Việc nhận dạng để tiến hành quản lý rủi ro hoạt động trong ngân hàng thương mại có được thực hiện trong trường hợp hoạt động kinh doanh bị gián đoạn do gặp sự cố công nghệ thông tin không?

Nội dung chính

• Trường hợp hoạt động kinh doanh bị gián đoạn do gặp sự cố công nghệ thông tin có thực hiện nhận dạng rủi ro hoạt động không?
• Việc quản lý rủi ro hoạt động trong ứng dụng công nghệ được quy định như thế nào?
• Khi tiến hành báo cáo nội bộ về rủi ro hoạt động, có bắt buộc phải có những kiến nghị, đề xuất về quản lý rủi ro hoạt động hay không?

Trường hợp hoạt động kinh doanh bị gián đoạn do gặp sự cố công nghệ thông tin có thực hiện nhận dạng rủi ro hoạt động không?

Ngân hàng thương mại, chi nhánh ngân hàng nước ngoài phải nhận dạng đầy đủ rủi ro hoạt động trong tất cả các sản phẩm, hoạt động kinh doanh, quy trình nghiệp vụ, hệ thống công nghệ thông tin và các hệ thống quản lý khác theo quy định tại khoản 1 Điều 42 Thông tư 13/2018/TT-NHNN

Việc nhận dạng rủi ro hoạt động được thực hiện đối với các trường hợp tại khoản 2 Điều 42 Thông tư 13/2018/TT-NHNN như sau:

- Gian lận nội bộ do hành vi lừa đảo, chiếm đoạt tài sản, vi phạm các chiến lược, chính sách và quy định nội bộ liên quan đến ít nhất một cá nhân của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài (bao gồm cả hành vi không đúng chức trách, nhiệm vụ, hành vi vượt thẩm quyền, trộm cắp, lợi dụng thông tin nội bộ để trục lợi);

- Gian lận bên ngoài do các hành vi lừa đảo, chiếm đoạt tài sản do đối tượng bên ngoài gây nên mà không có sự trợ giúp, cấu kết của cá nhân, bộ phận của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài (bao gồm cả hành vi trộm cắp, cướp, giả mạo thẻ ngân hàng, chứng từ ngân hàng, xâm nhập hệ thống công nghệ thông tin để chiếm đoạt dữ liệu, tiền);

- Chính sách về lao động, an toàn nơi làm việc không phù hợp hợp đồng lao động, quy định của pháp luật về lao động, bảo vệ sức khỏe và an toàn nơi làm việc;

- Vô ý vi phạm quy định liên quan đến khách hàng, quy trình cung cấp sản phẩm và đặc tính sản phẩm khi thực hiện chức năng, nhiệm vụ được giao theo thẩm quyền đối với khách hàng (bao gồm cả hành vi vi phạm bảo mật thông tin khách hàng, vi phạm quy định về phòng chống rửa tiền, cung cấp sản phẩm dịch vụ trái quy định);

- Hư hỏng, mất mát tài sản, công cụ, thiết bị do các sự kiện bất khả kháng, tác động của con người và các sự kiện khác;

- Gián đoạn hoạt động kinh doanh do hệ thống công nghệ, thông tin gặp sự cố;

- Hạn chế, bất cập của quy trình giao dịch, kiểm soát giao dịch và quản lý giao dịch;

- Các trường hợp khác theo quy định nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài.

Căn cứ quy định trên, có thể thấy trường hợp ngân hàng thương mại nơi bạn đang làm việc bị gián đoạn hoạt động kinh doanh do gặp sự cố công nghệ thông tin thuộc trường hợp phải tiến hành nhận dạng rủi ro hoạt động để tiến hành theo dõi và kiểm soát theo quy định của pháp luật.

Việc quản lý rủi ro hoạt động trong ứng dụng công nghệ được quy định như thế nào?

