GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN TRỊ RỦI
RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠI
VIỆT NAM
I / XU HƯỚNG PHÁT TRIỂN NGÂN HÀNG ĐIỆN TỬ TẠI
VIỆT NAM
Theo một điều tra của NH Thế giới (WB), tại Việt Nam, 70% lượng tiền
nhàn rỗi trong dân vẫn nằm trong tủ các gia đình, 90% thanh toán của NH vẫn
sử dụng tiền mặt, 50% doanh thu của các NH vẫn đến từ các thành phố lớn...
Đây chính là một tiềm năng rất lớn, nhất là dịch vụ thẻ ATM mà các NH cần
khai thác. Và đề án “Thanh toán không dùng tiền mặt giai đoạn 2006-2010” của
Chính phủ là một dấu hiệu lạc quan báo trước nhu cầu tiếp tục tăng mạnh trong
thời gian tới đối với việc phát triển các kênh phân phối điện tử tại thị trường
Việt Nam.
1. Xu hướng phát triển của ATM-banking
Nếu so sánh với các nước khác trong khu vực thì thì trường thẻ Việt Nam
còn rất nhỏ bé.
Bảng 2: So sánh thị trường thẻ Việt Nam và quốc gia khác
Thị trường Việt Nam Thái Lan Châu Á TBD
Máy ATM 3.000 21.500 272.500
POS 14.500 191.700 22.263.000
Nguồn: Thống kê của Visa đến 31/12/2006
Trên thực tế, theo kinh nghiệm phát triển dịch vụ ATM ở nhiều nước trên
thế giới cho thấy, việc xây dựng một liên minh thẻ là giải pháp có ý nghĩa rất
quan trọng, nhằm thúc đẩy thị trường thẻ phát triển mạnh mẽ, có định hướng rõ
ràng theo một chuẩn mực chung. Nhờ đó, tăng tiện ích cho khách hàng và quan
trọng hơn là hạn chế các rủi ro và tiết kiệm chi phí cho các bên tham gia thị
trường. Đối với thị trường Việt Nam Nhu cầu hình thành liên minh thẻ hợp nhất
ngày càng trở nên bức thiết.
1
1
Có thể thấy, ý nghĩa lớn nhất của việc đưa vào vân hành các hệ thống
chuyển mạch là gia tăng tiện ích cho khách hàng sử dụng thẻ ATM. Khách hàng
không còn bận tâm tìm, chọn các thiết bị chấp nhận thẻ của đúng nhà phát hành
dịch vụ, mà chỉ cần đến nơi có thiết bị chấp nhận thẻ gần nhất để thực hiện các
giao dịch của mình. Mặt khác, chính việc vận hành hệ thống này còn giúp các tổ
chức ngân hàng cùng nhau chia sẻ hạ tầng trang thiết bị kỹ thuật công nghệ phục
vụ cho dịch vụ thanh toán thẻ mà mình đã bỏ ra nhiều nguồn lực để đầu tư. Với
xã hội, với nền kinh tế sẽ sớm có được một hạ tầng dịch vụ thanh toán thẻ đa
tiện ích thống nhất, rộng khắp mọi địa bàn lãnh thổ, phục vụ nhu cầu thanh toán
của đông đảo mọi công dân trong xã hội. sẽ tạo điều kiện cho các ngân hàng
thương mại cổ phần có qui mổ hoạt động nhỏ, nguồn lực tài chính có hạn cũng
có thể tham gia phát hành thẻ phục vụ nhu cầu khách hàng của mình.
Bên cạnh đó, các ngân hàng tiếp tục duy trì các ứng dụng hiện tại của hệ
thống giao dịch tự động ATM, triển khai các ứng dụng mới: chuyển tiền khác hệ
thống, giao dịch mua bán chứng khoán, mua thẻ. cần hợp tác và chia sẻ thông tin
khách hàng. bởi trong lĩnh vực kinh doanh ngân hàng rủi ro rất cao, cần phân tán
qua hình thức hợp tác.
