3.2 GIẢI PHÁP HẠN CHẾ RỦI RO TRONG HOẠT ĐỘNG NGÂN
3.2.1.6. Quản lý chặt chẽ quá trình triển khai và kiểm tra hệ thống:
thống:
Nhiều hệ thống hoạt động yếu kém vì khơng được thiết kế tốt và kiểm tra kĩ. BIDV cần phải tìm ra các lỗi hệ thống sớm ở giai đoạn thiết kế và kiểm tra. Ban quản trị cần phê chuẩn một phương pháp kiểm tra trong đó quy định phải kiểm tra cái gì và kiểm tra như thế nào. Các kiểm tra nên bao gồm logic kinh doanh, các kiểm sốt về an tồn và sự vận hành của hệ thống dưới nhiều ngữ cảnh và điều kiện. Cần phải kiểm tra tổng thể trước khi thực hiện sửa chữa hay nâng cấp hệ thống.
Dựa trên các phân tích rủi ro của ngân hàng, cần kiểm tra chặt chẽ các trình ứng dụng cụ thể và biện pháp bảo đảm an ninh cho các trình ứng dụng đó thông qua việc kết hợp các biện pháp: kiểm tra mã nguồn (source code review), kiểm tra ngoại lệ (exception testing), và kiểm tra sự tuân thủ (compliance review) để tìm ra những đoạn mã nguồn bị sai hoặc những lỗ hổng của hệ thống có thể gây ra các vấn đề về an ninh, xâm nhập hoặc sự cố.
3.2.1.7. Quản lý qui trình gia cơng sản phẩm dịch vụ Ngân
hàng điện tử:
Hầu hết các ngân hàng cung cấp Internet banking thường thuê các nhà cung cấp dịch vụ, các công ty gia công phần cứng và phần mềm, các công ty viễn thông,… (gọi chung là các nhà cung cấp dịch vụ) để gia công một phần hay toàn bộ hệ thống Internetbanking cũng như hệ thống Core banking.
Ban quản trị phải hiểu đầy đủ các rủi ro liên quan đến việc thuê gia công hệ thống Internet banking. Trước khi chỉ định một nhà cung cấp dịch vụ, cần xem xét kĩ để xác định năng lực, độ tin cậy, hồ sơ và tình hình tài chính của nhà cung cấp dịch vụ đó. Cầm có các điều khoản quy định mục tiêu hoạt động, mức dịch vụ, tính sẵn sàng liên tục, độ tin cậy, sự tuân thủ, kiểm tra, an ninh hệ thống, kế hoạch dự phòng, khả năng khơi phục khi có sự cố, và phương tiện dự trữ.
Ngân hàng nên yêu cầu nhà cung cấp dịch vụ thực hiện các chính sách, thủ tục và kiểm sốt an ninh hệ thống tương tự như những gì áp dụng tại bản thân các ngân hàng. Ngân hàng cũng cần thường xuyên xem xét và theo dõi những tập quán và quy trình an ninh của nhà cung cấp dịch vụ. Cần thiết lập quy trình theo dõi việc cung cấp dịch vụ, độ tin cây của hoạt động, và khả năng xử lý của nhà cung cấp dịch vụ để đo lường sự tuân thủ hợp đồng đã thỏa thuận và năng lực của đơn vị này. Ngân hàng cũng cần yêu cầu nhà cung cấp dịch vụ triển khai và xây dựng chính sách dự phịng sự cố trong đó quy định vai trị và trách nhiệm của họ trong việc ghi lại, duy trì và kiểm tra các kế hoạch dự phòng và thủ tục khắc phục sự cố. Cần xem xét, cập nhật và thử nghiệm kế hoạch này thường xuyên phù hợp với những điều kiện công nghệ và yêu cầu hoạt động thay đổi thường xuyên.Ngân hàng cũng nên có kế hoạch dự phịng cho trường hợp sự cố xấu nhất là nhà cung cấp dịch vụ hiện tại không thể tiếp tục hoạt động hay cung cấp dịch vụ đã yêu cầu.
3.2.1.8. Bảo đảm đảm khả năng khôi phục và duy trì tính
liên tục của hệ thống:
Cần xác định ưu tiên trong việc khắc phục sự cố, kiểm tra và thực tập các thủ tục dự phòng để giảm thiểu việc gián đoạn hoạt động của hệ thống và công việc kinh doanh của ngân hàng. Kế hoạch khắc phục và các thủ tục xử lý khi có các thay đổi trong hoạt động kinh doanh, hệ thống và mạng.