Quản lý rủi ro hoạt động trong ứng dụng công nghệ

Quản lý rủi ro hoạt động trong ứng dụng công nghệ được quy định tại Điều 44 Thông tư 13/2018/TT-NHNN như sau:

(1) Ngân hàng thương mại, chi nhánh ngân hàng thương mại quản lý rủi ro hoạt động trong ứng dụng giao dịch điện tử, giao dịch trực tuyến, giao dịch tự động, giao dịch di động và các công nghệ khác (sau đây gọi tắt là ứng dụng công nghệ) thông qua:

a) Quản lý ứng dụng công nghệ theo quy định tại khoản 2 Điều này;

b) Nhận dạng, đo lường, theo dõi và kiểm soát rủi ro hoạt động phát sinh trong ứng dụng công nghệ theo quy định tại Điều 42 Thông tư này tối thiểu đảm bảo:

(i) Nhận dạng nguy cơ phát sinh rủi ro hoạt động liên quan hệ thống mạng kết nối nội bộ và bên ngoài, phần cứng, phần mềm, ứng dụng, giao diện giao dịch, vận hành và yếu tố con người;

(ii) Đo lường rủi ro trên cơ sở ước tính tổn thất khi xảy ra rủi ro hoạt động đối với hoạt động kinh doanh;

(iii) Theo dõi, đánh giá khả năng duy trì hoạt động ổn định trước nguy cơ phát sinh rủi ro hoạt động trong ứng dụng công nghệ;

(iv) Kiểm soát, có các biện pháp giảm thiểu rủi ro hoạt động (nếu cần thiết) trong hoạt động ứng dụng công nghệ để đảm bảo hạn mức rủi ro hoạt động.

(2) Quản lý ứng dụng công nghệ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài phải đáp ứng các yêu cầu sau:

a) Có quy định quản lý ứng dụng công nghệ tối thiểu bao gồm các nội dung sau đây:

(i) Phạm vi quản lý ứng dụng công nghệ tối thiểu đối với hệ thống công nghệ thông tin và cơ sở dữ liệu;

(ii) Nhiệm vụ, trách nhiệm, quyền hạn của các cá nhân, bộ phận thực hiện quản lý ứng dụng công nghệ;

(iii) Quản lý hiệu quả khi có sự cố, thay đổi ứng dụng công nghệ;

(iv) Hệ thống xác thực đảm bảo bảo mật thông tin của khách hàng, an toàn giao dịch và hệ thống công nghệ thông tin;

b) Tuân thủ quy định của Ngân hàng Nhà nước về giao dịch điện tử trong ngành ngân hàng; an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến và quy định có liên quan của pháp luật.

Khi tiến hành báo cáo nội bộ về rủi ro hoạt động, có bắt buộc phải có những kiến nghị, đề xuất về quản lý rủi ro hoạt động hay không?

Nội dung báo cáo nội bộ về rủi ro hoạt động được quy định cụ thể tại khoản 2 Điều 47 Thông tư 13/2018/TT-NHNN, bao gồm:

- Tình hình thực hiện chính sách quản lý rủi ro đối với rủi ro hoạt động, tuân thủ hạn mức rủi ro hoạt động;

- Các trường hợp phát sinh rủi ro hoạt động trong kỳ báo cáo và lý do;

- Số liệu tổn thất do rủi ro hoạt động theo 06 nhóm hoạt động kinh doanh, các biện pháp xử lý tổn thất và duy trì hoạt động liên tục (nếu có);

- Sự kiện, tác động bên ngoài ảnh hưởng đến rủi ro hoạt động của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài;

- Thay đổi về phương pháp đo lường rủi ro hoạt động;

- Tình hình hoạt động thuê ngoài và quản lý rủi ro hoạt động đối với hoạt động thuê ngoài;

- Thay đổi về ứng dụng công nghệ (nếu có) và tình hình quản lý rủi ro hoạt động trong ứng dụng công nghệ;

- Các đề xuất, kiến nghị về quản lý rủi ro hoạt động;

- Kết quả thực hiện các yêu cầu, kiến nghị về quản lý rủi ro hoạt động của kiểm toán nội bộ, Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.

Căn cứ quy định trên, có thể thấy việc đưa ra các đề xuất, kiến nghị về quản lý rủi ro hoạt động là một trong những nội dung tối thiểu cần phải có khi thực hiện báo cáo nội bộ về rủi ro hoạt động tại ngân hàng thương mại.

Như vậy, trường hợp ngân hàng thương mại gặp tình trạng gián đoạn hoạt động kinh doanh do phát sinh các sự cố về công nghệ thông tin thì sẽ được tiến hành nhận dạng rủi ro hoạt động. Việc quản lý rủi ro hoạt động trong ứng dụng công nghệ được thực hiện theo quy định của pháp luật. Bên cạnh đó, khi tiến hành báo cáo nội bộ về rủi ro hoạt động, việc kiến nghị, đề xuất về quản lý rủi ro hoạt động là một trong những nội dung tối thiểu cần có trong báo cáo.