BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP.HCM - - BÙI THỊ ĐÀO GIẢI PHÁP HOÀN THIỆN QUẢN TRỊ RỦI RO TÁC NGHIỆP TRONG HOẠT ĐỘNG NGÂN HÀNG BÁN LẺ TẠI NGÂN HÀNG TMCP PHÁT TRIỂN NHÀ ĐỒNG BẰNG SÔNG CỬU LONG CHI NHÁNH GIA LAI LUẬN VĂN THẠC SĨ KINH TẾ TP.Hồ Chí Minh, tháng 03/2014 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP.HCM - - BÙI THỊ ĐÀO GIẢI PHÁP HOÀN THIỆN QUẢN TRỊ RỦI RO TÁC NGHIỆP TRONG HOẠT ĐỘNG NGÂN HÀNG BÁN LẺ TẠI NGÂN HÀNG TMCP PHÁT TRIỂN NHÀ ĐỒNG BẰNG SÔNG CỬU LONG CHI NHÁNH GIA LAI Chuyên ngành: Tài - Ngân hàng Mã số: 60340201 LUẬN VĂN THẠC SĨ KINH TẾ Người hướng dẫn khoa học: PGS.TS HỒNG ĐỨC TP.Hồ Chí Minh, tháng 03/2014 LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Giải pháp hoàn thiện quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ ngân hàng TMCP Phát triển nhà đồng sông Cửu Long chi nhánh Gia Lai” cơng trình nghiên cứu tơi với hướng dẫn khoa học PGS.TS Hồng Đức Luận văn cơng trình nghiên cứu độc lập Các số liệu luận văn thu thập từ thực tế có nguồn gốc rõ ràng, đáng tin cậy, xử lý trung thực khách quan TP Hồ Chí Minh, ngày 20 tháng 03 năm 2014 Người viết Bùi Thị Đào MỤC LỤC  TRANG PHỤ BÌA LỜI CAM ĐOAN MỤC LỤC DANH SÁCH CÁC BẢNG DANH MỤC TỪ VIẾT TẮT LỜI MỞ ĐẦU MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ RỦI RO TÁC NGHIỆP TRONG HOẠT ĐỘNG NGÂN HÀNG BÁN LẺ TẠI CÁC NGÂN HÀNG THƯƠNG MẠI 1.1 Ngân hàng bán lẻ 1.2 Rủi ro hoạt động ngân hàng bán lẻ Ngân hàng thương mại 1.2.1 Khái niệm rủi ro 1.2.2 Các loại rủi ro kinh doanh ngân hàng 1.2.3 Mối quan hệ loại rủi ro 1.3 Rủi ro tác nghiệp hoạt động ngân hàng bán lẻ ngân hàng thương mại 1.3.1 Khái niệm rủi ro tác nghiệp 1.3.2 Phân loại rủi ro tác nghiệp 1.3.3 Ảnh hưởng rủi ro tác nghiệp 10 1.4 Quản trị rủi ro tác nghiệp ngân hàng bán lẻ ngân hàng thương mại 10 1.4.1 Khái niệm quản trị rủi ro quản trị rủi ro tác nghiệp 10 1.4.2 Sự cần thiết phải thực quản trị rủi ro tác nghiệp xu thời đại ngày 11 1.4.3 Nội dung công tác quản trị rủi ro tác nghiệp ngân hàng bán lẻ ngân hàng thương mại 12 1.4.3.1 Nhận diện rủi ro tác nghiệp 14 1.4.3.2 Đo lường rủi ro tác nghiệp 15 1.4.3.3 Báo cáo rủi ro tác nghiệp 16 1.4.3.4 Kiểm soát rủi ro tác nghiệp 16 1.5 Hoàn thiện quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ ngân hàng thương mại 17 1.5.1 Khái niệm 17 1.5.2 Các tiêu chí xác định hoàn thiện quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ ngân hàng thương mại 18 1.5.3 Ý nghĩa 19 1.6 Kinh nghiệm quản trị rủi ro tác nghiệp số ngân hàng quốc tế Bài học cho Ngân hàng thương mại Việt Nam 19 1.6.1 Kinh nghiệm quản trị rủi ro tác nghiệp số ngân hàng quốc tế 19 1.6.2 Bài học Ngân hàng thương mại Việt Nam 22 Kết luận chương CHƯƠNG II: THỰC TRẠNG HOÀN THIỆN QUẢN TRỊ RỦI RO TÁC NGHIỆP TRONG HOẠT ĐỘNG NGÂN HÀNG BÁN LẺ TẠI NGÂN HÀNG TMCP PHÁT TRIỂN NHÀ ĐỒNG BẰNG SÔNG CỬU LONG CHI NHÁNH GIA LAI 2.1 Tổng quan hoạt động MHB CN Gia Lai (2010-2012) 27 2.1.1 Quá trình đời phát triển 27 2.1.2 Nhiệm vụ Phòng Quản lý rủi ro & Hỗ trợ kinh doanh 28 2.1.3 Cơ cấu tổ chức hoạt động 29 2.1.4 Kết hoạt động kinh doanh 33 2.1.4.1 Về dư nợ cho vay 35 2.1.4.2 Về huy động tiền gửi 36 2.1.4.3 Về thu nhập 38 2.1.4.4 Về chi phí 39 2.2 Thực trạng hoàn thiện quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ MHB CN Gia Lai 40 2.2.1 Cơ sở pháp lý cho nghiệp vụ quản trị rủi ro tác nghiệp MHB CN Gia Lai 40 2.2.2 Phân tích thực trạng rủi ro tác nghiệp MHB CN Gia Lai 43 2.2.2.1 Các hành vi gian lận tội phạm nội 43 2.2.2.2 Các hành vi gian lận tội phạm bên 45 2.2.2.3 Dấu hiệu