BIDV cần thiết lập một địa điểm dự phòng tách biệt khỏi điểm vận hành hệ thống chính với khả năng phục hồi nhanh để có thể khơi phục các hệ thống quan trọng và tiếp tục hoạt động kinh doanh khi có sự cố xảy ra tại điểm hoạt động chính. Phải thường xuyên xem xét, cập nhật và kiểm tra việc chuẩn bị xử lý tình huống, khắc phục sự cố và duy trì hoạt động để bảo đảm tính hiệu lực và để bảo đảm những nhân viên phụ trách có thể xử lý tình huống khẩn cấp và thực hiện các thủ tục khắc phục sự cố khi cần thiết.
BIDV cũng cần có kế hoạch hành động để xử lý và hạn chế các cuộc tấn công vào Internet banking. Khả năng khơi phục hoạt động nhanh chóng và hiệu quả sau các cuộc tấn cơng phải là một phần quan trọng trong quy trình khơi phục hệ thống và duy trì hoạt động.
Khách hàng có thể tin tưởng vào Internet banking hay không phụ thuộc rất nhiều vào sự hiểu biết và tuân thủ các yêu cầu về an ninh khi thực hiện giao dịch. Do đó, BIDV cần phổ biến kiến thức về bảo đảm an ninh mạng cho khách hàng của mình.
Để nâng cao nhận thức về an tồn thơng tin của khách hàng, các ngân hàng nên khuyến cáo khách hàng phải bảo vệ thông tin truy cập (PIN), thẻ sinh mã (security token), thông tin cá nhân, và các dữ liệu mật khác. Các hướng dẫn về việc bảo vệ thông tin cá nhân nên được thể hiện rõ ràng trên trang web truy cập (chẳng hạn như: PIN phải được thay đổi thường xuyên trên trang web truy cập (chẳng hạn như: PIN phải được thay đổi thường xuyên hay PIN phải được giữ bí mật và khơng tiết lộ cho bất kì ai…)
BIDV cần khuyến khích khách hàng thực hiện các biện pháp phòng ngừa như: cài đặt các phần mềm chống virus, chống phần mềm gián điệp và firewall; cập nhật các chương trình diệt virus và firewalls thường xuyên; lưu dự phòng các dữ liệu quan trọng; không cài đặt các phần mềm hay chạy các chương trình khơng rõ nguồn gốc… các biện pháp phòng ngừa được khuyến cáo này không phải là đổi mà cần được cập nhật tới khách hàng thay đổi theo thời gian và theo các dễ tiếp cận nhất.
3.2.1.10. Hạn chế rủi ro trong dịch vụ thẻ:
Gian lận giả mạo thẻ đang có xu hướng gia tăng và gây tổn thất trong hoạt động kinh doanh thẻ. Do đó, nhằm tăng cường cơng tác phịng ngừa rủi ro, tránh tổn thất cho BIDV và khách hàng thực hiện một số công việc sau:
Kiểm sốt tn thủ đúng quy định, quy trình hiện hành
- Quán triệt tất cả các cán bộ tham gia hoạt động nghiệp vụ thẻ tại Chi nhánh tuân thủ đúng các quy định, quy trình, hướng dẫn hiện hành của BIDV trong hoạt động phát hành và thanh toán thẻ.
- Tăng cường công tác kiểm tra tại Chi nhánh việc tuân thủ quy định, quy trình, hướng dẫn hiện hành nhằm phát hiện và xử lý sớm các dấu hiệu bất thường.
Tăng cường một số biện pháp kiểm soát gian lận đối với các loại hình rủi ro có xu hướng gia tăng trong thời gian gần đây:
Tăng cường đào tạo Chủ thẻ nâng cao cảnh giác trong quản lý và sử dụng thông tin cá nhân, thơng tin thẻ để phịng ngừa rủi ro trong đó đặc biệt lưu ý đối với các giao dịch thương mại điện tử (E-commerce)
Đối với hoạt động chấp nhận thanh toán thẻ:
Thứ nhất, đối với máy ATM
- Tăng cường kiểm tra, giám sát hệ thống ATM đảm bảo hoạt động an toàn, ổn định đúng theo quy định quản lý và vận hành hệ thống ATM và các công văn cảnh báo (nếu có) trong đó lưu ý:
+ Kiểm tra thường xuyên các máy ATM, hệ thống quản lý camera giám sát để phát hiện và xử lý kịp thời kịp thời trường hợp máy ATM bị gắn thiết bị lạ.
+ Kiểm tra các dấu hiệu bất thường tại địa điểm đặt máy ATM
- Bố trí đúng, đủ nhân sự tham gia quá trình kiểm quỹ, tiếp quỹ máy ATM; niêm phong hộp tiền tại Trụ sở ngân hàng khi tiếp quỹ ATM; kiểm tra niêm phong hộp tiền khi kiểm quỹ ATM; kiểm, tiếp quỹ kịp thời, an toàn đảm bảo tuân thủ Quy định quản lý và vận hành hệ thống ATM trong đó lưu ý việc kiểm sốt chặt chẽ các bước thực hiện quy trình kiểm quỹ, tiếp quỹ ATM.
