Nhận diện vă kiểm soât tốt rủi ro chỉ bằng kỹ năng vă kinh nghiệm câ nhđn không chưa đủ, việc kiểm soât rủi ro phải được thực hiện theo một quy trình chặt chẽ vă phù hợp với đặc thù, mục tiíu của đơn vị.
NHAÔN DIEÔN RỤI RO PHAĐN TÍCH RỤI RO GIAÙM SAÙT KIEƠM SOAÙT RỤI RO Thođng tin môùi
Phạn hoăi
Thöïc hieôn Löïa chón
Ñeă xuaât Ñieău chưnh
Hình 2.2 Quy trình cơ bản quản lý rủi ro
Nguồn: Putting Risk Management into Practice của Software Engineering Íntitute
Ñĩônâ nÛõĩ BÛûnâ cÛhï hĩûi Phieâï ñieăï trÛ Dö õlieôï qïÛùơhö ù YÙơieân chïyehn âiÛ
XÛùcíïÛât òÛûy rÛ rïûi rĩ
Ạnhhö ôûnâ cïûÛ rïûi rĩ
Thôøi ñieơm òÛûy rÛ rïûi rĩ
PhÛhn lĩÛïi rïûi rĩ
SÛĩp òeâp rïûi rĩ theĩ ñĩồ ï tiehn
CÛùc yeâï tĩâñÛăï vÛøĩ
KhÛûĩ íÛùt rïûi rĩ Kieơm íĩÛùt rïûi rĩ
NhÛôn dieôn rïûi rĩ PhÛhn tích rïûi rĩ XÛùc ñònh rïûi rĩ CÛùc chieân lö ôïc ñĩâi phĩùrïûi rĩ Kieơm íĩÛùt vÛøñĩ lö ôønâ Mïïc tiehï
Hình 2.3: Trình tự câc bước trong quy trình quản lý rủi ro
Nguồn: Putting Risk Management into Practice của Software Engineering Íntitute
Quâ trình quản lý rủi ro có thể được khâi quât qua 5 bước sau:
Bước 1: Nhận diện rủi ro: lă việc sử dụng câc kỹ thuật như xem xĩt tăi liệu, hỏi ý kiến chuyín gia, câc sự cố rủi ro đê xảy ra tại câc tổ chức kinh doanh thẻ trín thế giới vă ở Việt Nam, . . . nhằm xâc định câc khả năng có thể phât sinh rủi ro từ đó nhận diện câc rủi ro có thể xảy ra.
Bước 2: Phđn tích rủi ro: lă phđn tích tất cả những rủi ro trong danh sâch câc rủi ro, đânh giâ khả năng xảy ra vă tâc động dự kiến của câc rủi ro, để xâc định những rủi ro hăng đầu cần phải được quản lý.
Bước 3: Xâc định rủi ro: lă việc sắp xếp rủi ro theo câc mức độ ưu tiín
Bước 4: Kiểm soât rủi ro: lă việc lựa chọn chiến lược vă phương phâp đối phó rủi ro.
Bước 5: Giâm sât vă điều chỉnh: Bao gồm hoạt động giâm sât để đảm bảo chiến lược đối phó rủi ro được lín kế hoạch vă thực thi chặt chẽ. Việc giâm sât cũng nhằm mục đích điều chỉnh câc chiến lược hoặc kế hoạch đối phó nếu chúng tỏ ra không hiệu quả, không khả thi hoặc để đâp ứng rủi ro mới xuất hiện.
2.3.6. Câc nhđn tố ảnh hưởng đến rủi ro gian lận trong hoạt động kinh doanh dịch vụ thẻ
2.3.6.1. Môi trường phâp lý
Hệ thống quản lý, câc chủ trương chính sâch của cơ quan quản lý nhă nước có ảnh hưởng rất lớn đối với hoạt động thẻ: Câc chính sâch, quy định của Nhă nước trong lĩnh vực kinh doanh thẻ không chỉ tâc động đến định hướng phât triển của thị trường thẻ mă còn ảnh hưởng trực tiếp đến rủi ro gian lận trong hoạt động kinh doanh thẻ. Nhă nước ban hănh câc văn bản phâp luật thiết lập duy trì hănh lang phâp lý, môi trường hoạt động kinh doanh thẻ. Quy định căng rõ răng, căng chặt chẽ phù hợp với điều kiện thực tế căng hạn chế được rủi ro trong quâ trình kinh doanh thẻ của ngđn hăng.