rủi ro liên quan đến sai sót tác nghiệp cán 46 2.2.2.4 Rủi ro liên quan đến hệ thống công nghệ thông tin (CNTT) 47 2.2.3 Thực trạng hoàn thiện quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ MHB CN Gia Lai 49 2.3 Đánh giá chung thực trạng nghiệp vụ quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ MHB CN Gia Lai 57 2.3.1 Kết đạt 57 2.3.2 Hạn chế nguyên nhân 59 Kết luận chương CHƯƠNG III: GIẢI PHÁP HOÀN THIỆN QUẢN TRỊ RỦI RO TÁC NGHIỆP TRONG HOẠT ĐỘNG NGÂN HÀNG BÁN LẺ TẠI NGÂN HÀNG TMCP PHÁT TRIỂN NHÀ ĐỒNG BẰNG SÔNG CỬU LONG CHI NHÁNH GIA LAI 3.1 Đặc điểm kinh tế - xã hội tỉnh Gia Lai 63 3.2 Định hướng phát triển MHB CN Gia Lai đến năm 2015 tầm nhìn đến năm 2020 66 3.2.1 Định hướng chung 66 3.2.2 Định hướng hoàn thiện quản trị rủi ro tác nghiệp ngân hàng bán lẻ 68 3.3 Các giải pháp hoàn thiện quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ MHB CN Gia Lai 69 3.3.1 Nhóm giải pháp MHB CN Gia Lai tổ chức thực 69 3.3.2 Nhóm giải pháp hỗ trợ 70 3.3.2.1 Nhóm giải pháp từ Hội sở MHB 70 3.3.2.2 Nhóm giải pháp từ ngân hàng nhà nước Việt Nam 76 Kết luận chương KẾT LUẬN TÀI LIỆU THAM KHẢO PHỤ LỤC DANH SÁCH CÁC BẢNG  Nội dung Trang Bảng 2.1:Một số tiêu kinh doanh chi nhánh từ năm 2010 đến năm 2012 34 Bảng 2.2: Số liệu hoạt động cho vay ngân hàng địa bàn tỉnh Gia Lai qua năm 2010, 2011, 2012 35 Bảng 2.3: Số liệu hoạt động huy động vốn ngân hàng địa bàn tỉnh Gia Lai qua năm 2010, 2011, 2012 37 Bảng 2.4: Số liệu Thu nhập chi nhánh từ năm 2010 đến năm 2012 38 Bảng 2.5: Số liệu Chi phí chi nhánh từ năm 2010 đến năm 2012 39 Bảng 2.6: Một số văn pháp lý hành quản lý quản trị rủi ro tác nghiệp MHB 40 DANH MỤC TỪ VIẾT TẮT  WTO Tổ chức thương mại giới NHNN Ngân hàng Nhà nước NHTM Ngân hàng thương mại NHBB Ngân hàng bán buôn RRTN Rủi ro tác nghiệp NHBL Ngân hàng bán lẻ MHB Ngân hàng TMCP Phát triển nhà ĐBSCL QTRRTN Quản trị rủi ro tác nghiệp CBCNV Cán công nhân viên CNTT Công nghệ thông tin CBKD Cán kinh doanh TSTC Tài sản chấp QLRR Quản lý rủi ro QTRRTN Quản trị rủi ro tác nghiệp LỜI MỞ ĐẦU LÝ DO CHỌN ĐỀ TÀI: Cùng với việc cam kết hội nhập WTO bắt đầu có hiệu lực lộ trình tăng vốn lên 10.000 tỷ đồng vào năm 2015, ngân hàng thương mại Việt nam thực bước vào giai đoạn cạnh tranh liệt với nhiều định chế tài quốc tế lớn thị trường nội địa Để tồn phát triển bền vững, ngân hàng TMCP Phát triển nhà đồng sông Cửu Long chi nhánh Gia Lai ngân hàng thương mại khác phải nỗ lực nâng cao lực cạnh tranh, mặt không ngừng gia tăng dịch vụ mặt khác nâng cao lực quản trị lực quản trị rủi ro xem quan trọng hàng đầu Dưới áp lực đó, ngân hàng thực hiện đại hóa, áp dụng cơng nghệ tiên tiến để khai thác tốt thị trường bán lẻ, cụ thể khách hàng doanh nghiệp, cá nhân Mặt trái hoạt động ngân hàng bán lẻ ngân hàng phải đối mặt với gia tăng rủi ro, rủi ro tác nghiệp dễ dàng xảy khơng có phương pháp quản trị tốt hiệu Các nhà nghiên cứu số nước tiên tiến tính tốn ảnh hưởng rủi ro tác nghiệp ngân hàng thông thường 10% lợi nhuận từ hoạt động kinh doanh Ngoài với vụ vi phạm pháp luật diễn ngân hàng Việt Nam thời gian vừa qua cho thấy công tác quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ ngân hàng TMCP Phát triển nhà đồng sông Cửu Long chi nhánh Gia Lai ngày trở nên cấp thiết thực tiễn lý luận Quản trị rủi ro tác nghiệp vấn đề hệ thống quản trị rủi ro ngân hàng nên sở lý thuyết quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ dựa tảng Quản trị rủi ro quy định theo Hiệp ước Basel II Ủy ban Basel giám sát ngân hàng Từ lý 220 Cuối ngày số dư tài khoản phải