổi trang web này để gửi đi những thông tin không chính xác vềngân hàng và các sản phẩm của ngân hàng này

2.4 Rủi ro pháp lý 14

2.4.1 Khái niệm về rủi ro pháp lý

Rủi ro pháp lý phát sinh từ những vi phạm, hoặc do không tuân thủ pháp luật, các quy định hoặc các thông lệ đã được xác lập, hoặc do quy định không

rõ các quyền và nghĩa vụ pháp lý của các bên đối với giao dịch

2.4.2 Nguyên nhân gây ra rủi ro pháp lý

14 Th.S Lê Văn Hinh, “Nhận diện rủi ro đối với nghiệp vụ ngân hàng điện tử và tiền điện tử”,

http://www.icb.com.vn/?id=075296&page=5&sheet=1&c=94&m=94

Do còn tương đối mới mẻ nên trong nhiều hoạt động ngân hàng điện tử,các quyền và nghĩa vụ của các bên đối với các giao dịch loại này còn chưa rõràng

Hoạt động NHĐT lại thực hiện “gián tiếp” qua các kênh điện tử chứkhông qua tiếp xúc trực tiếp giữa ngân hàng với khách hàng nên việc áp dụngcác phương pháp truyền thống trong phòng tránh và phát hiện các hoạt động tộiphạm với hoạt động ngân hàng điện tử sẽ không đạt hiệu quả cao như trước

Những khách hàng không được thông tin đầy đủ về quyền và nghĩa vụ của

họ có thể sẽ khởi kiện ngân hàng Ngoài ra, các ngân hàng tham gia vào hoạtđộng ngân hàng điện tử có thể phải đối mặt với các rủi ro pháp lý liên quan đếnviệc bảo vệ quyền riêng tư và công bố về khách hàng Ở một số nước, việckhông bảo vệ thích đáng quyền riêng tư cho khách hàng cũng có thể khiến ngânhàng phải chịu những hình phạt nặng về mặt pháp lý

Những ngân hàng quyết định tăng cường dịch vụ khách hàng bằng cáchliên kết website của mình với các trang khác cũng có thể phải đối mặt với rủi ropháp lý Một kẻ đột nhập nào đó có thể sử dụng các trang được liên kết để lừagạt khách hàng của ngân hàng và ngân hàng sẽ là đối tượng bị khách hàng kiện

2.5 Các rủi ro khác 15

Các rủi ro truyền thống của hoạt động ngân hàng như rủi ro tín dụng, rủi

ro khả năng thanh toán, rủi ro lãi suất và rủi ro thị trường cũng có thể phát sinh

từ hoạt động ngân hàng điện tử Tuy nhiên, hậu quả của những rủi ro này đối vớingân hàng có thể không giống với các rủi ro hoạt động, rủi ro uy tín và rủi ropháp lý Điều này đặc biệt đúng khi so sánh các ngân hàng tham gia đa dạng hoáhoạt động với các ngân hàng hoặc phần ngân hàng chuyên doanh hoạt độngngân hàng điện tử

 Rủi ro tín dụng: là rủi ro phát sinh khi đối tác không thanh toán một

khoản nợ với đầy đủ giá trị, cho dù là điều này xảy ra vào thời điểm nợ đến hạn

15 Th.S Lê Văn Hinh, “Nhận diện rủi ro đối với nghiệp vụ ngân hàng điện tử và tiền điện tử”,

http://www.icb.com.vn/?id=075296&page=5&sheet=1&c=94&m=94

hoặc bất kỳ thời điểm nào sau đó Thường xảy ra ở các loại thẻ tín dụng, khi chủthẻ không có khả năng thanh toán hoặc thanh toán không đầy đủ các khoản chitiêu băng thẻ tín dụng Ngoài ra, các ngân hàng tham gia vào hoạt động kinhdoanh ngân hàng điện tử có thể thực hiện các khoản tín dụng thông qua nhữngkênh không phải là truyền thống và cũng có thể mở rộng thị trường của mìnhvượt ra ngoài những ranh giới địa lý Những thủ tục không phù hợp trong việcxác định độ tín nhiệm của những người vay tiền thông qua cơ chế cho vay từ xacũng có thể làm tăng độ rủi ro của ngân hàng Ngân hàng tham gia vào chươngtrình thanh toán chứng từ điện tử có khi phải đối mặt với các rủi ro tín dụng nếunhư một bên trung gian thứ ba không thực hiện được nghĩa vụ của mình về việcthanh toán