Trong thời gian tới, thẻ ATM không chỉ đơn thuần là để rút tiền mặt. Thay
vào đó, các ngân hàng đang đẩy mạnh hợp tác với doanh nghiệp để cho ra đời
các loại thẻ liên kết với nhiều tiện ích như: chăm sóc sức khoẻ, giáo dục, mua
sắm,…
2. Xu hướng phát triển của Internet-banking
Trong thời gian qua, số lượng người dùng Internet tại Việt Nam đã tăng
trưởng rất nhanh. Năm 2005 đánh dấu tỷ lệ người sử dụng Internet tại Việt Nam
vượt ngưỡng trung bình của Châu Á (9,87%) thì đến cuối năm 2006 đã đạt
ngưỡng trung bình của thế giới (16,8%)
1
. Đây là tín hiệu đáng mừng cho sự phát
triển dịch vụ ngân hàng điện tử qua Internet.
1 Bộ Thương Mại, “Báo cáo Thương mại điện tử Việt Nam 2006”, Tr.30
2
2
Hình 6: Phát triển người dùng Internet 2001-2006
Nguồn: Trung tâm Internet Việt Nam tháng 12/2006, www.vnnic.net.vn
Một số ít các ngân hàng ở Việt Nam đã triển khai hệ thống Internet
Banking nhưng chỉ cung cấp được dịch vụ cơ bản là tra cứu số dư tài khoản, lịch
sử giao dịch. Trong khi hệ thống Internet Banking ở các ngân hàng nước ngoài
có khả năng cung cấp rất nhiều dịch vụ: thanh toán hoá đơn, chuyển khoản,
thanh toán séc. Thậm chí hệ thống Internet Banking ở các nước còn phục vụ đối
tượng khách hàng là các doanh nghiệp với rất nhiều dịch vụ như: cho vay, thanh
toán, quản lý tiền mặt, mở L/C…
Nếu xét đến các chỉ số chi phí, hiệu quả đầu tư. Việc mở rộng hệ thống
kênh thanh toán và mạng lưới phục vụ khách hàng thường đòi hỏi chi phí đầu tư
rất lớn do đó ngân hàng phải cân nhắc hiệu quả đầu tư. Lấy ví dụ hệ thống
Internet Banking. Hệ thống Internet Banking có thể đồng thời phục vụ hàng
triệu khách hàng. Chỉ số “chi phí đầu tư cho việc phục vụ một khách hàng”
của hệ thống Internet Banking chỉ dưới 1$ - nghĩa là hiệu quả cao hơn gấp nhiều
lần so việc mở một chi nhánh hay đầu tư hệ thống Call Center. Chỉ số “chi phí
đầu tư cho việc phục vụ một khách hàng” tương ứng khi mở một chi nhánh và
khi xây dựng hệ thống Call Center là khoảng 500$ và 5$. Trong thời đại “nhanh
3
3
Chi nhánh
> 500$
> 5$
InternetBanking
< 1$
sống, chậm chết” này, thời gian từ lúc thai nghén ý tưởng cho đến lúc đưa sản
phẩm ra thị trường cũng là một chỉ số cần được ngân hàng quan tâm.
Hình 7: Chi phí đầu tư cho việc phục vụ một khách hàng
Nguồn : Hội thảo Banking Vietnam 2007
Bảng 3: Chi phí trung bình cho một giao dịch ngân hàng
Chi phí trung bình/giao dịch
Chi nhánh 1,07$
Phone-banking 0,55$
ATM-banking 0,27$
Home-banking 0,02$
Internet-banking 0,01$
Nguồn: Điều tra của Booz, Allen và Hamilton 2000
Như vậy, phát triển kênh phân phối qua Internet hứa hẹn mang lại nhiều
lợi ích cho cả ngân hàng lẫn khách hàng. Nắm bắt được xu thế đó, một số ngân
hàng đã có kế hoạch phát triển dịch vụ Internet-banking như Techcombank,
ACB, VCB,…
Dịch vụ Internet-banking có thể được phát triển theo 2 cách thức:
Ngân hàng thương mại theo mô hình truyền thống thiết kế Website và
cung cấp dịch vụ ngân hàng qua Internet bổ sung cho các kênh phân phối truyền
thống.