thu từ thẻ với liên minh có sai lệch số liệu (số dư cuối ngày khác 0), CN/PGD không thông báo cho TTT ngày để phối hợp xử lý 221 Không ghi hạn mức giao dịch tối đa ngày vào đơn mở thẻ khách hàng 222 Không bảo quản, quản lý thẻ trắng, thẻ cá thể hóa, thẻ phát hành chưa giao cho khách hàng (kể thẻ thu hồi ATM) ấn quan trọng hệ thống MHB 223 Khơng quản lý, lưu giữ phong bì thẻ Pin CN/PGD ấn quan trọng 224 Người nhận thẻ chủ thẻ 225 Không kiểm tra danh sách khách hàng ký xác nhận nhận thẻ danh sách phát hành thẻ Pin 226 Thành viên Ban Quản Lý ATM Chi nhánh có user TICMS 227 Khơng theo dõi giao dịch xuất sau khoảng thời gian dài khơng có giao dịch 228 Tiếp quỹ máy ATM khơng theo quy trình (tối đa lần tiếp quỹ, kiểm quỹ 03 tuần) 229 Không đủ thành viên Ban quản lý ATM nạp tiền vào hộp tiền đặt hộp tiền vào máy ATM 230 Nạp tiền vào hộp tiền máy ATM thực nơi đặt máy ATM 231 232 Khơng có Biên nạp tiền vào hộp tiền máy ATM Nhân viên quản lý ATM khơng giám sát tình trạng hoạt động máy ATM, khơng kịp thời khắc phục cố máy không rút tiền 233 Khi phát máy khơng rút tiền khơng tích cực tìm ngun nhân nhanh chóng khắc phục 234 Đùn đẩy trách nhiệm Trung tâm thẻ chi nhánh việc xử lý khắc phục lỗi ATM 235 Khi tiếp quỹ không thực đối chiếu số liệu tồn quỹ máy ATM theo sổ sách kế toán liệu tồn quỹ máy ATM 236 Thừa thiếu quỹ ATM 237 238 Thừa thiếu quỹ ATM khơng tìm nguyên nhân Việc xử lý thừa thiếu quỹ chậm trễ, không tuân thủ theo quy định 239 Không phân công cán chuyên trách ATM văn 240 241 Cán chuyên trách ATM cán đảm nhiệm công việc liên quan đến thủ quỹ kế toán Người trực tiếp nạp tiền vào hộp tiền đặt hộp tiền vào máy ATM cán chuyên trách ATM 242 Quá trình vận chuyển hộp tiền quỹ đến máy ATM ngược lại không thực theo quy định 243 Vị trí đặt máy ATM khó nhìn thấy, khơng hiệu 244 Sự cố kỹ thuật buồng máy ATM (rò rỉ điện, … ) 245 Máy xảy cố khơng rút tiền khơng tìm ngun nhân 246 Máy ATM chi tiền cho khách hàng chưa trừ số dư tài khoản thẻ không thống kê số tiền khách hàng rút 247 Máy ATM chi tiền bị kẹp dính tờ (nhất loại tiền mệnh giá lớn) 248 Không ghi chép lại cố xảy để theo dõi hoạt động ATM 249 Hạch tốn thủ cơng nhầm tài khoản máy ATM (khách hàng rút tiền máy ATM hạch toán vào máy ATM khác) 250 Không thực theo quy định xử lý khiếu nại rà soát giao dịch thẻ 251 Dịch vụ tốn hóa đơn tiền điện khơng thực theo trình tự, quy trình 252 Chi nhánh khơng phổ biến, triển khai dịch vụ SMS Banking 253 Hạn mức giao dịch cho thẻ MHB giao dịch dịch vụ mua hàng POS TCTV/NHNTV không quy định 254 Không phổ biến, triển khai, phát triển dịch vụ mua hàng POS TCTV/NHNTV thông qua kênh sẵn có quầy giao dịch, địa điểm đặt máy ATM 255 Khơng thực quy trình xử lý khiếu nại tra soát giao dịch thể thực máy POS ngân hàng thành viên Banknetvn 256 Chưa bố trí nhân theo dõi hình ảnh camera đặt ATM 257 Chưa tiến hành kiểm tra trụ ATM xem có dấu hiệu lạ khơng: khe đọc thẻ, bàn phím, trần máy đối diện với bàn phím xem có bị gắn thiết bị lạ khơng, xem có bị gắn camera quan sát khơng… J HỆ THỐNG BÁO CÁO 258 Báo cáo kế toán, Báo cáo tài khơng đảm bảo tính đầy đủ, xác kịp thời theo quy định 259 Báo cáo kế tốn, Báo cáo tài chưa sở để cấp Lãnh đạo đưa định quản lý, điều hành hoạt động ngân hàng hiệu quả, kịp thời K.LƯU TRỮ TÀI LIỆU KẾ TOÁN - NGÂN QUỸ 260 Tài liệu kế toán - ngân quỹ không tập hợp đầy đủ không tiến hành phân loại lưu trữ theo thời hạn quy định 261 Các tài liệu kế toán - ngân quỹ trước đóng thành tập khơng xếp theo loại, theo thời gian phát sinh, theo niên độ kế tốn 262 Bìa ngồi