 Các vấn đề mang tính xuyên quốc gia: Sự mở rộng thị trường ngân

hàng có thể vượt qua biên giới quốc gia và chính vì vậy mà làm tăng một số rủi

ro nhất định Qua khảo sát người ta thấy rằng nhiều năm qua các ngân hàng gặpphải các loại rủi ro tương tự trong hoạt động ngân hàng quốc tế và đáng chú ý lànhững rủi ro này lại có quan hệ cùng chiều với sự mở rộng hoạt động ngân hàng

và tiền điện tử xuyên quốc gia Một số vấn đề cần quan tâm là: vấn đề pháp lýhay quản lý khi giao dịch với các khách hàng vượt ra ngoài biên giới quốc gia;

sự bất ổn định về luật pháp ở một số quốc gia; trách nhiệm của các cơ quanquyền lực ở các quốc gia khác nhau Những vấn đề đó có thể đặt ngân hàngvào trạng thái rủi ro nhất định như việc không tuân thủ luật và quy định của cácquốc gia khác, kể cả luật bảo vệ người tiêu dùng, các quy định về báo cáo và ghichép sổ sách, các nguyên tắc bảo mật cá nhân và luật chống rửa tiền.Rủi ro hoạt động có thể phát sinh khi các ngân hàng giao dịch với các nhà cungcấp dịch vụ có trụ sở tại một quốc gia khác, và cũng chính vì yếu tố này mà cácngân hàng rất khó kiểm soát được rủi ro

3 Quản trị rủi ro trong hoạt động ngân hàng điện tử

3.1 Quản trị rủi ro chiến lược

3.1.1 Phân tích chi phí / lợi nhuận

Hội đồng quản trị và ban lãnh đạo cần đánh giá tác động của hoạt độngngân hàng điện tử dự kiến triển khai đối với mức độ rủi ro và chiến lược củangân hàng, thực hiện phân tích chi phí/lợi ích để chắc chắn rằng đã ý thức đượcđầy đủ và hợp lý về các chi phí cũng như lợi tức thu được từ hoạt động ngânhàng điện tử của mình

Bất kỳ quyết định triển khai sản phẩm, dịch vụ ngân hàng điện tử phải dựatrên phân tích thu nhập và chi phí từ hoạt động đó, như: giảm chi phí hoạt động,nâng cao vị thế cạnh tranh, tăng nhu cầu đối với dịch vụ ngân hàng điện tử, …

3.1.2 Đánh giá mức độ sẵn sàng của ngân hàng

Hội đồng quản trị và ban lãnh đạo cấp cao cũng cần đảm bảo sao cho ngânhàng chỉ bắt đầu thực hiện hoạt động kinh doanh ngân hàng điện tử mới hoặc ápdụng công nghệ mới sau khi đã tích luỹ đủ khả năng và kinh nghiệm để có thểthực hiện giám sát quản trị rủi ro Trình độ chuyên môn của người quản lý vànhân viên cần phải tương xứng với đặc điểm kỹ thuật và mức độ phức tạp củacác ứng dụng ngân hàng điện tử và công nghệ đi kèm

3.1.3 Xây dựng quy trình quản trị rủi ro

Các quy trình quản trị rủi ro đối với hoạt động ngân hàng điện tử cũngphải thống nhất với phương pháp quản trị rủi ro nói chung của toàn ngân hàng.Cần đánh giá lại các chính sách và quy trình quản trị rủi ro hiện tại của ngânhàng để đảm bảo là chúng đủ khả năng đối phó với những loại hình rủi ro mớiphát sinh do hoạt động ngân hàng điện tử đang hoặc dự kiến sẽ được thực hiện

Các biện pháp giám sát quản trị bổ sung mà Hội đồng quản trị và ban lãnhđạo có thể áp dụng bao gồm:

(i) Xác định rõ ràng mức độ rủi ro ngân hàng có thể chấp nhận được đốivới ngân hàng điện tử