Thành lập ngân hàng trực tuyến chỉ tồn tại trên môi trường mạng,
cung cấp dịch vụ 100% thông qua mạng Internet. Ngân hàng ảo có thể cho phép
4
4
khách hàng mở tài khoản và rút tiền thông qua máy ATM hoặc các kênh phân
phối từ xa của các tổ chức khác.
II / MỘT SỐ GIẢI PHÁP NHẰM NÂNG CAO NĂNG
LỰC QUẢN TRỊ RỦI RO TRONG HOẠT ĐỘNG NGÂN
HÀNG ĐIỆN TỬ TẠI VIỆT NAM
1. Về phía Nhà nước
1.1. Ban hành các văn bản pháp lý, tạo hành lang pháp lý cho hoạt động ngân
hàng điện tử
Chúng ta mới đang tiến những bước đầu trong phát triển thương mại điện
tử nói chung và ngân hàng điện tử nói riêng, và cân phải xây dựng một nền tảng
pháp lý cho các hoạt động này phát triển.
Luật Giao dịch điện tử được Quốc hội ban hành vào ngày 29/11/2005 và
có hiệu lực kể từ ngày 01/03/2006 đã có tác động rất lớn đến hoạt động giao
dịch điện tử. Về cơ bản, luật Giao dịch điện tử đã bao quát được hầu hết các
khía cạnh trong giao dịch thương mại điện tử như thừa nhận tính pháp lý của
thông điệp điện tử, chữ ký điện tử, chứng thực điện tử, hợp đồng điện tử, thanh
tra và điều khoản giải quyết tranh chấp, vi phạm. Tuy nhiên, Giao dịch điện tử
vẫn không thể hiện hết những đặc trưng riêng của thương mại điện tử, do vậy
cần văn bản dưới luật. Nghị định về Thương mại điện tử do Chính phủ ban hành
ngày 09/06/2006 là nghị định đầu tiên cụ thể hoá luật giao dịch điện tử. Nghị
định tập trung vào chứng từ điện tử và quản lý Nhà nước về Thương mại điện
tử. Hiện tại, ngành Ngân hàng đã ban hành các văn bản dưới luật làm cơ sở cho
hoạt động ngân hàng điện tử an toàn và hiệu quả hơn:
+ Quyết định số 35/2006/QĐ-NHNN quy định về nguyên tắc quản lý rủi
ro trong hoạt động ngân hàng điện tử ban hành ngày 31/7/2006.
+ Quyết định số 04//2006/QĐ-NHNN quy định về quy chế an toàn , bảo
mật hệ thống công nghệ thông tin trong ngành ngân hàng ban hành ngày
18/01/2007
5
5
+ Nghị định số 35/2007/NĐ-CP về giao dịch điện tử trong ngành ngân
hàng ban hành ngày 08/3/2007
Bên cạnh đó là việc hoàn thiện các quy định pháp luật quy định cụ thể
từng loại hình E-banking, về quyền và nghĩa vụ của tưng bên tham gia giao dịch
NHĐT, cũng với những quy định về ứng dụng và phát triển thương mại điện tử
như bảo mật, quyền sở hữu trí tuệ, luật bảo vệ dữ liệu thông tin cá nhân, bảo vệ
người tiêu dùng, về an ninh, tội phạm máy tính…phù hợp với thông lệ quốc tế.