tập tài liệu kế tốn khơng ghi rõ nội dung chủ yếu: tên đơn vị, tên tài liệu, ngày phát sinh, người đóng đánh số 263 Việc giao nhận tài liệu kế toán phận kế toán phận lưu trữ không lập thành biên giao nhận bên 264 Không mở sổ theo dõi tài liệu kế toán lưu trữ để ghi chép, theo dõi quản lý tài liệu kế toán - ngân quỹ 265 Phát tài liệu kế toán - ngân quỹ bị bị hủy hoại, không thành lập Hội đồng phục hồi, xử lý tài liệu kế toán - ngân quỹ bị mất, bị hủy hoại 266 Tài liệu kế toán - ngân quỹ hết thời hạn lưu trữ không tiến hành thủ tục tiêu hủy theo quy định Phụ lục 2.4 TỰ ĐÁNH GIÁ DANH MỤC RỦI RO NĂM …… ĐƠN VỊ: CHI NHÁNH GIA LAI Hoạt động/Nghiệp vụ: NGUỒN VỐN STT DANH MỤC RỦI RO (1) (2) I Hoạt động quản lý nguồn vốn Chi nhánh chưa có biện pháp tích cực huy động vốn theo định hướng hoạt động MHB tín hiệu thị trường phù hợp với đạo Hội đồng quản trị, Ban Tổng Giám đốc thời kỳ Không đạt kế hoạch huy động vốn thời kỳ Huy động vốn không đáp ứng nhu cầu sử dụng vốn Sử dụng vốn vượt nguồn vốn huy động Lãi suất huy động vốn không đảm bảo hiệu hoạt động chi nhánh không tuân thủ quy định MHB Khả khoản thời điểm định Chi phí sử dụng vốn khơng đảm bảo chi phí vốn Huy động vốn vượt trần lãi suất quy định thời kỳ Không báo cáo đầy đủ Hội sở giao dịch nhận vốn vượt hạn mức 10 Sử dụng vốn huy động không hiệu II Quản lý hoạt động kinh doanh ngoại tệ 11 Quy định quản lý ngoại hối NHNN MHB không tuân thủ cách chặt chẽ 12 Nhân viên thừa hành quy định quản lý ngoại hối NHNN MHB 13 14 15 16 Mua bán ngoại tệ khơng thực theo quy định, quy trình MHB Không đảm bảo trạng thái ngoại tệ hàng ngày theo quy định Tỷ giá giao dịch ngoại tệ không thu hút khách hàng Tỷ giá giao dịch ngoại tệ không cập nhật thường xuyên KHẢ NĂNG XẢY RA RỦI RO (3) MỨC ĐỘ NGHIÊM TRỌNG KHI XẢY RA RỦI RO (4) MỨC ĐỘ KIỂM SOÁT CỦA CN (5) Phụ lục 2.5 TỰ ĐÁNH GIÁ DANH MỤC RỦI RO NĂM ……… ĐƠN VỊ : CHI NHÁNH GIA LAI Hoạt động/Nghiệp vụ: NHÂN SỰ STT DANH MỤC RỦI RO (1) (2) Công tác tổ chức, xếp nhân phận chưa phù hợp với yêu cầu công việc Không lập theo dõi việc thực kế hoạch phát triển nguồn nhân lực Tuyển dụng nhân không đáp ứng yêu cầu công việc nên nguồn nhân lực không phù hợp số lượng lẫn chất lượng Tốn nhiều chi phí cho cơng tác tuyển dụng không hiệu Lãnh đạo không dành đủ thời gian để xem xét kết thực thi công việc cá nhân với mục tiêu chung ngân hàng Chưa trọng việc đào tạo nguồn nhân lực Hệ thống đánh giá khen trưởng nhân viên chưa tạo động lực thúc đẩy nhân viên làm việc thu hút nguồn nhân lực Chưa cập nhật ban hành văn kịp thời có thay đổi, bổ sung chức năng, nhiệm vụ cho phận Chi nhánh, PGD Hồ sơ thông tin cán nhân viên chưa quản lý cách khoa học hợp lý KHẢ NĂNG XẢY RA RỦI RO (3) MỨC ĐỘ ẢNH HƯỞNG KHI XẢY RA RỦI RO (4) MỨC ĐỘ KIỂM SOÁT CỦA CN (5) Phụ lục 2.6 TỰ ĐÁNH GIÁ DANH MỤC RỦI RO NĂM …… ĐƠN VỊ: CHI NHÁNH GIA LAI Hoạt động/Nghiệp vụ: CÔNG NGHỆ THÔNG TIN STT (1) I DANH MỤC RỦI RO (2) QUY CHẾ QUẢN LÝ TÀI KHOẢN SỬ DỤNG TRONG CÁC CHƯƠNG TRÌNH GIAO DỊCH 48/QĐ-NHNHĐQT 90/QĐ-NHN Quy trình cấp mới, thay đổi thơng tin hủy tài khoản người sử dụng không thực theo quy định Quyền truy cập quyền hạn xử lý tài khoản không phù hợp với nhiệm vụ người sử dụng Một tài khoản cấp đồng thời hai quyền tạo lập giao dịch phê duyệt giao dịch hệ thống Việc kích hoạt tài khoản không thực theo quy định Hồ sơ kích hoạt tài khoản khơng lập quy định Việc tạm ngưng sử dụng tài khoản không thực theo quy định Việc tài khoản truy cập bị đóng khơng thực theo quy định 10 11 II Việc hủy tài khoản khơng cịn sử dụng khơng thực