6. Kết cấu luận văn
3.2. Giải phâp ho ăn thiện công tâc quản trị rủi ro dịch vụ NHĐT của VCB –CN
CN Huế
Việt Nam đang trong quâ trình hội nhập với kinh tế thế giới, trong đó tăi chÍnh ngđn hăng lă lĩnh vực có tốc độ hội nhập nhanh nhất. Những lợi ích mă Internet Banking cũng như câc dịch vụ trực tuyến khâc mang lại thực sự lă công cụ
cạnh tranh hữu hiệu cho câc ngđn hăng trong nướcnói chung vă VCB nói riíng cho
cuộc chạy đua với câc ngđn hăng nước ngoăi đang ngăy căng thđm nhập sđu văo thị
trường Việt Nam. Do đó, việc nghiín cứu vă triển khai nhanh chóng, đồng bộ câc
giải phâp để hạn chế rủi ro giao dịch, thúc đẩy dịch vụ Internet Banking ngăy căng phât triển lă nhiệm vụ thực sự cấp thiết của toăn bộ hệ thống VCB, trong đó có
VCB–CN Huế.
Trín thực tế, câc chính sâch của VCB –CN Huế liín quan đến câc khía cạnh
của quản trị rủi ro dịch vụ NHĐT đê rất hoăn thiện vă chuẩn xâc, bao quât hết câc
khía cạnh của quản trị rủi ro dịch vụ NHĐT như: quản trị rủi ro trong nội bộ ngđn
hăng, quản trị rủi ro trong giao dịch với khâch hăng vă quản trị rủi ro đối với bín
thứ ba. Do đó, luận văn đề xuất câc giải phâp đồng bộ, liín quan để nđng cao hiệu
quả việc triển khai côngtâc quản trị rủi ro dịch vụ NHĐT của VCB –CN Huế.
3.2.1 Nhóm giải phâp cho quản trị, điều hănh
Thiết lập cơ chếgiâm sât quản lý rủi ro hiệu quả trong câc hoạt động NHĐT
Khi xem xĩt câc dự ân NHĐT, nhă quản lý cần phải phđn tích kỹ, đânh giâ đúng sự ảnh hưởng đến chiến lược phât triển, quản lý rủi ro của ngđn hăng. Nếu đânh giâ quâ thấp ảnh hưởngcủa dự ân, ngđn hăng có thể sẽ gặp nhiều rủi ro; nếu đânh giâ quâ cao thì chi phí ngđn hăng phải trả cho đầu tư ban đầu để xđy dựng NHĐT sẽ tăng.
Thực hiện NHĐT, câc nhă quản lý vă cân bộ ngđn hăng cần nhận thức đầy
đủ tính chất phức tạpcủa câc ứng dụng NHĐT vă phải có kiến thức nhất định về kỹ
thuật, công nghệ ngđn hăng. Điều năy lă cần thiết cho dù câc hệ thống vă câc dịch
vụ NHĐT của ngđn hăngđược quản lý trực tiếp hay thuí dịch vụ của bín thứ ba.
Câc quy trình quản lý rủi ro đối với câc hoạt động NHĐT phải đượctích hợp
trong cơ chế quản lý rủi ro chung của ngđn hăng. Đồng thời câc chính sâch vă quy
trình quản lý rủi ro của ngđn hăng cần được thường xuyín xem xĩt đânh giâ, chỉnh
sửa, nđng cấp kịp thời nhằm đảm bảo tính phù hợp vă đủ khả năng xử lý những rủi
ro mới phât sinh trong câc hoạt động NHĐT ở thời điểm hiện tại cũng như trong tương lai. Những nội dung cần xem xĩt gồm:
- Đânh giâ rủi ro liín quan đến NHĐT của câc tổ chức ngđn hăng.