(ii) Xây dựng các cơ chế uỷ quyền và báo cáo cơ bản, bao gồm cả kếhoạch xử lý những trường hợp sự cố có thể ảnh hưởng đến sự an toàn hay uy tín

của ngân hàng (ví dụ như mạng lưới bị xâm nhập, vi phạm an ninh của nhânviên hay lạm dụng nghiêm trọng các thiết bị máy tính)

(iii) Lưu ý đến mọi yếu tố rủi ro đặc thù liên quan đến việc đảm bảotính an ninh, hoàn chỉnh và luôn sẵn sàng của các sản phẩm và dịch vụ ngânhàng điện tử, đồng thời, yêu cầu bên đối tác mà ngân hàng thuê những hệ thống

và ứng dụng cơ bản cũng phải áp dụng các biện pháp tương tự

(iv)Đảm bảo thực hiện đầy đủ phân tích rủi ro trước khi ngân hàng tiếnhành hoạt động ngân hàng điện tử ra nước ngoài

3.2 Quản trị rủi ro hoạt động

3.2.1 Kiểm soát an ninh

Công tác kiểm soát an ninh được xây dựng và duy trì một cách tươngxứng Hội đồng quản trị và ban lãnh đạo cấp cao cần giám sát quá trình pháttriển và bảo trì liên tục cơ sở vật chất phục vụ cho công tác kiểm soát an ninh để

có thể bảo vệ được hệ thống ngân hàng điện tử và nguồn dữ liệu khỏi những mối

đe doạ từ bên trong và bên ngoài

Để kiểm soát được an ninh đối với các hoạt động ngân hàng điện tử, Hộiđồng quản trị và ban lãnh đạo cần đảm bảo rằng ngân hàng có một quy trìnhkiểm soát an ninh toàn diện, bao gồm cả các chính sách và quy trình thủ tục,trong đó lưu ý đến mọi mối đe doạ từ trong và ngoài ngân hàng để ngăn ngừa và

có biện pháp xử lý kịp thời khi xảy ra sự cố Những yếu tố then chốt của mộtquy trình kiểm soát an ninh hiệu quả đối với hoạt động ngân hàng điện tử baogồm:

 Xác định rõ trách nhiệm của người điều hành/nhân viên trong việcgiám sát xây dựng và duy trì các chính sách an ninh của ngân hàng

 Thực hiện kiểm tra trực tiếp đầy đủ để ngăn ngừa các hành vi truy cậpthực tế chưa được phép trong môi trường máy tính;

 Thực hiện kiểm tra ảo và có đầy đủ các quy trình quản lý để ngănngừa những hành vi truy cập nội bộ và bên ngoài chưa được phép vào các ứngdụng và cơ sở dữ liệu của hoạt động ngân hàng điện tử;

 Thường xuyên xem xét lại và thử nghiệm các biện pháp kiểm soát anninh, bao gồm cả việc liên tục theo dõi những tiến bộ mới nhất trong ngành anninh và cài đặt các phiên bản phần mềm mới phù hợp, các gói dịch vụ và cácbiện pháp cần thiết khác Các mối quan hệ với đối tác thứ ba (thuê ngoài) cũngphải được giám sát chặt chẽ

Ngân hàng cần phải quy định cụ thể về trình tự, thủ tục thiết lập quyền ưutiên uỷ quyền và các biện pháp xác nhận thích hợp, các biện pháp kiểm soát truycập ảo và thực, an ninh cơ sở hạ tầng đầy đủ để đảm bảo duy trì được nhữnggiới hạn và hạn chế cần thiết đối với hoạt động của người sử dụng trong - ngoàingân hàng và tích hợp dữ liệu của các giao dịch, bản ghi và thông tin

Ngoài ra, cần đảm bảo chắc chắn phải có phương pháp kiểm toán rõ ràngđối với tất cả mọi giao dịch ngân hàng điện tử, đồng thời, những biện pháp bảomật nội dung các thông tin quan trọng của hoạt động ngân hàng điện tử cũng cầnphải phù hợp với mức độ nhạy cảm của những thông tin này