theo quy định Việc ủy quyền cho người khác sử dụng tài khoản không thực theo quy định Quy trình phục hồi thơng tin truy cập không tuân thủ Không tuân thủ quy định bảo mật thông tin tài khoản truy cập QUY ĐỊNH VỀ AN TỒN BẢO MẬT THƠNG TIN TRONG NỘI BỘ MHB 94/QĐ-NHN; AN TỒN THƠNG TIN CHO PHẦN MỀM ỨNG DỤNG 1369/QĐ-NHN 12 Sử dụng thông tin không rõ nguồn gốc 13 Thanh lý tài sản thông tin chưa hủy hết tài liệu khỏi tài sản KHẢ NĂNG XẢY RA RỦI RO (3) MỨC ĐỘ NGHIÊM TRỌNG KHI XẢY RA RỦI RO (4) MỨC ĐỘ KIỂM SOÁT CỦA CN (5) TÌNH TRẠNG HIỆN NAY (6) 14 15 16 17 18 19 20 21 22 III 23 24 25 26 27 28 29 30 Truy cập trái phép vào hệ thống thông tin MHB Sử dụng tài khoản truy cập người khác chưa có ủy quyền văn Tự ý xây dựng phần mềm kết nối vào hệ thống thơng tin MHB Khơng khóa máy tính rời khỏi vị trí, khơng tắt máy tính kết thúc ngày làm việc Khơng lập máy tính bị nghi ngờ nhiễm virus, mã độc khỏi hệ thống mạng MHB thông báo cho phận CNTT đơn vị để xử lý Tiết lộ thông tin tài khoản truy cập cho người khác hình thức khác Các quy định tiêu chuẩn an tồn thơng tin cho phần mềm ứng dụng Ngân hàng không tuân thủ dầy đủ Không kiểm tra lập biên kiểm tra phần mềm ứng dụng đáp ứng tiêu chuẩn an toàn bảo mật thông tin theo quy định trước đưa vào vận hành Khơng trình Tổng giám đốc phê duyệt phần mềm ứng dụng không đáp ứng nhiều tiêu chí theo quy định QUY TRÌNH QUẢN LÝ SAO LƯU VÀ KHÔI PHỤC DỮ LIỆU 871/QĐNHN Dữ liệu hệ thống thông tin ứng dụng Ngân hàng không lưu hàng ngày thiết bị lưu trữ ghi đè phương tiện lưu trữ băng từ Các ứng dụng thư điện tử liệu thư điện tử không lưu định kỳ Các tập tin hệ thống máy chủ chia sẻ không lưu định kỳ theo quy định Việc lưu liệu máy chủ chia sẻ tập tin không thực theo quy định Không quy định cụ thể thời gian lưu liệu cho cán kỹ thuật, nhân viên quản trị hệ thống người dùng Không xác định thời gian lưu trữ / trì liệu lưu cho loại liệu Các thiết bị lưu trữ liệu lưu không cịn nhu cầu sử dụng khơng tiêu hủy theo quy định quy trình Ngân hàng Dữ liệu lưu không bảo vệ mật mã 31 32 33 34 35 36 37 38 39 40 IV 41 42 43 44 45 Các thiết bị chứa liệu lưu không dán nhãn để xác định loại liệu lưu trữ, ngày lưu trữ Các thiết bị chứa liệu lưu không thay trước hết hạn sử dụng Các thiết bị chứa liệu lưu không đặt cách xa hệ thống xử lý liệu lưu, không đảm bảo vấn đề môi trường, bảo vệ vật lý an toàn bảo mật thông tin Hệ thống không tự động thông báo cho nhân viên quản trị hệ thống/nhân viên kỹ thuật sau hồn thành tiến trình lưu Biểu mẫu ghi nhận thông tin việc thực lưu liệu, thông tin việc thay đổi thiết bị lưu trữ không xác nhận người chịu trách nhiệm thực Các thông tin nhật ký thực lưu phục hồi liệu tất hệ thống không lưu trữ cách đầy đủ Khơng triển khai khóa đào tạo cơng tác lưu, phục hồi liệu Không quy định thời gian cụ thể hàng tháng, hàng quý, hàng năm việc thực định kỳ kiểm tra khả khôi phục liệu lưu Không thực kiểm tra định kỳ khả khôi phục liệu lưu môi trường kiểm thử Kết thực kiểm tra khả khôi phục liệu lưu không lập thành báo cáo, có chữ ký bên liên quan báo cáo cho Ban lãnh đạo CNTT Ngân hàng QUY ĐỊNH GHI NHẬT KÝ VÀ THEO DÕI SỰ KIỆN 872/QĐ-NHN Hệ thống CNTT Ngân hàng khơng có chức ghi nhật ký kiện liên quan đến hệ thống Nhật ký kiện không bao gồm đầy đủ thông tin quy định như: thời gian xảy kiện, định danh kiện, người sử dụng, địa IP thiết bị đầu cuối, mô tả kiện, mức độ kiện Nhật ký hệ thống CNTT không quản lý tập trung, thời gian lưu trữ nhật ký khơng hợp lý Khơng có biện pháp bảo vệ, đảm bảo chức ghi nhật ký không bị truy cập trái