- Thiết lập cơ chế bâo câo, quy trình, lịch trình công việc bảo đảm công tâc an
ninh vă quản lý câc hoật động ngđn hăng được thực hiện một câch hợp lý
(hẳng hạn như: sự xđm nhập mạng trâi phĩp, vi phạm bảo mật của nhđn công
vă mọi sự lạm dụng thâi quâ trong việc sử dụng mây tính).
- Phât hiện câc nhđn tố tiềm ẩn rủi ro để từ đó đưa ra câc phương ân bảo đảm
an ninh, tính toăn vẹn vă nguyín bản của câc sản phẩm, dịch vụ NHĐT.
Đânh giâ vă phí duyệt câc nội dung cơ bản của quy trình kiểm soât bảo
mật của ngđn hăng.
Hệ thống kiểm soât bảo mật của ngđn hăng cần được thường xuyín nđng cấp vă duy trì liín tục để bảo đảm an toăn câc hệ thống công nghệ vă dữ liệu NHĐT, trânh câc hiểm hoạ phât sinh từ nội bộ hoặc từ bín ngoăi. Điều năy có nghĩa
lă cần phải thiết lập việc phđn quyền hợp lý, kiểm soât truy cập logic vă dữ liệu chặt
chẽ, kiểm soât an ninh cơ sở hạ tầng nghiím ngặt nhằm duy trì giới hạn cho phĩp đối với cả người sử dụng nội bộ lẫn bín ngoăi.
NHĐT có tốc độ phât triển nhanh chóng trong môi trường Internet; để bảo đảm
kiểm soât bảo mật hiệu quả đối với câc hoạt động NHĐT, Ngđn hăng cần phải xđy
dựng quy trình bảo mật toăn diện, bao gồm câc chính sâch, câc thủ tục vă chỉ ra những
mối đe doạ tiềm ẩn. Câc yếu tố cơ bản của một quy trình bảo mật NHĐT gồm:
- Phđn công nhiệm vụ cho từng người quản lý/chuyín viín trong việc giâm sât
việc thiết lập vă duy trì câc chính sâch bảo mật.
- Kiểm soât dữ liệu, kiểm soât lôgic vă giâm sât chặt chẽ câc quy trình nhằm ngăn chặn truy cập trâi phĩp từ bín trong vă bín ngoăi đến CSDL.
- Thường xuyín kiểm tra vă đânh giâ câc giải phâp, câc quy trình kiểm soât
bảo mật ở câc khđu;phât triển câc giải phâp bảo mật, nđng cấp câc phần
mềm, câc gói dịch vụ vă những phương phâp cần thiết khâc.
Quan tđm đúng mức vă thiết lập quy trình giâm sât câc quan hệ với bín ngoăi vă câc sản phẩm của đối tâc hỗ trợ hoạt động NHĐT (bín thứ3).
Ngđn hăng tin tưởng văo câc đối tâc vă câc nhă cung cấp dịch vụ nhằm triển
khai câc chức năng quan trọng của NHĐT, nhưng trong số đó nhiều chức năng, sản
phẩm nằm ngoăi sự kiểm soât trực tiếp của ngđn hăng. Vì vậy, cần thiết phải có một
quy trình quản lý rủi ro tổng thể đối với câc hoạt động của câc đối tâc vă câc nhă cungứng.
Trong xu thế hội nhập quốc tế vă toăn cầu hoâ, câc mối quan hệ của ngđn hăng với bín ngoăi có xu hướng tăng cả về quy mô vă tính phức tạp do sự phât triển
của CNTT vă NHĐT. Hơn nữa, câc dịch vụ NHĐT ngăy căng hiện đại, tất yếu căng
phụ thuộc văo câc đối tâc công nghệ.