3.2.2 Xác thực giao dịch

Một điều thiết yếu trong hoạt động ngân hàng là phải xác nhận được tínhhợp lệ của một thông tin truyền đến, một giao dịch hay một yêu cầu tiếp cận cụthể Ngân hàng có thể sử dụng hàng loạt biện pháp để thiết lập sự xác minh, baogồm các mã số nhận dạng cá nhân (PINs), mật khẩu, thẻ thông minh, sinh trắchọc16 và chứng chỉ số17 Các phương pháp xác minh này có thể là đơn yếu tốhoặc đa yếu tố (ví dụ: sử dụng cả mật khẩu và kỹ thuật sinh trắc học để xácminh) Xác minh đa yếu tố nhìn chung cho kết quả đảm bảo hơn

Các hệ thống ngân hàng điện tử cũng phải tạo ra và lưu giữ được nhữngbằng chứng về nguồn gốc hoặc nơi phát ra thông tin điện tử để bảo vệ người gửithông tin trước sự phủ nhận sai trái của người nhận về việc dữ liệu đã đượcnhận/gửi Vấn đề này đặc biệt quan trọng với hoạt động ngân hàng điện tử vìtính phức tạp của việc xác minh nhận dạng và quyền của các bên trong giao

16 Biện pháp sinh trắc học là phương pháp nhận dạng và xác thực khách hàng dựa trên đặc điểm cá nhân (hành vi

và sinh lý) Cụ thể, dựa trên hành vi:giọng nói, chữ viết, chữ ký; dựa trên đăc điểm sinh lý: vân tay, khuôn măt, mống mắt và tĩnh mạch lòng bàn tay.

17 Chứng chỉ điện tử là một file dữ liệu được sử dụng giống như chứng minh thư, hộ chiếu, thẻ hội viên câu lạc bô trên mạng Internet Nó được cấp bởi nhà cung cấp dịch vụ chứng thực điện tử Nhà cung cấp phải kiểm tra định danh của người được cấp trước khi cấp chứng chỉ điện tử cho họ.

dịch, nguy cơ biến đổi hoặc chiếm đoạt các thông tin giao dịch điện tử và nguy

cơ người sử dụng ngân hàng điện tử quả quyết rằng giao dịch đã bị sửa đổi mộtcách gian lận

3.2.3 Bảo mật thông tin

Sự phân chia trách nhiệm rất quan trọng trong việc đảm bảo sự chính xác

và tính toàn vẹn của dữ liệu, cũng như việc có thể sử dụng được những dữ liệu

đó để ngăn chặn và vạch trần những gian lận của các cá nhân Nếu các tráchnhiệm được phân chia rạch ròi, sự gian lận chỉ có thể được thực hiện bằng cáchthông đồng

Chú trọng yếu tố bảo mật đảm bảo những người không có thẩm quyềnkhông thể xem và sử dụng được những thông tin quan trọng Việc sử dụng saimục đích hoặc công bố trái phép các dữ liệu sẽ đặt ngân hàng trước rủi ro uy tín

và rủi ro pháp lý Sự ra đời của hoạt động ngân hàng điện tử đặt ra những thửthách mới về an ninh đối với các ngân hàng vì hoạt động này làm tăng rủi rothông tin chuyển qua mạng hoặc lưu trữ ở cơ sở dữ liệu sẽ bị các bên không cóthẩm quyền hoặc không phù hợp tiếp cận hoặc sử dụng theo những cách màkhách hàng đã cung cấp thông tin đó không mong muốn

Ngoài ra, việc sử dụng các nhà cung cấp dịch vụ thứ ba cũng có thể sẽ gây

lộ những dữ liệu chủ chốt của ngân hàng ra ngoài Trước những thách thức nóitrên về bảo mật thông tin đối với những thông tin chủ chốt của hoạt động ngânhàng điện tử, các ngân hàng cần đảm bảo:

 Tất cả các dữ liệu ngân hàng và lưu trữ mật chỉ do những cá nhân, tổchức hoặc hệ thống có thẩm quyền và được xác nhận tiếp cận

 Tất cả các dữ liệu ngân hàng mật được lưu trữ an toàn và bảo mậttránh việc xem hoặc sửa ngoài thẩm quyền trong quá trình chuyển tin qua cácmạng nội bộ, tư nhân hoặc công cộng

 Khi các bên thứ ba được tiếp cận dữ liệu thông qua các hợp đồng thuêngoài thì các tiêu chuẩn và kiểm soát của ngân hàng đối với việc sử dụng và bảomật dữ liệu phải được đáp ứng.