phép, nội dung nhật ký bị xóa, chỉnh sửa, thay đổi Các hệ thống CNTT không đồng thời gian 46 47 V 48 49 50 51 52 53 54 VI 55 56 57 58 59 60 61 Các nhật ký quan trọng không trì, quản lý, rà sốt phân tích thường xuyên cá nhân phụ trách quản trị Không lập báo cáo định kỳ có hoạt động xử lý lỗi, cố cần thiết QUY ĐỊNH QUẢN LÝ HOẠT ĐỘNG LIÊN TỤC CHO HOẠT ĐỘNG KINH DOANH 873/QĐ-NHN Khơng có kế hoạch sẵn sàng ứng phó với cố nhằm đảm bảo trì hoạt động kinh doanh liên tục Kế hoạch trì hoạt động kinh doanh liên tục không lãnh đạo Ngân hàng phê duyệt Kế hoạch trì hoạt động kinh doanh liên tục khơng có đầy đủ thành phần theo quy định Kế hoạch trì hoạt động kinh doanh liên tục không xác định rõ thời gian tối đa cho phép để khôi phục hoạt động lại bình thường xảy cố Kế hoạch trì hoạt động kinh doanh liên tục khơng nêu rõ quy trình phản ứng, khơng quy định trách nhiệm cụ thể cá nhân, đơn vị có liên quan Kế hoạch trì hoạt động kinh doanh liên tục không xác định yêu cầu sở hạ tầng cần thiết phục vụ cho cơng tác dự phịng Nhân viên Ngân hàng không phổ biến, đào tạo Kế hoạch trì hoạt động kinh doanh liên tục QUY ĐỊNH BẢO MẬT MẠNG 803/QĐ-NHN Không giám sát hệ thống mạng Khơng ghi nhận, phân tích rà soát thường xuyên kiện liên quan đến hệ thống mạng Cấp quyền truy nhập vào nơi lưu giữ nhật ký không quy định, không phù hợp với chức năng, nhiệm vụ người cấp Khơng có quy trình, thủ tục quy định trách nhiệm cá nhân phụ trách liên quan việc quản lý cố Khơng có biện pháp kiểm sốt kết nối mạng hệ thống CNTT ngân hàng Các thiết bị an ninh mạng không triển khai triển khai khơng phù hợp Khơng có biện pháp kiểm soát truy nhập vào thiết bị mạng Người khơng có thẩm quyền truy nhập vào thiết bị mạng 62 63 64 65 66 67 68 69 70 71 VII 72 73 74 75 76 77 Khu vực mạng kết nối Internet không tách biệt vật lý khơng có hệ thống tường lửa ngăn cách với hệ thống mạng nội Ngân hàng Người khơng có thẩm quyền truy nhập trực tiếp từ Internet vào hệ thống nội Kết nối mạng hệ thống CNTT quan trọng phục vụ cho hoạt động kinh doanh Ngân hàng không sử dụng giao thức mã hóa đường truyền Khơng thường xuyên thực cập nhật kịch phản ứng cố Không định kỳ sử dụng công cụ dị tìm phát kịp thời điểm yếu, lỗ hổng truy nhập bất hợp pháp vào hệ thống Các hệ thống mạng Ngân hàng MHB khơng có đầy đủ tài liệu kỹ thuật vận hành Mật truy nhập vào hệ thống khơng lưu trữ dạng mã hóa file cấu hình, mật khơng đảm bảo u cầu bảo mật Không tắt dịch vụ IP directed broadcast, TCP small servers, UDP small versers, Sources routing nhu cầu đặc biệt thực cần thiết Các thiết bị mạng khơng có thơng điệp cảnh báo dùng truy nhập vào Không sử dụng dịch vụ SSH để truy nhập vào thiết bị mạng QUY ĐỊNH QUẢN LÝ VIỆC PHÁT TRIỂN VÀ HỖ TRỢ HỆ THỐNG 804/QĐ-NHN Quy trình/thủ tục kiểm sốt thay đổi hệ thống không ban hành thống đầy đủ điểm kiểm sốt theo quy định Vai trị, trách nhiệm người yêu cầu thay đổi, người phê duyệt thay đổi, người thực thay đổi, người kiểm tra thay đổi không phân tách Thông tin nhạy cảm liệu kiểm thử không lọc bỏ trước đưa vào môi trường thử nghiệm Không tuân thủ quy trình việc đề xuất phê duyệt ngày đưa liệu vào hệ thống kiểm thử Dữ liệu kiểm thử khơng xóa khỏi mơi trường thử nghiệm khơng cịn sử dụng Dữ liệu kiểm thử lấy từ liệu thực tế không bảo vệ liệu thực tế Khơng giám sát, rà sốt quy trình nghiệp vụ hệ thống ứng dụng sau thực thay đổi Không sử dụng biện pháp kiểm sốt nhằm giảm thiểu ngăn chặn việc rị rỉ 79 thơng tin q trình thực phát triển hỗ trợ hệ thống QUY ĐỊNH KIỂM SOÁT TRUY CẬP VIII MẠNG, HỆ ĐIỀU HÀNH 