Những vấn đề liín quan đến nghiín cứu rủi ro vă những khả năng giâm sât
quản lý rủi ro của ngđn hăng đối với bín thứ 3 gồm: (i) Phải lường trước những rủi
ro có thể phât sinh khi tham gia hợp tâc với câc đối tâc tham gia triển khai câc ứng
dụng vă hệ thống NHĐT; (ii) Đânh giâ năng lực vă khả năng tăi chính của nhă cung
ứng dịch vụ trước khi ký kếthợp đồng thực hiện dịch vụ NHĐT; (iii)Hợp đồng cần
phải xâc định rõ trâch nhiệm của của tất cả câc bín tham gia; (iv) Chính sâch bảo
mật vă cơ chế quản lý rủi ro của câc hệ thống NHĐT liín quan phải đâp ứng được
yíu cầu, tiíu chuẩn của chính ngđn hăng; (v) Công tâc thẩm kế nội bộvă kiểm toân độc lập phải được thực hiện theo định kỳ; (iv) Có câc phương ân cụ thể khả thi, kế
hoạch dự phòng thích hợp đối với câc hoạt động NHĐT.
3.2.2Nhóm giải phâp kỹ thuật
Xâc thực vă phđn quyền cho khâch hăng khi thực hiện giao dịch qua
Internet
Sử dụng câc phương phâp tin cậy để nhận dạng vă kiểm tra quyền hạn của
khâch hăng, giâm sât câc hoạt động của khâch hăng trong suốt thời gian kích hoạt
tăi khoản lă một trongnhững công việc cần thiết để giảm thiểu rủi ro về thông tin
của khâch hăng bị đânh cắp, giả mạo hoặc câc chuyển tiền bất hợp phâp.
Có thể sử dụng một số phương phâp xâc thực: số PIN, mật khẩu, smart card,
sinh trắc học vă chứng thực số. Quâ trình thực hiện có thể kết hợp một văi nhđn tố
trín với nhau để lăm tăng độ an toăn. Thông qua việc đânh giâ những rủi ro tiềm ẩn
của hệ thống NHĐT để lựa chọn phương phâp xâc thực thích hợp.
Xâc thực giao dịch, hạn chế việc thoâi thâc vă thiết lập giải trình cho câc giao dịch NHĐT.
Sử dụng xâc thực giao dịch lă phương phâp hiệu quả nhằm hạn chế việc
thoâi thâc trong giao dịch NHĐT; bằng câch tạo ra chứng cứ nguồn gốc nhằm bảo
vệ người gửi (nhận) thông tin chống lại việc phủ nhận của người nhận (gửi) thông
tin dữ liệu đó bằng câch:(i) Tất cả những bín tham gia văo giao dịch đều được xâc
thực vă việc kiểm soât cần được duy trì qua kính đêđược xâc thực; (ii)Dữ liệu giao
dịch tăi chính cần được bảo vệ chống lại sự thay đổi bất hợp phâp vă nếu có sự thay đổi,phải được kiểm soât, phât hiện; (iii) Hệ thống NHĐT được thiết kế nhằm giảm
thiểu những rủi ro cho câc câ nhđn đêđược cấp quyền tham gia giao dịch, cũng như
những thông tin cần thiết giúp cho khâch hăng hiểu rõ những rủi ro tiềm ẩn khi
tham gia giao dịch với hệ thống.
Tâch biệt nhiệm vụ trong câc hệ thống, CSDL vă câcứng dụng NHĐT.
Tâch biệt nhiệm vụ lă một phương phâp kiểm soât nội bộ được thiết kế với
mục đích giảm thiểu rủi ro gian lận trong câc tiến trình vă trong câc hệ thống hoạt động. Tâch biệt nhiệm vụ sẽ bảo đảm sự chính xâc vă tính toăn vẹn của dữ liệu, ngăn chặn những hănh động bất hợp phâp của mỗi câ nhđn. Nếu câc nhiệm vụ được
tâch biệt một câch hiệu quả, câc hănh động gian lận chỉ có thể xảy ra khi có sự thông đồng. Đối với một CSDL bảo mật yếu kĩm, việc truy cập có thể được thực
hiện dễ dăng hơn thông qua mạng nội bộ vă mạng bín ngoăi, vì vậy câc thủ tục xâc
thực vă nhận dạng, kiến trúc an toăn, tính hợp lý của câc quy trình vă công tâc lưu
vết cần phải được chú trọng.Một số biện phâp để thiết lập vă duy trì tâch biệt
nhiệm vụ trong môi trường NHĐT: (i) Xử lý câc giao dịch vă hệ thống cần phải
được thiết kế sao cho không một bín cungứng dịch vụ có thể tham gia, hoăn tất câc bước xử lý một giao dịch; (ii) Mọi hệ thống NHĐT cần phải được kiểm tra nhằm
bảo đảm rằng việc tâch biệt nhiệm vụ không bị bỏ qua; (iii)Tâch biệt nhiệm vụ cần
phải được duy trì giữa sự phât triển vă quản lýhệ thống NHĐT.