1.2.Định hướng thống nhất về áp dụng nền tảng công nghệ và tiêu chuẩn an
toàn cần thiết
Cơ chế chính sách phù hợp chuẩn mực quốc tế là cơ sở định hướng để các
ngân hàng tiến hành hiện đại hoá. Vì vậy, Ngân hàng Nhà nước phải định hướng
về phát triển công nghệ làm cơ sở cho các TCTD thực hiện thống nhất. Ban
hành các cơ chế, nghiệp vụ hoạt động theo chuẩn mực quốc tế để khi các ngân
hàng hiện đại hoá công nghệ thì các quy định này được áp dụng tương thích với
công nghệ hiện đại.
NHNN nên có định hướng thống nhất về việc áp dụng nền tảng công
nghệ và tiêu chuẩn an toàn cần thiết để phát triển của hệ thống thanh toán hiện
đại và an toàn; xây dựng cơ chế phối hợp trong việc phát hiện sớm, phòng ngừa
hiện tượng, hành vi gian lận và giả mạo thẻ; xây dựng những quy định về dự
phòng rủi ro cho các ngân hàng trong lĩnh vực ngân hàng điện tử nói chung và
rủi ro về hoạt động nói riêng là vấn đề cấp bách, quan trọng hiện nay nhằm tạo
thuận lợi cho các ngân hàng đã, đang và sẽ tham gia vào các kênh phân phối
điện tử tại Việt Nam. Song song bên cạnh đó cần thực hiện đồng bộ trong toàn
hệ thống ngân hàng, tạo sự thống nhất và giảm thiểu chi phí phát sinh trong quá
trình thực hiện chuyển đổi từ thẻ từ sang thẻ chíp.
1.3. Tăng cường đầu tư và phát triển hạ tầng về viễn thông, thông tin
Để tăng cường hỗ trợ dịch vụ NHĐT, cần nâng cao hệ thống thông tin-
viễn thông theo một số hướng sau:
6
6
-Tiến hành nâng cấp hệ thống truyền thông và thông tin quốc gia, đảm bảo
nâng cao và duy tri ổn định đường truyền điện thoại, đường truyền Internet.
Đồng thời tiếp tục mở rộng hệ thống thông tin và viễn thông trong cả nước, tạo
điều kiện người dân tiếp xúc nhiều hơn với các công nghệ truyền thông và thông
tin. Cho phép tăng thêm các doanh nghiệp tham gia cung cấp dịch vụ Internet,
điện thoại, tăng cường cạnh tranh để nâng cao chât lượng dịch vụ và giảm giá
dịch vụ.
- Nghiên cứu và thử nghiệm các sản phẩm phần cứng, phân mềm trong
dịch vụ NHĐT, trong công tác bảo mật ở các mức độ khác nhau.
- Chuẩn hoá thông tin và các hệ thống thông tin trong từng lĩnh vực, đảm
bảo các điều kiện cần thiết cho việc trao đổi và sử dụng chung các cơ sở dữ liệu,
các hệ thông thông tin trong nước.
2. Về phía các ngân hàng thương mại
2.1. Quản trị rủi ro chiến lược
2.1.1. Lựa chọn phát triển dịch vụ ngân hàng điện tử
Không phải ngân hàng nào có đầy đủ các sản phẩm dịch vụ thì mới được
xem là một ngân hàng hiện đại. Vấn đề là tùy theo đặc điểm hoạt động của từng
ngân hàng; tùy chiến lược kinh doanh; tùy từng đối tượng khách hàng, khách
hàng mục tiêu, khách hàng triển vọng mà phát triển những dịch vụ tương ứng.
Có những ngân hàng chuyên cung cấp dịch vụ bán buôn, có ngân hàng chuyên
cung cấp dịch vụ trọn gói và có những ngân hàng chuyên cung cấp dịch vụ bán
lẽ. Ở đây, đề cập đến dịch vụ thanh toán thẻ, như chúng ta biết những tiện ích từ
dịch vụ thẻ mà NH cung cấp cho khách hàng được xem là tiêu chí đánh giá trình
độ phát triển ngân hàng ở mức độ nào: một là, sự tiện ích, tính đa năng, đa dụng
của thẻ là tiêu chí để xem rằng thẻ đó thực sự là sản phẩm dịch vụ hiện đại hay
chỉ là thẻ ATM thông thường; hai là tiêu chí đánh giá trình độ công nghệ của
ngân hàng đó hiện đại chưa.