805/QĐNHN, THAM CHIẾU 118/QĐ-NHN Khơng định nghĩa danh sách quyền truy cập có hệ thống phần mềm ứng 80 dụng, vị trí cơng việc nhân viên ngân hàng quyền truy cập cần thiết cho vị trí Có người có hơm tài khoản truy cập 81 hệ thống Khơng có ủy quyền phê duyệt 82 cấp thẩm quyền dùng tài khoản người khác truy cập vào hệ thống Việc cấp phát, thu hồi thay đổi quyền 83 truy cập không thực theo quy định Các yêu cầu cho phần mềm ứng dụng 84 không tuân thủ Việc truy cập vào hệ thống đối tác 85 bên ngồi khơng thực giám sát chặt chẽ theo quy định MHB Việc rà soát quyền truy cập hoạt động truy cập vào hệ thống phần mềm 86 ứng dụng không thực định kỳ theo quy định Truy cập từ xa VPN vào hệ thống không 87 phê duyệt người có thẩm quyền Khơng thiết lập biện pháp kỹ thuật 88 an ninh bảo mật để quản lý truy nhập từ xa Khơng có nhân chịu trách nhiệm tạo, 89 chỉnh sửa, theo dõi hủy tài khoản VPN Không tuân thủ yêu cầu cho hệ điều hành, hệ thống mạng như: thiết lập tính truy cập hàng giao thức mã hóa; thiết lập sách đảm bảo lập mật mã theo quy định; thiết lập tính 90 thơng báo cho người sử dụng; kích hoạt tính hạn chế số lần đăng nhập không hợp lệ; ghi nhật ký tự động việc đăng nhập; tính tự động kết thúc phiên truy cập không thao tác sau thời gian xác định Khơng thực rà sốt định kỳ quyền 91 truy cập các hoạt động truy cập vào mạng, hệ điều hành QUY ĐỊNH QUẢN LÝ MÔI IX TRƯỜNG VẬT LÝ CHO TRUNG 78 TÂM DỮ LIỆU 806/QĐ-NHN 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 Cá nhân khơng có thẩm quyền trách nhiệm vào khu vực trung tâm liệu Khơng có danh sách tất quyền vào trung tâm liệu để quản lý Cửa vào trung tâm liệu khơng đóng, khóa mở theo quy định Khơng thực rà sốt quyền vào trung tâm liệu định kỳ tháng lần Khơng xóa bỏ quyền vào trung tâm liệu cấp khơng cịn cần thiết với nhu cầu cơng việc Khơng thơng báo kết rà sốt danh sách quyền vào cập nhật cho Trung tâm CNTT, đơn vị chịu trách nhiệm ATBMTT Khơng có nhật ký vào trung tâm liệu Người khơng có thẩm quyền truy xuất vào nhật ký thực thao tác quản lý trì nhật ký Nhật ký khơng cập nhật xác thời điểm vào người có thẩm quyền Nhật ký khơng quản lý người có thẩm quyền Khơng báo cáo cho lãnh đạo Trung tâm CNTT tất cố liên quan đến vấn đề ATBMTT môi trường vật ký xảy với khu vực trung tâm liệu Trung tâm liệu khơng có biện pháp bảo vệ phòng chống nguy cháy nổ, ngập lụt, động đất thảm họa khác thiên nhiên người gây Trung tâm liệu không đảm bảo vệ sinh cơng nghiệp Khơng có biện pháp thiết bị hỗ trợ cơng tác kiểm tra kiểm sốt vận hành an toàn trung tâm sở liệu như: hệ thống máy quay an ninh, hệ thống báo động có cố, … Trung tâm liệu không thiết kế độc lập tách biệt với khu vực chung Những thay đổi vật lý (thêm bớt thiết bị, máy móc, máy chủ, điều hịa,…) khơng thơng báo với người có thẩm quyền Khơng tn thủ quy định an tồn vận hành trung tâm liệu (bao gồm quy định tiêu chuẩn liên quan đến an toàn lao động cho nhân viên) Đặt máy móc thiết bị, vật liệu không sử 110 111 X 112 113 114 115 116 117 118 119 120 121 122 123 XI 124 125 dụng khu vực trung tâm liệu Việc di chuyển máy móc, thiết bị vào trung tâm liệu khơng người có thẩm quyền phê duyệt ghi nhận Việc di chuyển máy móc, thiết bị vào trung tâm liệu không tuân thủ quy định QUY ĐỊNH PHÒNG CHỐNG VIRUS VÀ MÃ ĐỘC 807/QĐ-NHN Khơng có kịch bản, hướng dẫn phản ứng cố để ngăn chặn mã độc lây nhiễm vào hệ thống CNTT Khơng triển khai hệ thống phịng chống mã độc hệ thống CNTT Chương trình chống virus, mã độc máy chủ, máy trạm thiết bị an ninh mạng khơng kích hoạt khơng hoạt động Hệ thống