 Các tiếp cận đối với loại dữ liệu hạn chế tiếp cận nên được theo dõi vàghi lại và phải đảm bảo là nguồn lưu thông tin theo dõi này không bị đột nhậptrái phép

3.3 Quản trị rủi ro pháp lý và rủi ro uy tín

3.3.1 Cung cấp đầy đủ thông tin về ngân hàng

Để các khách hàng tiềm năng không phải đoán mò khi kết luận về địa vịpháp lý và tình trạng của ngân hàng trước khi tham gia vào các giao dịch ngânhàng điện tử nhằm tránh rủi ro uy tín, các ngân hàng nên đảm bảo cung cấp đầy

đủ thông tin trên website, ví dụ như:

 Tên ngân hàng và địa chỉ trụ sở chính (và các chi nhánh nếu có thể)

 Cơ quan giám sát ngân hàng có thẩm quyền và trách nhiệm giámsát trụ sở chính của ngân hàng

 Phương thức liên hệ với trung tâm dịch vụ khách hàng về nhữngvấn đề về dịch vụ, khiếu nại, nghi ngờ tài khoản bị sử dụng sai mục đích

 Phương thức tiếp cận và sử dụng công cụ khiếu tố hoặc chươngtrình khiếu nại của khách hàng

 Phương thức tiếp cận thông tin về việc bồi hoàn hoặc mức bảohiểm tiền gửi và mức độ bảo vệ dành cho khách hàng (hoặc đường dẫn đến cácwebsite cung cấp những thông tin này)

 Các thông tin cần thiết khác hoặc theo yêu cầu của pháp luật

3.3.2 Bảo mật thông tin riêng của khách hàng

Bảo mật thông tin riêng của khách hàng là nhiệm vụ quan trọng của mỗingân hàng khi thực hiện E-banking Để có thể đáp ứng được những thách thức

liên quan đến việc bảo mật thông tin cho khách hàng, các ngân hàng cần phảibảo đảm rằng:

- Việc xây dựng, áp dụng cơ chế chính sách và tiêu chuẩn về bảo mậtthông tin của khách hàng cần phải tuân thủ theo các quy định của pháp luật;

- Phổ biến kiến kiến thức bảo mật liên quan đến việc sử dụng các dịch vụ

và sản phẩm E-banking

- Khách hàng có thể từ chối việc chia sẻ thông tin liên quan đến cá nhân,

sở thích, vị trí tài chính hay hoạt động ngân hàng của mình với bên thứ 3

- Thông tin dữ liệu của khách hàng không được sử dụng ngoài phạm vicho phép

- Thực hiện các quy định của pháp luật về việc bảo đảm bí mật riêng tưcủa khách hàng khi bên thứ 3 truy cập đến dữ liệu thông qua các quan hệ vớingân hàng

3.3.3.Đảm bảo đủ năng lực cung ứng dịch vụ

Ngân hàng phải đảm bảo có đủ năng lực cung ứng dịch vụ NHĐT cho mọingười sử dụng cuối cùng và phải duy trì được khả năng đó trong mọi hoàn cảnh

Các cơ chế phản ứng hiệu quả trong trường hợp xảy ra sự cố cũng là mộtđiều hết sức cần thiết để giảm thiểu rủi ro hoạt động, rủi ro pháp lý và rủi ro uytín phát sinh từ những biến cố ngoài dự kiến, bao gồm cả những trường hợp tấncông từ trong hay từ ngoài ngân hàng mà có thể ảnh hưởng đến việc hệ thống vàdịch vụ ngân hàng điện tử Ngân hàng cũng cần xây dựng kế hoạch phản ứngkhi xảy ra sự cố, kể cả các thảm họa liên lạc thông tin, để đảm bảo kinh doanhkhông bị gián đoạn, kiểm soát được rủi ro uy tín và hạn chế nguy cơ đổ vỡ củacác dịch vụ ngân hàng điện tử của mình