2.3.6.2 . Sự phât triển nhanh chóng của khoa học công nghệ
Thẻ ngđn hăng lă phương tiện thanh toân không dùng tiền mặt ra đời trín cơ sở âp dụng câc tiến bộ khoa học công nghệ hiện đại. Khoa học căng phât triển tính bảo mật của sản phẩm thẻ căng được nđng cao. Tuy nhiín, khoa học công nghệ phât triển cũng kĩo theo sự xuất hiện của nhiều phương tiện, mây móc, thủ đoạn đânh cắp dữ liệu thẻ hiện đại hơn, tinh vi hơn. Cuộc chiến đấu giữa quâ trình nghiín cứu phât triển sản phẩm thẻ mới an toăn hơn với quâ trình nghiín cứu mây móc thủ đoạn ăn cắp lăm giả thẻ mới của câc tổ chức tội phạm thẻ lă cuộc chiến đấu vô cùng khắc nghiệt, không ngừng nghỉ có tâc động rất lớn đến rủi ro trong hoạt động kinh doanh thẻ ngđn hăng.
2.3.6.3. Tình hình biến động về kinh tế, chính trị, xê hội
- Sự phât triển của lĩnh vực kinh doanh thẻ cũng như câc lĩnh vực khâc phụ thuộc chủ yếu văo sự phât triển của nền kinh tế. Khi nền kinh tế thay đổi, cụ thể lă câc cơ chế, chính sâch như thuế thu nhập, thuế nhập khẩu,… sẽ ảnh hưởng đến nhu cầu chi tiíu hoặc du lịch, cũng như khả năng hoăn trả của chủ thẻ. Bín cạnh đó còn ảnh hưởng đến hiệu quả của việc đầu tư, đổi mới trang thiết bị ngănh thẻ của câc ngđn hăng.
- Hệ thống chính trị xảy ra biến cố sẽ tâc động đến nền kinh tế, dẫn đến khả năng có thể xảy ra rủi ro; đặc biệt trong quan hệ với nước ngoăi hoặc câc tổ chức quốc tế, bất cứ một lệnh cấm vận năo có hiệu lực thực hiện với nước có liín quan đều ảnh hưởng vă có thể gđy nín tổn thất.
thức chưa hết trâch nhiệm, quyền hạn, quy định cũng như câc răng buộc có thể dẫn đến những sai sót, vi phạm vô tình hay cố ý đều gđy nín rủi ro cho chính bản thđn mình hoặc cho câc chủ thể khâc. Bín cạnh đó, đông đảo tầng lớp dđn cư cho dù không phải lă chủ thẻ cũng có thể gđy tổn thất, rủi ro cho ngđn hăng như lăm hư hỏng câc trang thiết bị giao dịch tự động đặt tại nơi công cộng.
2.3.6.4. Tổ chức công tâc quản trị rủi ro gian lận về thẻ của ngđn hăng
Rủi ro lă điều không thể trânh khỏi trong bất cứ hoạt động kinh doanh năo vă hoạt động kinh doanh thẻ cũng không phải ngoại lệ. Nhận thức được điều năy câc ngđn hăng cần tổ chức công tâc quản trị rủi ro về thẻ thật hiệu quả để nhận biết vă hạn chế rủ ro một câch tốt nhất. Công tâc quản trị rủi ro sẽ ảnh hưởng rất lớn đến mức độ rủi ro trong hoạt động kinh doanh thẻ của ngđn hăng thương mại. Nếu công tâc năy được tổ chức tốt sẽ giúp cho ngđn hăng nhận biết, đo lường tương đối chính xâc câc loại rủi ro, từ đó đề ra câc biện phâp để ngăn ngừa vă phòng trânh câc rủi ro đó, hoặc có thể có những phương ân dự phòng tối ưu để chủ động đối phó với câc rủi ro có thể xảy ra. Ngược lại, nếu công tâc năy không được tổ chức tốt sẽ khiến cho ngđn hăng luôn trong tình trạng gặp phải những rủi ro không ngờ tới.