7
7
Song, chất lượng dịch vụ có tính quan trọng hơn. Bởi vì nếu như chất
lượng dịch vụ không đảm bảo, không được nâng cao, thì sự đa dạng và phát
triển các dịch vụ sẽ không có ý nghĩa khi không được khách hàng chấp nhận sử
dụng. Mặt khác sự cạnh tranh về dịch vụ giữa các ngân hàng ngày càng được
nâng lên và mỗi NH càng cố gắng giũ vững thị phần của từng loại dịch vụ. Để
đạt được mục tiêu đó, ngoài việc sự đa dạng dịch vụ, nghiệp vụ Marketing, uy
tín và thương hiệu của ngân hàng, quy mô và màng lưới của ngân hàng còn tùy
thuộc vào trình độ ứng dụng công nghệ
2.1.2. Xây dựng chiến lược kinh doanh trong tầm trung và dài hạn
Việc ứng dụng công nghệ phải đi liền với việc ngân hàng xây dựng được
chiến lược kinh doanh trong tầm trung và dài hạn. Nếu với kế hoạch kinh doanh
trong ngắn hạn hoặc chỉ giải quyết những vấn đề trước mắt, thì với những công
nghệ đơn giản, các ngân hàng có thể thực hiện ở các mức độ ghi chép, xử lý các
giao dịch đơn giản, không kết nối liên chi nhánh được, không phát triển các dịch
vụ hiện đại, không quản trị kinh doanh ngân hàng được, không nối kết thông
suốt với các ngân hàng khác…Với cách làm này vừa tốn chi phí, vừu không
hiệu quả. Do đó, ngân hàng cần xác định mục tiêu hoạt động, xây dựng một
chiến lược kinh doanh, xác định khách hàng mục tiêu, khách hàng tiềm năng để
từ đó có sự ứng dụng công nghệ tương ứng phù hợp. Có thể ngay bây giờ công
nghệ được ứng dụng chưa được khai thác hết tính năng, công dụng nhưng nó sẽ
phát huy trong tương lai. hệ của từng ngân hàng.
2.1.3. Chú trọng chất lượng về nhân sự
Ngành ngân hàng Việt Nam đã nhận thức rõ được xu thế hội nhập hiện
nay, ngoài việc thiết lập một hệ thống cơ sở hạ tầng hiện đại, vấn đề đào tạo
nguồn nhân lực chuyên nghiệp, có khả năng sử dụng CNTT và có kiến thứ vê
CNTT hiện đại trong ngành ngân hàng càng trở nên cần thiết. Thực tế hiện nay
là nguồn cán bộ làm công tác CNTT tại các ngân hàng chủ yếu được đào tạo
theo 2 hình thức:
8
8
- Thứ 1, những người được đào tạo chuyên về CNTT , sau về công tác tại
các ngân hàng được cử đi đào tạo thêm về kiến thức kinh tế và nghiệp vụ.
- Thứ 2, các cử nhân kinh tế/ngân hàng sau một thời gian công tác tại
ngân hàng được cử đi học thêm về CNTT.