Các ngân hàng nên chắc chắn rằng các dịch vụ NHĐT phải được cung cấpliên tục và kịp thời như mong đợi của khách hàng Để đạt được điều này, ngânhàng phải có khả năng cung cấp các dịch vụ ngân hàng điện tử đến người sửdụng cuối cùng từ nguồn sơ cấp (ví dụ: các ứng dụng và hệ thống ngân hàng nộibộ) hoặc nguồn thứ cấp (ví dụ: các ứng dụng và hệ thống của các nhà cung cấpdịch vụ) Việc đảm bảo sự liên tục của dịch vụ còn phụ thuộc vào khả năng của

các hệ thống dự trữ dự phòng nhằm giảm thiểu việc từ chối dịch vụ hoặc các sựviệc khác có thể gây gián đoạn kinh doanh Việc sử dụng sai mục đích hoặccông bố trái phép dữ liệu mật của khách hàng sẽ khiến ngân hàng phải chịu rủi

ro uy tín và rủi ro pháp lý

III KINH NGHIỆM CỦA MỘT SỐ NƯỚC VỀ QUẢN TRỊ RỦI

RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ

1 Kinh nghiệm của Malaysia về quản trị rủi ro trong hoạt động ngân hàng điện tử 18

Tính về thời gian, Malaysia đã phát triển hoạt động ngân hàng điện tửđược hơn 20 năm với kênh phân phối đầu tiên qua hệ thống máy giao dịch tựđộng ATM vào đầu những năm 1980, và tiếp theo là triển khai hoạt độngtelephone-banking và home-banking cuối thập niên đó Hiện nay đã phát triểnthêm hoạt động mobile-banking, kiosk-banking và internet-banking

Tốc độ tăng trưởng nhanh chóng của hoạt động ngân hàng điện tử tại thịtrường Malaysia đem lại không ít lợi ích cũng như rủi ro tiềm ẩn Và thách thứclớn nhất là vấn đề an toàn bảo mật thông tin, đặc biệt khi cung cấp dịch vụ quaInternet Các ngân hàng nhận thức được rằng điện tử không phải là vạn năng, vàcác hoạt động E-banking cần được giám sát như các hoạt động ngân hàng truyềnthống, thậm chí còn chặt chẽ hơn, chú trọng và quy trình và cơ chế vận hành

Hình 1: Hệ thống bảo mật trong hoạt động ngân hàng điện tử

18 Bala Shanmugam và Balachandher Krishna Guru, “Electronic Banking in Malaysia (Hoạt động ngân hàng

điện tử tại Malaysia)”, 2003

Vấn đề bảo mật trong hoạt động NHĐT có thể được quản trị theo 3 giaiđoạn:

Giai đoạn 2

Hỗ trợ khách hàng Giám sát Kiểm toán Mật mã

An toàn vật lý Xác nhận giao dịch

Mã hoá và bảo mật Phát hiện và phòng chống virus

Chữ ký số và CA Thiết bị sinh trắc học Tường lửa Nhà cung cấp phần mềm Nhà cung cấp dịch vụ Internet

Giai đoạn 1

Chính sách an ninh Quy trình an ninh Giải pháp an ninh Yêu cầu công nghệ Kiến trúc hệ thống Pháp luật Ứng dụng

Giai đoạn 3

Phản hồi và tiếp tục nâng cấp các biện pháp bảo mật

- Giai đoạn 1, xây dựng chính sách, quy trình và giải pháp liên quan đếnbảo mật khi thông tin của khách hàng được gửi từ máy khách đến trang chủ củakhách hàng.

- Giai đoạn 2, thiết lập môi trường bảo mật lưu trữ cơ sở dữ liệu của máychủ và thông tin khách hàng

- Giai đoạn 3, không ngừng nâng cấp quy trình bảo mật

Hoạt động NHĐT cần được giám sát như các hoạt động ngân hàng truyềnthống khác, tập trung vào quy trình, cơ chế quản trị rủi ro và rất cần sự phối hợpgiữa các nhà quản trị