2.3.7. Câc loại hình rủi ro gian lận trong hoạt động kinh doanh dịch vụ thẻ
2.3.7.1. Rủi ro gian lận trong hoạt động phât hănh thẻ
1) Hồ sơ phât hănh thẻ giả mạo (Fraudulent Applications): lă trường hợp người đăng ký phât hănh thẻ khai bâo thông tin không đúng sự thật hoặc lợi dụng thông tin của người khâc để đề nghị phât hănh thẻ.
- Dấu hiệu, đặc điểm nhận biết
+ Nhận diện của người đề nghị phât hănh thẻ không phù hợp thông tin (Ví dụ như giới tính, độ tuổi…) trín Đăng ký phât hănh vă sử dụng thẻ.
+ Một hoặc câc giấy tờ (Chứng minh thư nhđn dđn/Hộ chiếu; Giấy tờ chứng minh thu nhập…) hồ sơ phât hănh thẻ bị tẩy xóa, sửa chữa, có dấu hiệu bị lăm giả.
+ Thông tin trín Đăng ký phât hănh vă sử dụng thẻ không thống nhất: về mău mực, nĩt chữ; độ tuổi nghề nghiệp vă thu nhập; địa chỉ vă số điện thoại, . . .
2) Thẻ bị lợi dụng/đânh cắp trước thời điểm ngđn hăng trả thẻ cho chủ thẻ (Not- Received-Item): lă trường hợp thẻ bị đânh cắp/lợi dụng trong quâ trình câ thể hóa, trong quâ trình chuyển phât, tại nơi lưu trữ quản lý thẻ thuộc Trung tđm thẻ/Chi nhânh.
-Dấu hiệu, đặc điểm nhận biết
+ Thẻ được kích hoạt khi chưa trả thẻ cho chủ thẻ (trừ khâch hăng trả lương) + Trung tđm thẻ/Chi nhânh không nhận được thẻ sau thời gian quy định (không có thông bâo về việc lùi thời gian phât hănh thẻ)
3) Thẻ bị mất cắp/thất lạc trong quâ trình sử dụng (Lost and Stolen Cards): lă trường hợp chủ thẻ lăm mất/bị lấy cắp thẻ đê nhận từ ngđn hăng vă thẻ bị lợi dụng để thực hiện giao dịch gian lận.
- Dấu hiệu, đặc điểm nhận biết
+ Chủ thẻ khiếu nại về việc không thực hiện giao dịch vă khẳng định không cầm giữ thẻ văo thời điểm phât sinh giao dịch.
+ Trong một khoảng thời gian ngắn, thẻ phât sinh giao dịch liín tiếp cho đến khi hết số dư/hạn mức giao dịch thẻ.
4) Thẻ bị giả mạo (counterfeit): lă trường hợp thông tin mê hóa trín thẻ bị lấy cắp để lăm thẻ giả vă thực hiện giao dịch gian lận.
- Dấu hiệu, đặc điểm nhận biết
+ Chủ thẻ khiếu nại về việc không thực hiện giao dịch vă khẳng định vẫn cầm giữ thẻ văo thời điểm phât sinh giao dịch.
+ Thẻ phât sinh giao dịch liín tiếp (thường lă câc giao dịch có giâ trị cao) cho đến khi hết số dư/hạn mức giao dịch thẻ; Thẻ nằm trong danh sâch thẻ nghi ngờ bị lợi dụng của Tổ chức thẻ/BIDV
5) Thông tin bề mặt thẻ bị lợi dụng (Account Use): lă trường hợp thông tin trín bề mặt thẻ bị lấy cắp/tạo ra để thực hiện giao dịch gian lận trong môi trường không xuất trình thẻ.
+ Chủ thẻ khiếu nại về việc không thực hiện giao dịch vă khẳng định vẫn cầm giữ thẻ văo thời điểm phât sinh giao dịch.
+ Chủ thẻ thừa nhận trước đó có cung cấp thẻ/thông tin thẻ cho người khâc hoặc giao dịch tại ĐVCNT/quốc gia được Tổ chức thẻ cảnh bâo có rủi ro.