- Tăng cường kiểm tra, giám sát thường xuyên tài khoản tiền mặt máy ATM, tài khoản thừa thiếu quỹ ATM đảm bảo xử lý đầy đủ và kịp thời theo đúng hướng dẫn của Trụ sở chính và tổ chức kiểm tra đột xuất tiền mặt thực tế khi phát hiện dấu hiệu nghi ngờ trên các tài khoản đó.
Thứ hai, đối với Đơn vị chấp nhận thẻ:
Tăng cường cơng tác kiểm sốt gian lận trong hoạt động chấp nhận thanh toán thẻ tại Đơn vị chấp nhận thẻ theo đúng hướng dẫn và các cơng văn cảnh báo (nếu có) trong đó tăng cường kiểm sốt q trình xử lý và phê duyệt hồ sơ đăng ký trở thành ĐVCNT, lưu ý cảnh báo và tăng cường đào tạo các ĐVCNT cần cảnh giác với các dấu hiệu bất thường của khách hàng (hình thức, thái độ, hành vi..) trong q trình chấp nhận thanh tốn thẻ để có những ứng xử kịp thời.
Đối với hệ thống báo động và camera giám sát ATM. Lắp đặt hệ thống báo động và camera giám sát ATM.
- Camera giám sát ATM: chi nhánh tổ chức mua sắm và lắp đặt Camera giám sát
cho 100% máy ATM trên toàn hệ thống, chuẩn bị phương án lắp đặt Camera giám sát cho 200 máy ATM mới.
Vận hành hệ thống báo động và camera giám sát ATM.
- Hệ thống báo động: Chi nhánh đảm bảo hệ thống báo động hoạt động liên tục và
ổn định; nghiêm túc thực hiện vận hành hệ thống báo động.
- Camera giám sát ATM: hệ thống Camera đảm bảo các yêu cầu tối thiểu sau:
Đảm bảo an toàn bảo mật cho hệ thống camera:
o Hệ thống camera lắp đặt tại các địa điểm đặt máy ATM phải đảm bảm bảo có đường truyền ổn định đáp ứng yêu cầu về tốc độ đường truyền đảm bảo hình ảnh ghi lại từ camera đạt chất lượng rõ nét mà không làm tắc nghẽn mạng ảnh hưởng đến hoạt động giao dịch khác.
o Dữ liệu camera phải được bảo mật, chỉ được khai thác và sử dụng khi được Lãnh đạo Chi nhánh phê duyệt hoặc theo chức năng, nhiệm vụ chuyên môn của cán bộ được phân công.
o Hệ thống camera phải được bảo trì định kỳ tối thiểu 6 tháng/1 lần, đảm bảo hoạt động ổn định và ghi nhật ký bảo trì.
o Sữa chữa/thay thế kịp thời đối với camera bị hỏng sau 24 giờ, đảm bảo hoạt động ổn định đáp ứng thời gian hoạt động liên tục.
Giám sát hoạt động của hệ thống camera
o Tổ chức giám sát hoạt động hệ thống camera đảm bảo hoạt động liên tục 24/7.
o Thường xuyên giám sát tình trạng hoạt động của hệ thống camera để kịp thời:
Phát hiện lỗi, sự cố hệ thống camera để xử lý khắc phục kịp thời đảm bảo hoạt động liên tục.
Phát hiện các trường hợp nghi ngờ bất thường
Đối với điểm đặt máy ATM.
Chi nhánh tiến hành rà sốt, đánh giá tồn bộ các điểm đặt máy để thực hiện các công việc sau đây:
- Đối với các điểm đặt khơng có bảo vệ 24/24 - nhất là vào ban đêm, máy được đặt tại vị trí khuất, tối ít người qua lại. Thực hiện các biện pháp đảm bảo an toàn cho khách hàng và tài sản. Có thể tính tới phương án thay đổi vị trí lắp đặt nếu cần thiết.
- Kiểm tra hoạt động của hệ thống quạt thơng gió, điều hòa. Trong trường hợp chưa lắp đặt nếu điều kiện mơi trường q nóng, phạm vi chật hẹp đề nghị Chi nhánh khẩn trương lắp đặt quạt thơng gió, điều hịa để đảm bảo mơi trường hoạt động tốt nhất cho máy ATM.