Vấn đề an ninh trong hoạt động NHĐT không chỉ được xem xét đơn giản

là việc ứng dụng các phần mềm và phần cứng vào quản lý, mà yêu cầu các giảipháp an ninh liên tục phù hợp với chính sách an ninh đã được thiết lập Ngay từtrước khi triển khai dịch vụ, các ngân hàng phải đảm bảo khả năng xử lý các sự

cố an ninh thông qua việc đáp ứng các yêu cầu về vận hành và cơ sở hạ tầng củaNgân hàng Trung Ương BNM như yêu cầu về quyền ưu tiên và biện pháp xácthực, kiểm soát tiếp cận logic và vật lý, kiểm soát người dùng nội bộ và bênngoài thông qua các thiết bị phát hiện xâm nhập trái phép, tường lửa, đảm bảo

sự nguyên vẹn của dữ liệu giao dịch, bản ghi và thông tin Ngoài ra, cần duy trìviệc kiểm soát lưu vết đối với các giao dịch E-banking và duy trì bảo mật cácthông tin E-banking quan trọng theo mức độ nhạy cảm của thông tin Trong khinhận thức về an ninh mạng của người dân còn tương đối thấp thì các ngân hàngcàng phải tăng cường hoạt động giám sát liên tục cũng như thực hiện chính sách

an ninh nội bộ nghiêm ngặt

Bên cạnh đó, Chính phủ Malaysia cũng ý thức được tầm nhu cầu quản lýcác vấn đề an ninh ICT thông qua việc thành lập Cơ quan An ninh mạng lướiQuốc Gia (1998) và Trung tâm Đối ứng khẩn cấp và bảo mật ICT Quốc Gia hỗtrợ các ngân hàng ứng phó kịp thời khi xảy ra sự cố

Một mặt, mỗi ngân hàng phải xây dựng một chính sách an ninh hợp lý vàtuân thủ nghiêm ngặt chính sách đó Mặt khác, các khách hàng cũng phải tuân

thủ chính sách đó, đồng thời phối hợp và có trách nhiệm bảo vệ hệ thống điện tửcủa ngân hàng khỏi các hành vi khai thác bất hợp pháp.

Từ những phân tích trên đây, ta có thể tổng hợp một số bài học kinhnghiệm quản trị rủi ro trong hoạt động ngân hàng điện tử của Malaysia như sau:

 Thứ 1, các ngân hàng phải đáp ứng yêu cầu của pháp luật trước khicung cấp dịch vụ ngân hàng điện tử ra thị trường

 Thứ 2, xây dựng và tuân thủ chính sách an ninh mạng nghiêm ngặt

 Thứ 3, ngân hàng trung ương hỗ trợ các ngân hàng phòng ngừa và xử

lý sự cố

 Thứ 4, nâng cao ý thức tự bảo vệ của khách hàng

2 Kinh nghiệm của Singapore về quản trị rủi ro trong hoạt động ngân hàng điện tử 19

Ở Singapore, số lượng các công ty cung cấp dịch vụ ngân hàng có lẽchiếm tỷ lệ lớn nhất so với các loại hình dịch vụ khác Dịch vụ tài chính mangtính cạnh tranh cao, nhưng bên cạnh các ngân hàng hiện đại Singapore vẫn tồntại các ngân hàng truyền thống Tính tự động hoá về lĩnh vực này rất cao, có thể

xử lý tự động các dịch vụ ngân hàng, từ xử lý đơn, thư tín dụng đến thanh toán,rút tiền Khi ngân hàng thấy có rủi ro hệ thống sẽ cảnh báo và thông tin về kháchhàng được các ngân hàng chia sẻ cùng một kho cơ sở dữ liệu của quốc gia đượccác ngân hàng thuê và kết nối bởi hệ thống mạng bậc cao SNA trong toàn quốc(tất cả các ngân hàng ở Singapore đều để dữ liệu của mình ở kho cơ sở dữ liệuquốc gia) Một đặc điểm nữa là các khách hàng tại Singapore sử dụng thẻ là chủyếu; hầu như ai là công dân Singapore cũng ít nhất có một loại thẻ tín dụngthanh toán, giao dịch với ngân hàng Thói quen dùng thẻ đã khiến tất cả các dịch

vụ công cộng hay nhà hàng đều thanh toán bằng thẻ

Hiện ngân hàng DBS là ngân hàng lớn nhất ở Singapore Riêng ngân hàngnày sử dụng chương trình Vison Plus nó có khả năng xử lý các dịch vụ ngânhàng và báo cáo chi tiết tình trạng khách hàng bằng cách cho điểm khách hàng,

19 “Hệ thống ngân hàng hiện đại ở Singapore”, www.mot.gov.vn , 07/7/2004