CNTT máy tính bị nhiễm mã độc bị nghi ngờ nhiễm mã độc không ngắt kết nối khỏi hệ thống mạng Ngân hàng Các thiết bị phần cứng phần mềm chống mã độc không cập nhật kịp thời mẫu mã độc phiên Các Thiết bị máy tính di động khơng kiểm tra xử lý mã độc trước kết nối vào hệ thống CNTT Ngân hàng Các thiết bị, phần mềm, tập tin không phê duyệt, kiểm tra xử lý mã độc trước cài đặt sử dụng Các email gửi gửi đến không kiểm tra xử lý mã độc Truy cập website khơng có nguồn gốc xuất xứ rõ ràng Tải sử dụng ứng dụng, phần mềm không thống Các thơng báo liên quan đến mã độc khơng gửi theo quy trình thơng báo chuẩn cấp có thẩm quyền phê duyệt Quy định phải đảm bảo liệu ln tồn lưu "sạch" không tuân thủ QUY ĐỊNH KIỂM SỐT KHĨA VÀ MÃ HĨA 808/QĐ-NHN Các chuẩn mã hóa khơng tn thủ theo tiêu chuẩn quy định Khơng mã hóa theo chuẩn Ngân hàng chấp nhận liệu phân loại quan trọng nhạy cảm Ngân hàng liệu liên quan đến nghiệp vụ kinh doanh, CNTT nhân 126 127 128 129 130 131 132 133 134 135 Khơng mã hóa theo chuẩn Ngân hàng chấp nhận liệu quan trọng nhạy cảm lưu trữ thiết bị di động laptop, máy tính bảng, PDA Khơng mã hóa theo chuẩn Ngân hàng chấp nhận liệu quan trọng nhạy cảm lưu trữ thiết bị lưu trữ di động ổ cứng di động , Ổ quang, USB Các lưu liệu quan trọng nhạy cảm khơng mã hóa theo chuẩn Ngân hàng chấp nhận Các liệu quan trọng nhạy cảm gửi hệ thống email gửi gửi đến môi trường mạng công cộng truyền giao thức mã hóa, cơng nghệ bảo mật kênh đường truyền khơng mã hóa theo chuẩn Ngân hàng chấp nhận Khóa mã hóa khơng kiểm sốt theo ngun tắc phân chia trách nhiệm, cấp quyền tối thiểu việc quản lý mã hóa Việc quản lý khóa mã hóa khơng thực tự động Không sử dụng phương pháp bảo mật lưu trữ vận chuyển khóa mã hóa Các khóa mã hóa khơng tạo ngẫu nhiên lưu trữ thiết bị phần cứng chuyên dụng Khóa mã hóa khơng có thời hạn sử dụng Khơng có biện pháp kiểm sốt quy định an tồn việc tạo, phân phối, truy cập, kích hoạt, lưu trữ, hủy, thay đổi cập nhật, thu hồi, phục hồi mã hóa 136 Khơng có nhật ký quản lý khóa mã hóa 137 Nhật ký ghi nhận hoạt động quản lý khóa mã hóa khơng thường xun kiểm soát Hướng dẫn cách đánh giá: đánh giá theo thang điểm số từ đến 5, phần chữ để giải thích cho phần điểm số Cột (3): Chi nhánh đánh giá khả xảy rủi ro điều kiện Chi nhánh không sử dụng biện pháp kiểm soát theo thang điểm số từ đến 5, đó: (Chắc chắn xảy ra); (Có thể xảy ra); (Đơi xảy ra); (Hiếm xảy ra); (Không xảy ra) Cột (4): Chi nhánh đánh giá mức độ ảnh hưởng, hậu xảy rủi ro hoạt động MHB theo thang điểm số từ đến 5, đó: (Cao); (Khá cao); (Trung bình); (Thấp); (Không nghiêm trọng) Cột (5): Chi nhánh đánh giá mức độ kiểm soát Chi nhánh rủi ro nào? Chi nhánh đánh giá theo thang điểm sau : Điểm Có đầy đủ Quy trình, Hướng dẫn, Biện pháp kiểm sốt rủi ro (nêu số văn bản) Khơng có Quy trình, Hướng dẫn CN có biện pháp kiểm sốt rủi ro (nêu biện pháp) Khơng có quy trình, hướng dẫn biện pháp kiểm soát rủi ro ... hồn thiện cơng tác quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ ngân hàng TMCP Phát triển nhà đồng sông Cửu Long chi nhánh Gia Lai, chọn đề tài ? ?Giải pháp hoàn thiện quản trị rủi ro tác. .. tác quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ Phạm vi nghiên cứu: công tác quản trị rủi ro tác nghiệp hoạt động ngân hàng bán lẻ ngân hàng TMCP Phát triển nhà đồng sông Cửu Long chi. .. TRẠNG HOÀN THIỆN QUẢN TRỊ RỦI RO TÁC NGHIỆP TRONG HOẠT ĐỘNG NGÂN HÀNG BÁN LẺ TẠI NGÂN HÀNG TMCP PHÁT TRIỂN NHÀ ĐỒNG BẰNG SÔNG CỬU LONG CHI NHÁNH GIA LAI 2.1 Tổng quan hoạt động MHB CN Gia Lai (2010-2012)