+ Thẻ phât sinh giao dịch liín tiếp (thường lă câc giao dịch có giâ trị cao) cho đến khi hết số dư/hạn mức giao dịch thẻ.
6) Thông tin chủ thẻ bị lợi dụng (Account Takeover): lă trường hợp thông tin nhđn thđn của chủ thẻ (như số Chứng minh thư nhđn dđn/Hộ chiếu, ngăy thâng năm sinh, địa chỉ cư trú, địa chỉ cơ quan…) bị lấy cắp để đăng ký phât hănh lại thẻ, đăng ký phât hănh thẻ phụ vă/hoặc thực hiện giao dịch gian lận.
- Dấu hiệu, đặc điểm nhận biết
+ Chủ thẻ không công nhận việc đê yíu cầu phât hănh thẻ phụ, phât hănh lại thẻ, thay đổi thông tin. Chủ thẻ khiếu nại về việc không thực hiện giao dịch.
+ Chủ thẻ thừa nhận trước đó có cung cấp thông tin câ nhđn vă hoặc thông tin thẻ cho người khâc (có thể lă người thđn hoặc qua câc hình thức điện thoại, email xin thông tin).
2.3.7.2. Rủi ro gian lận trong nghiệp vụ chấp nhận thẻ trín POS/EDC
1) ĐVCNT giả mạo, gian lận (Bust out merchant): lă trường hợp khâch hăng đăng ký trở thănh ĐVCNT, sau đó thực hiện nhiều giao dịch gian lận bằng thẻ giả/thẻ mất cắp thất lạc với giâ trị lớn, nhận thanh toân vă đóng cửa ĐVCNT hoặc ĐVCNT thông đồng với kẻ gian để thực hiện nhiều giao dịch gian lận bằng thẻ giả/thẻ mất cắp thất lạc với giâ trị lớn, nhận thanh toân vă đóng cửa ĐVCNT.
- Dấu hiệu, đặc điểm nhận biết
+ Hồ sơ để đăng ký trở thănh ĐVCNT có thể gồm câc giấy tờ đăng ký thật, đầy đủ thủ tục phâp lý; hoặc có thể bao gồm câc giấy tờ giả mạo.
+ ĐVCNT có thể hoạt động bình thường trong khoảng thời gian đầu sau khi mở (từ 3-6 thâng); sau đó sẽ phât sinh giao dịch gian lận liín tiếp, giâ trị lớn. Sau một thời
gian ngắn thực hiện giao dịch gian lận vă nhận thanh toân, ĐVCNT sẽ đóng cửa/biến mất.
+ Thực hiện giao dịch có giâ trị thấp vă không quyết toân giao dịch bằng nhiều thẻ khâc nhau để kiểm tra tình trạng thẻ giả/kiểm tra xem NHPHT có xâc thực Exp.date, CVV2 trong quâ trình chuẩn chi hay không.
+ Câc loại hình ĐVCNT thường liín quan đến gian lận gồm: cửa hăng tạp hóa, cửa hăng bân đồ điện tử, bân đồ trang sức…
2) ĐVCNT chấp nhận thẻ giả (Counterfeit): lă trường hợp ĐVCNT chấp nhận thẻ giả đối với giao dịch thanh toân hăng hóa dịch vụ, giao dịch ứng/rút tiền mặt (không có sự cố ý của ĐVCNT/nhđn viín ĐVCNT).
- Dấu hiệu, đặc điểm nhận biết
ĐVCNT phât sinh giao dịch bị Tổ chức thẻ/Ngđn hăng phât hănh thẻ thông bâo lă thẻ giả. Nhiều khâch hăng khiếu nại về việc không thực hiện giao dịch tại ĐVCNT.
3) ĐVCNT giao dịch không hợp lệ (Laundering): lă trường hợp ĐVCNT chấp nhận thanh toân thẻ đối với hăng hóa/dịch vụ không do chính ĐVCNT đó cung cấp.
- Dấu hiệu, đặc điểm nhận biết
ĐVCNT phât sinh giao dịch giâ trị cao, phât sinh doanh số giao dịch lớn bất thường. Nhiều khâch hăng khiếu nại về việc không công nhận giao dịch tại ĐVCNT.