- Kiểm tra hoạt động của UPS đảm bảo hoạt động tốt khi mất điện. - Đảm bảo có đủ ánh sáng để có thể thực hiện giao dịch vào ban đêm. - Đảm bảo an toàn cho thiết bị và khách hàng trong mùa mưa bão sắp tới:
Rà soát sửa chữa lại Cabin đảm bảo thẩm mỹ, nhận diện thương hiệu ; bóc các đề can giấy dán không thuộc ngân hàng ;tránh hiện tượng mưa dột, đọng nước gây chập cháy thiết bị và mất an toàn cho khách hàng giao dịch.
Đối với các máy lắp đặt canh đường giao thông chi nhánh thực hiện các biện pháp tránh hiện tượng bắn nước vào máy ATM.
Tránh hiện tượng ngập cục bộ tại điểm đặt máy ATM.
Đảm bảo an toàn điện tại điểm đặt máy ATM: kiểm tra hệ thống điện và tiếp đất ; lắp đặt Automat chống dò cho máy và Cabin.
- Đảm bảo vệ sinh tại bên trong và xung quanh điểm đặt máy ATM.
3.2.2. Nhóm giải pháp hỗ trợ:
3.2.2.1 Đối với NHNN Việt Nam:
Thứ nhất, chính phủ từng bước phân định rõ ràng quyền hạn quản lý nhà nước của Chính phủ và NHNN trong q trình hoạch định và thực thi chính sách tiền tệ, đổi mới cơ cấu tổ chức của NHNN. Trong mối quan hệ với Chính phủ, NHNN Việt Nam cần có một vị trí độc lập tương đối.
Thứ hai, xây dựng mơi trường pháp lý hồn chỉnh tạo điều kiện đảm bảo cho hoạt động dịch vụ ngân hàng điện tử, thương mại điện tử phát triển phù hợp với thông lệ và chuẩn mực quốc tế.
Thứ ba, xây dựng hệ thống thơng tin tài chính hiện đại, đảm bảo cho hệ thống ngân hàng hoạt động an toàn và hiệu quả, dễ giám sát, đồng thời lập một chương trình về hội nhập quốc tế về tài chính trên mạng internet để cập nhật thông tin tài chính, tiền tệ thế giới.
Thứ tư, có định hướng phát triển công nghệ thông tin cho ngành ngân hàng, trên cơ sở đó các ngân hàng xây dựng hệ thống công nghệ thông tin, phát triển các dịch vụ, tiện ích ngân hàng.
Thứ năm, tăng cường các quan hệ hợp tác quốc tế nhằm khai thông các hoạt động ngân hàng ra nước ngoài và tận dụng được nguồn vốn, công nghệ từ các nước và các tổ chức quốc tế, trao đổi thông tin về lĩnh vực ngân hàng, đặc biệt về đào tạo, phổ biến kiến thức và kinh nghiệm hội nhập cho những cán bộ của NHNN và một số NHTM
Thứ sáu, cơ chế quản lý và cấp phép cho các dịch vụ ngân hàng chưa phù hợp với sự thay đổi của thị trường dịch vụ ngân hàng đang được tự do hố theo lộ trình cam kết. Hiện tại, cơ chế quản lý và cấp phép đối với việc cung cấp dịch vụ ngân hàng của các TCTD được NHNN thực hiện theo hai kênh: kênh thứ nhất là quy định về loại hình dịch vụ được phép cung cấp trong giấy phép thành lập và hoạt động của các TCTD, kênh thứ hai là cho phép cung cấp dịch vụ ngân hàng cụ thể theo quy định tại các quy chế về từng nghiệp vụ ngân hàng. Trên thực tiễn, cơ chế này đã tỏ ra khơng phù hợp với tính năng động trong hoạt động cung cấp dịch vụ của các TCTD đặc biệt là các dịch vụ mới như ngân hàng điện tử. Bất cập của cơ chế quản lý này có thể thấy qua ví dụ sau: Giấy phép thành lập và hoạt động của TCTD khơng thể cập nhật các loại hình dịch vụ TCTD được phép thực hiện theo các quy chế nghiệp vụ cụ thể được ban hành sau khi giấy phép được cấp. Điều này dẫn đến thực trạng là các TCTD vẫn được thực hiện cả các nghiệp vụ không được quy định trong giấy phép, do vậy, gây khó khăn cho các TCTD khi triển khai cung cấp các dịch vụ khơng được quy định trong giấy phép. Ngồi ra, cơ chế quản lý hiện hành đòi hỏi TCTD phải xin phép NHNN từng lần khi muốn cung cấp một dịch vụ ngân hàng mới.Trong khi quá trình cấp phép kéo dài có thể làm lỡ cơ hội kinh doanh, giảm khả năng cạnh tranh của các TCTD.
Ngồi ra cần có sự phối hợp chặt chẽ giữa hệ thống NH và hệ thống các đơn vị thuộc ngành tài chính như là Kho bạc Nhà nước, Thuế, Hải quan… đặc biệt là cơ