Thông tư 14/2023/TT-NHNN hệ thống kiểm soát nội bộ tổ chức tín dụng phi ngân hàng mới nhất

Tóm tắt nội dung
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Số hiệu:	14/2023/TT-NHNN	Loại văn bản:	Thông tư
Nơi ban hành:	Ngân hàng Nhà nước Việt Nam	Người ký:	Đoàn Thái Sơn
Ngày ban hành:	20/11/2023	Ngày hiệu lực:	Đã biết
Ngày công báo:	Đã biết	Số công báo:	Đã biết
		Tình trạng:	Đã biết

03 tuyến bảo vệ độc lập phải có trong hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng

Ngày 20/11/2023, Thống đốc Ngân hàng Nhà nước ban hành Thông tư 14/2023/TT-NHNN quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng.

03 tuyến bảo vệ độc lập phải có trong hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng

- Tuyến bảo vệ thứ nhất có chức năng nhận dạng, kiểm soát và giảm thiểu rủi ro do các bộ phận sau thực hiện: Các bộ phận kinh doanh (bao gồm cả bộ phận phát triển sản phẩm), các bộ phận có chức năng tạo ra doanh thu khác; các bộ phận có chức năng thực hiện các quyết định có rủi ro; Các bộ phận có chức năng phân bổ hạn mức rủi ro, kiểm soát rủi ro, giảm thiểu rủi ro (thuộc bộ phận kinh doanh hoặc bộ phận độc lập) đối với từng loại hình giao dịch, hoạt động kinh doanh; Bộ phận nhân sự, bộ phận kế toán.

- Tuyến bảo vệ thứ hai có chức năng xây dựng các nội dung liên quan đến quản lý rủi ro, quy định nội bộ về quản trị rủi ro, theo dõi rủi ro và tuân thủ quy định pháp luật do các bộ phận sau đây thực hiện: Bộ phận tuân thủ quy định tại Điều 16 Thông tư này ; Bộ phận quản lý rủi ro quy định tại Điều 18 Thông tư 14/2023/TT-NHNN .

- Tuyến bảo vệ thứ ba có chức năng kiểm toán nội bộ do bộ phận kiểm toán nội bộ thực hiện theo quy định tại Luật Các tổ chức tín dụng và Thông tư 14/2023/TT-NHNN .

Yêu cầu khác đối với hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng

- Hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng phải đáp ứng các yêu cầu sau:

+ Yêu cầu về hệ thống kiểm soát nội bộ theo quy định của Luật Các tổ chức tín dụng;

+ Phù hợp với quy mô, điều kiện và mức độ phức tạp trong hoạt động kinh doanh của tổ chức tín dụng phi ngân hàng;

+ Có đủ nguồn lực về tài chính, con người, công nghệ thông tin để đảm bảo hiệu quả của hệ thống kiểm soát nội bộ;

+ Xây dựng, duy trì văn hóa kiểm soát, chuẩn mực đạo đức nghề nghiệp cho tổ chức tín dụng phi ngân hàng.

- Tổ chức tín dụng phi ngân hàng phải có các quy định nội bộ theo quy định của Luật Các tổ chức tín dụng, trong đó phải đảm bảo:

+ Phù hợp với quy định tại Thông tư 14/2023/TT-NHNN và quy định của pháp luật có liên quan;

+ Hội đồng quản trị, Hội đồng thành viên ban hành quy định về tổ chức, quản trị và hoạt động của tổ chức tín dụng phi ngân hàng, trừ các vấn đề thuộc thẩm quyền của Đại hội đồng cổ đông, chủ sở hữu; Ban kiểm soát ban hành quy định nội bộ của Ban kiểm soát; Tổng giám đốc (Giám đốc) ban hành các quy chế, quy trình, thủ tục tác nghiệp (sau đây gọi là quy trình nội bộ);

+ Được đánh giá định kỳ theo quy định tại Thông tư 14/2023/TT-NHNN và quy định của tổ chức tín dụng phi ngân hàng về tính thích hợp, tuân thủ quy định của pháp luật và sửa đổi, bổ sung (nếu cần thiết),

- Ý kiến thảo luận và kết luận về hệ thống kiểm soát nội bộ trong cuộc họp của Hội đồng quản trị, Hội đồng thành viên, Ban kiểm soát, Ủy ban quản lý rủi ro, Ủy ban nhân sự phải được lập thành biên bản, trong đó nêu rõ ý kiến thống nhất, không thống nhất của từng thành viên.