Cả hai loai hình đào tạo này đều có chung nhược điểm là lãng phí về mặt
thời gian và chi phí cũng như thiếu tính chuyên nghiệp. Tuy nhiên, để đáp ứng
nhu cầu trước mắt, đây cũng là giải pháp tạm thời khắc phục tình trạng thiếu hụt
số lượng nhân viên CNTT trong quá trình phát triển dịch vụ NHĐT. Do vậy, cần
sự phối hợp chặt chẽ giữa 2 lĩnh vực ngân hàng và CNTT để có thể:
Nâng cao trình độ công nghệ thông tin của nhân viên nghiệp vụ và nhà quản trị
các ngân hàng, giúp họ có khả năng chủ động định hướng, lựa chọn những công
nghệ mới nhất cho ngân hàng
Bối dưỡng kiến thức vê kinh tế, nghiệp vụ ngân hàng, cập nhật kiến thức CNTT
hiện đại cho các chuyên viên CNTT trong toàn ngành ngân hàng để có thể ứng
dụng những công nghệ mới nhất trong ngành ngân hàng.
Bên cạnh kiến thức chuyên môn, tuyển mộ đội ngũ nhân viên có phẩm
chất đạo đức tốt cũng là một trong những biện pháp giúp ngân hàng có thể phát
triển hoạt động NHĐT một cách an toàn và tốt nhất. Bởi lẽ, dù cho công nghệ có
hiện đại đến đâu thì một khâu nào đó trong quá trình xử lý cũng phải có tác động
của bàn tay con người. Cho nên ngoài việc đầu tiên cần làm là hiện đại hóa đến
mức giảm thiểu một cách tối đa những tác động đó trong quá trình xử lý, việc
tiếp theo đối với những khâu, những bước không thể tự động hóa được thì cần
phải có những nhân viên trung thực và có tinh thần trách nhiệm cao trong công
việc đảm nhiệm, sau đó mới đến khâu kiểm tra, kiểm soát để đảm bảo không
một sự gian lận nào có thể thực hiện được.
2.1.4. Thiết lập cơ chế giám sát quản lý rủi ro hiệu quả
- Khi xem xét các dự án E-banking, nhà quản lý cần phải phân tích kỹ,
đánh giá đúng sự ảnh hưởng đến chiến lược phát triển, quản lý rủi ro của ngân
hàng. Nếu đánh giá quá thấp ảnh hưởng của dự án, ngân hàng có thể sẽ gặp
9
9
nhiều rủi ro; nếu đánh giá quá cao thì chi phí ngân hàng phải trả cho đầu tư ban
đầu để xây dựng E-banking sẽ tăng.
- Thực hiện E-banking, các nhà quản lý và cán bộ ngân hàng cần nhận
thức đầy đủ tính chất phức tạp của các ứng dụng E-banking và phải có kiến thức
nhất định về kỹ thuật, công nghệ ngân hàng. Điều này là cần thiết cho dù các hệ
thống và các dịch vụ E-banking của ngân hàng đó được quản lý trực tiếp hay
thuê dịch vụ của bên thứ ba. Các quy trình giám sát cần được thực hiện thường
xuyên, hiệu quả nhằm phát hiện và xử lý kịp thời bất kỳ rủi ro phát sinh hay mọi
xâm nhập bất hợp pháp có thể xuất hiện trong các hệ thống E-banking.
- Các quy trình quản lý rủi ro đối với các hoạt động E-banking phải được
tích hợp trong cơ chế quản lý rủi ro chung của ngân hàng. Đồng thời các chính
sách và quy trình quản lý rủi ro của ngân hàng cần được thường xuyên xem xét
đánh giá, chỉnh sửa, nâng cấp kịp thời nhằm đảm bảo tính phù hợp và đủ khả
năng xử lý những rủi ro mới phát sinh trong các hoạt động E-banking ở thời
điểm hiện tại cũng như trong tương lai. Những nội dung cần xem xét gồm:
+ Đánh giá rủi ro liên quan đến E-banking của các tổ chức ngân hàng.
+ Thiết lập cơ chế báo cáo, quy trình, lịch trình công việc bảo đảm công
tác an ninh và quản lý các hoật động ngân hàng được thực hiện một cách hợp lý
(hẳng hạn như: sự xâm nhập mạng trái phép, vi phạm bảo mật của nhân công và
mọi sự lạm dụng thái quá trong việc sử dụng máy tính).