Kiểm soât quyền vă phđn quyền đối với câc hệ thống, CSDL vă câc ứng
dụng NHĐT
Để duy trì giải phâp tâch biệt nhiệm vụ, câc ngđn hăng cần phải thực hiện
kiểm soât chặt chẽ chức năng kiểm soât vă phđn quyền truy cập. Nếu có bất kỳ sai
sót năo trong việc kiểm soât quyền sẽ dẫn đến việc truy cập trâi phĩp vă gđy hậu
quả xấu đến ngđn hăng vă khâch hăng. Trong câc hệ thống NHĐT, quyền truy cập
được thiết lập vă phđn phối theo phương thức tập trung hóa vă thường được lưu lại trong CSDL. CSDL năy được bảo vệ cẩn thận sẽ giúp cho ngđn hăng kiểm soât
quyền một câch hiệu quả.
Lưu vết đối với quâ trình giao dịch NHĐT.
Việc tuđn thủ quy định kiểm soât nội bộ sẽ khó khăn hơn đối với câc giao
dịch ngđn hăng điện tử qua Internet. Câc ngđn hăng không chỉ chịu âp lực trong
việc đảm bảo hoạt động kiểm soât nội bộ trong câc môi trường tự động cao, mă còn
chịu âp lực trong việc duy trì tính độc lập của hoạt động kiểm soât, đặc biệt với câc ứng dụng vă câc hoạt động NHĐTchủ chốt.
Duy trì việc kiểm soât lưu vết đối với câc hoạt động NHĐT sẽ lăm tăng vai
trò kiểm soât nội bộ của một ngđn hăng. Những loại giao dịch NHĐT sau cần được lưu vết: (i) Mở, thay đổi hoặc đóng tăi khoản của khâch hăng; (ii) Mọi giao dịch liín quan đến kết quả tăi chính; (iii) Mọi sự hỗ trợ, chuyển đổi hay hủy bỏ quyền
truy cập hệ thống.
3.2.3Nhóm giải phâp quản lý rủi ro về phâp lý vă uy tín
Cung cấp đầy đủ thông tin trín website cho phĩp khâch hăng tiềm năng
có thể đưa ra đânh giâ về vấn đề bảo mật vă câc quy định của ngđn hăng
trước khi tham gia văo câc giao dịch NHĐT.
Ngđn hăng cần tạo cho khâch hăng tđm lý thoải mâi khi trao đổi thông tin,
giúp cho khâch hăng bảo vệ thông tin dữ liệu của mình vă được phục vụ liín tục
qua câc kính phđn phối điện tử. Để giảm thiểu câc rủi ro phâp lý vă uy tín có thể
xảy ra trong câc hoạt động NHĐT, ngđn hăng cần cung cấp thông tin đầy đủ, chính
xâc trín website của mình để khâch hăng có thể xem xĩt, đưa ra đânh giâ về công
tâc bảo mật vă câc nguyín tắc của ngđn hăng trước khi tham gia văo câc giao dịch
NHĐT. Một số thông tin ngđn hăng cần đưa lín website: (i) Tín ngđn hăng vă địa
điểm của trụ sở chính (vă câc văn phòng đại diện nếu có thể); (ii) Giới thiệu câc
dịch vụ NHĐT mă ngđn hăng có thể cung cấp vă hướng dẫn thủ tục tham gia; (iii)
Câch thức khâch hăng có thể liín hệ với trung tđm dịch vụ khâch hăng để đưa ra
quanđiểm của mình khi giải quyết vấn đề;(iv) Câc thông tin liín quan đến việc bồi thường, bảo hiểm tiền gửi vă mức độ bảo vệ khi được yíu cầu vă (v) Câc thông tin phù hợp khâc hoặc do luật phâp yíu cầu.