4) ĐVCNT lợi dụng chiếm dụng tiền từ ngđn hăng (Credit and cash advance schemes): lă trường hợp ĐVCNT/nhđn viín ĐVCNT lợi dụng thực hiện giao dịch hoăn trả tiền hoặc giao dịch cộng tiền văo thẻ của câ nhđn để lấy tiền từ tăi khoản thanh toân của ĐVCNT; hoặc thực hiện giao dịch mua hăng bằng thẻ của câ nhđn trong khi thực chất không có hoạt động bân hăng để chiếm dụng tiền của ngđn hăng trong khoảng thời gian nhất định.
Dấu hiệu, đặc điểm nhận biết: Phât sinh câc giao dịch hoăn tiền văo tăi khoản của chủ thẻ, Không có giao dịch mua hăng tương ứng trước đó/giao dịch mua hăng tương ứng có giâ trị thấp hơn.
- ĐVCNT bân hăng qua thư, điện thoại, vă/hoặc Internet; đưa ra những chăo mời hấp dẫn nhưng có tính chất đânh lừa chủ thẻ để lấy thông tin câ nhđn/thông tin thẻ.
- ĐVCNT thực hiện giao dịch mặc dù không có sự chấp nhận của chủ thẻ (hoặc chủ thẻ vô tình chấp nhận do không chú ý tới câc điều kiện điều khoản ĐVCNT đưa ra trong thư/điện thoại/Internet).
- Dấu hiệu, đặc điểm nhận biết: Chủ thẻ khiếu nại về giao dịch được thực hiện trong môi trường không xuất trình thẻ, tăi khỏan bị trừ tiền.
2.3.7.3. Rủi ro gian lận trong nghiệp vụ chấp nhận thẻ trín ATM
1) ATM chấp nhận thẻ giả (Counterfeit): lă trường hợp ATM chấp nhận thẻ giả đối với giao dịch ứng/rút tiền mặt vă câc loại giao dịch khâc.
Dấu hiệu, đặc điểm nhận biết: ATM phât sinh giao dịch bị Tổ chức thẻ/Ngđn hăng phât hănh thẻ thông bâo lă thẻ giả. Nhiều khâch hăng khiếu nại về việc không thực hiện giao dịch tại ATM.
2) ATM bị tấn công để đânh cắp dữ liệu (ATM Skimming): lă trường hợp kẻ gian sử dụng thiết bị phần cứng, giải phâp phần mềm để lấy cắp dữ liệu thẻ vă đọc trộm PIN.
- Dấu hiệu, đặc điểm nhận biết:
+ Tấn công bằng phần cứng: như gắn thiết bị đọc trộm dữ liệu bín trong đầu đọc thẻ thật hoặc gắn đầu đọc thẻ giả bín ngòai đầu đọc thẻ thật để lấy cắp toăn bộ dữ liệu trín dải băng từ, gắn mây quay hoặc thiết bị thu hình vă băn phím giả lín trín băn phím thật để lấy trộm PIN
+ Tấn công bằng phần mềm : ATM bị virus, bị căi đặt trâi phĩp phần mềm đânh cắp dữ liệu để lấy trộm dữ liệu thẻ/dữ liệu giao dịch thẻ
3) ATM bị tấn công để lấy tiền, phâ hoại mây (ATM Attack): lă trường hợp kẻ gian tấn công mây ATM để lấy tiền, lấy thẻ vă/hoặc để phâ hoại mây ATM vă/hoặc đânh cắp câc thiết bị đi kỉm.
Dấu hiệu, đặc điểm nhận biết: ATM bị đập phâ (phâ thđn mây, phâ măn hình, cắt khóa…), câc thiết bị đi kỉm của ATM (UPS, Modem…) bị đập phâ, đânh cắp, ATM bị
gắn thiết bị ở trong/ngoăi khe trả tiền để bẫy tiền, ATM bị gắn đầu đọc thẻ giả ở bín ngoăi đầu đọc thẻ thật để bẫy thẻ
4) ATM giả (White-label ATM): lă trường hợp kẻ gian lắp đặt mây ATM giả để lấy cắp dữ liệu vă đọc trộm PIN.
Dấu hiệu, đặc điểm nhận biết: Nhiều khâch hăng thắc mắc bị thu hồi thẻ/giao