+ Phát hiện các nhân tố tiềm ẩn rủi ro để từ đó đưa ra các phương án bảo
đảm an ninh, tính toàn vẹn và nguyên bản của các sản phẩm, dịch vụ E-banking.
- Đối với việc triển khai các hoạt động E-banking quốc tế, cần tìm hiểu
kỹ các quy định pháp lý của các quốc gia liên quan về việc đăng ký kinh doanh,
đăng ký sản phẩm, giám sát và các yêu cầu bảo vệ khách hàng và thực hiện phân
tích các nhân tố rủi ro liên quan trước khi thực hiện.
- Quy mô và cấu trúc của quy trình quản lý rủi ro của mỗi ngân hàng có
thể khác nhau phụ thuộc vào quy mô và tính phức tạp của các hoạt động E –
10
10
Banking tương xứng với chức năng giao dịch và tầm quan trọng của các hệ
thống, sự ảnh hưởng của mạng và tính nhạy cảm của thông tin được xử lý.
2.2. Về quản trị rủi ro hoạt động
2.1.2. Đánh giá và phê duyệt các nội dung cơ bản của quy trình kiểm soát bảo
mật của ngân hàng.
Hệ thống kiểm soát bảo mật của ngân hàng cần được thường xuyên nâng
cấp và duy trì liên tục để bảo đảm an toàn các hệ thống công nghệ và dữ liệu E –
Banking, tránh các hiểm hoạ phát sinh từ nội bộ hoặc từ bên ngoài. Điều này có
nghĩa là cần phải thiết lập việc phân quyền hợp lý, kiểm soát truy cập logic và
dữ liệu chặt chẽ, kiểm soát an ninh cơ sở hạ tầng nghiêm ngặt nhằm duy trì giới
hạn cho phép đối với cả người sử dụng nội bộ lẫn bên ngoài.
E-banking có tốc độ phát triển nhanh chóng trong môi trường Internet; để
bảo đảm kiểm soát bảo mật hiệu quả đối với các hoạt động E-banking, Ngân
hàng cần phải xây dựng quy trình bảo mật toàn diện, bao gồm các chính sách,
các thủ tục và chỉ ra những mối đe doạ tiềm ẩn. Các yếu tố cơ bản của một quy
trình bảo mật E – Banking gồm:
• Phân công nhiệm vụ cho từng người quản lý/chuyên viên trong việc
giám sát việc thiết lập và duy trì các chính sách bảo mật.
• Kiểm soát dữ liệu, kiểm soát lôgic và giám sát chặt chẽ các quy trình
nhằm ngăn chặn truy cập trái phép từ bên trong và bên ngoài đến CSDL và các
ứng dụng E-banking.
• Thường xuyên kiểm tra và đánh giá các giải pháp, các quy trình kiểm
soát bảo mật ở các khâu; phát triển các giải pháp bảo mật, nâng cấp các phần
mềm, các gói dịch vụ và những phương pháp cần thiết khác.
2.1.3. Quan tâm đúng mức và thiết lập quy trình giám sát các quan hệ với bên
ngoài và các sản phẩm của đối tác hỗ trợ hoạt động E-banking (bên thứ 3).
11
11
Ngân hàng tin tưởng vào các đối tác và các nhà cung cấp dịch vụ nhằm
triển khai các chức năng quan trọng của E-banking, nhưng trong số đó nhiều
chức năng, sản phẩm nằm ngoài sự kiểm soát trực tiếp của ngân hàng. Vì vậy,
cần thiết phải có một quy trình quản lý rủi ro tổng thể đối với các hoạt động của
các đối tác và các nhà cung ứng dịch vụ.
Trong xu thế hội nhập quốc tế và toàn cầu hoá, các mối quan hệ của ngân
hàng với bên ngoài có xu hướng tăng cả về quy mô và tính phức tạp do sự phát
triển của CNTT và E-banking. Hơn nữa, các dịch vụ E-banking ngày càng hiện
đại, tất yếu càng phụ thuộc vào các đối tác công nghệ.