Có kế hoạch dự phòng nhằm đảm bảo tính sẵn săng cao của dịch vụ vă hệ thống NHĐT.
Để trânh rủi ro trong hoạt động kinhdoanh, rủiro phâp lý vă uy tín, câc dịch
vụ NHĐT còn phải đâp ứng câc yíu cầu ngăy căng cao cảu khâch hăng: thời gian
xử lý giao dịch ngắn, được phục vụ liín tục 24 giờ x 7 ngăy. Muốn vậy, ngoăi việc đầu tư phât triển câc sản phẩm dịch vụ hiện đại, ngđn hăng cần có giải phâp bảo đảm tính sẵn săng cao của hệ thống, đặc biệt phải xđy dựng phương ân dự phòng (hệ thống backup) một câch hiệu quả. Để bảo đảm tính ổn định vă sẵn săng cao của
hệ thống dịch vụ NHĐT, cần:
- Phđn tích tình hình thị trường thươngmại điện tử vă NHĐT: lượng khâch
hăng hiện tại vă dự kiến tỉ lệ tăng trưởng trong tương lai…, qua đó cần có kế
hoạch đầu tư thoả đâng, bảo đảm năng lực xử lý vă sự ổn định của hệ thống
NHĐT.
- Việc đânh giâ năng lực xử lý của hệ thống giaodịch NHĐT cần được thực
hiện, thử nghiệm vă kiểm tra thường kỳ.
- Bảo đảm tính liín tục trong kinh doanh vă kế hoạch dự phòngđối với NHĐT được kiểm tra thường kỳ vă được cập nhật liín tục để phù hợp với sự phât
triển của khao học công nghệ cũng như môi trường phâp lý kinh tế.
Phât triển câc kế hoạch đối ứng để quản lý, ngăn chặn vă giảm thiểu
những vấn đề rủi ro trong việc cung cấp câc dịch vụ vă hoạt động NHĐT.
Câc ngđn hăng cần phải phât triển câc kế hoạch đối ứng, bao gồm câc chiến lược truyền thông, nhằm đảm bảo tính liín tụctrong kinh doanh, kiểm soât rủi ro uy
tín vă hạn chế những khó khăn có thể xảy ra trong câc dịch vụ NHĐT, bao gồm
những rủi ro có thể xuất phât từ câc hệ thống vă hoạt động ngoăi nguồn.
Để xđy dựng được kế hoạch đổi ứng đâp ứng kịp thời câc vấn đề phât sinh, cần:
- Kế hoạch đối phó với câc vấn đề phât sinh có thể xảy ra nhằm phục hồi hệ
thống vă câc dịch vụ NHĐT phải đượcxđy dựng dựa trín hoăn cảnh, tình hình vă vị trí địa lý cụ thể. Phđn tích hoăn cảnh bao gồm việc xem xĩt câc
khả năng mă rủi ro có thể xuất hiện văảnh hưởng của nó đến ngđn hăng. Câc
hệ thống NHĐT nằm ngoăi phạm vi kiểm soât của nhă cung ứng dịch vụ, của
bín thứ 3 cũng sẽ được xem xĩt trong kế hoạch năy.
- Chiến lược truyền thôngnhằm kiểm soât thị trường vă phương tiện truyền
thông liín quannơi có thể phât sinh vi phạm về bảo mật, tấn công trực tuyến