Những vấn đề liên quan đến nghiên cứu rủi ro và những khả năng giám
sát quản lý rủi ro của ngân hàng đối với bên thứ 3 gồm:
• Phải lường trước những rủi ro có thể phát sinh khi tham gia hợp tác với
các đối tác tham gia triển khai các ứng dụng và hệ thống E-banking.
• Đánh giá năng lực và khả năng tài chính của nhà cung ứng dịch vụ
trước khi ký kết hợp đồng thực hiện dịch vụ E-banking.
• Hợp đồng cần phải xác định rõ trách nhiệm của của tất cả các bên tham
gia.
• Chính sách bảo mật và cơ chế quản lý rủi ro của các hệ thống E –
Banking liên quan phải đáp ứng được yêu cầu, tiêu chuẩn của chính ngân hàng.
• Công tác thẩm kế nội bộ và/hoặc kiểm toán độc lập phải được thực hiện
theo định kỳ.
• Có các phương án cụ thể khả thi, kế hoạch dự phòng thích hợp đối với
các hoạt động E-banking.
2.2.1. Xác thực và phân quyền cho khách hàng khi thực hiện giao dịch qua
Internet
- Sử dụng các phương pháp tin cậy để nhận dạng và kiểm tra quyền hạn
của khách hàng, giám sát các hoạt động của khách hàng trong suốt thời gian
12
12
kích hoạt tài khoản là một trong những công việc cần thiết để giảm thiểu rủi ro
về thông tin của khách hàng bị đánh cắp, giả mạo hoặc các chuyển tiền bất hợp
pháp.
- Có thể sử dụng một số phương pháp xác thực: số PIN, mật khẩu, smart
card, sinh trắc học và chứng thực số. Quá trình thực hiện có thể kết hợp một vài
nhân tố trên với nhau để làm tăng độ an toàn. Thông qua việc đánh giá những
rủi ro tiềm ẩn của hệ thống E – Banking để lựa chọn phương pháp xác thực thích
hợp.
2.2.2. Xác thực giao dịch, hạn chế việc thoái thác và thiết lập giải trình cho các
giao dịch E-banking.
Sử dụng xác thực giao dịch là phương pháp hiệu quả nhằm hạn chế việc
thoái thác trong giao dịch E-banking; bằng cách tạo ra chứng cứ nguồn gốc
nhằm bảo vệ người gửi (nhận) thông tin chống lại việc phủ nhận của người nhận
(gửi) thông tin dữ liệu đó bằng cách:
• Tất cả những bên tham gia vào giao dịch đều được xác thực và việc kiểm
soát cần được duy trì qua kênh đã được xác thực.
• Dữ liệu giao dịch tài chính cần được bảo vệ chống lại sự thay đổi bất
hợp pháp và nếu có sự thay đổi, phải được kiểm soát, phát hiện.
• Hệ thống E-banking được thiết kế nhằm giảm thiểu những rủi ro cho các
cá nhân đã được cấp quyền tham gia giao dịch, cũng như những thông tin cần
thiết giúp cho khách hàng hiểu rõ những rủi ro tiềm ẩn khi tham gia giao dịch
với hệ thống.
Hiện nay, nhiều tổ chức ngân hàng đã đầu tư hoặc thuê các hạ tầng kỹ
thuật nhằm ngăn chặn các hành vi thoái thác và đảm bảo tính bảo mật, toàn vẹn
của các giao dịch điện tử, ví dụ như hệ thống chứng thực số với công nghệ mã
khoá công khai (PKI). Ngân hàng có thể phát hành chứng thực số cho khách
hàng hoặc các đối tác nhằm cấp cho họ quyền sử dụng và hạn chế rủi ro thoái
thác giao dịch.
13
13