- Việc đánh giá độc lập đối với hệ thống kiểm soát nội bộ được thực hiện theo quy định của Ngân hàng Nhà nước về kiểm toán độc lập đối với tổ chức tín dụng, chi nhánh ngân hàng nước ngoài.

Xem chi tiết tại Thông tư 14/2023/TT-NHNN có hiệu lực từ ngày 01/10/2024.

>> XEM BẢN TIẾNG ANH CỦA BÀI VIẾT NÀY TẠI ĐÂY

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 14/2023/TT-NHNN	Hà Nội, ngày 20 tháng 11 năm 2023

THÔNG TƯ

QUY ĐỊNH VỀ HỆ THỐNG KIỂM SOÁT NỘI BỘ CỦA TỔ CHỨC TÍN DỤNG PHI NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;

Căn cứ Luật Các tổ chức tín dụng ngày 16 tháng 6 năm 2010; Luật sửa đổi, bổ sung một số điều của Luật Các tổ chức tín dụng ngày 20 tháng 11 năm 2017;

Căn cứ Nghị định số 102/2022/NĐ-CP ngày 12 tháng 12 năm 2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Chánh Thanh tra, giám sát ngân hàng;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Thông tư này quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 2. Đối tượng áp dụng

1. Tổ chức tín dụng phi ngân hàng bao gồm công ty tài chính, công ty cho thuê tài chính.

2. Tổ chức, cá nhân có liên quan đến hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 3. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Hệ thống kiểm soát nội bộ là tập hợp các cơ chế, chính sách, quy trình, quy định nội bộ, cơ cấu tổ chức của tổ chức tín dụng phi ngân hàng được xây dựng phù hợp với quy định tại Luật Các tổ chức tín dụng, Thông tư này và các quy định của pháp luật có liên quan và được tổ chức thực hiện nhằm kiểm soát, phòng ngừa, phát hiện, xử lý kịp thời rủi ro và đạt được yêu cầu đề ra. Hệ thống kiểm soát nội bộ thực hiện giám sát của quản lý cấp cao, kiểm soát nội bộ, quản lý rủi ro và kiểm toán nội bộ.

2. Giám sát của quản lý cấp cao là việc giám sát của Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc) đối với kiểm soát nội bộ, quản lý rủi ro và giám sát của Ban kiểm soát của tổ chức tín dụng phi ngân hàng đối với kiểm toán nội bộ.

3. Kiểm soát nội bộ là việc kiểm tra, giám sát đối với các cá nhân, bộ phận trong việc thực hiện cơ chế, chính sách, quy định nội bộ, chuẩn mực đạo đức nghề nghiệp, văn hóa kiểm soát nhằm kiểm soát xung đột lợi ích, kiểm soát rủi ro.

4. Quản lý rủi ro là việc nhận dạng, theo dõi và kiểm soát rủi ro trong hoạt động của tổ chức tín dụng phi ngân hàng.

5. Văn hóa kiểm soát là giá trị văn hóa doanh nghiệp của tổ chức tín dụng phi ngân hàng thể hiện sự nhận thức thống nhất về tầm quan trọng của hoạt động kiểm soát và quản trị rủi ro của Hội đồng quản trị, Hội đồng thành viên, Ban kiểm soát, Tổng giám đốc (Giám đốc) và các cá nhân, bộ phận. Văn hóa kiểm soát được hình thành thông qua chuẩn mực đạo đức nghề nghiệp, quy định nội bộ, chế độ khen thưởng, kỷ luật nhằm khuyến khích, đảm bảo các cá nhân, bộ phận chủ động nhận diện, kiểm soát rủi ro trong hoạt động của mình và hoạt động của tổ chức tín dụng phi ngân hàng.

6. Rủi ro là khả năng xảy ra tổn thất (tổn thất tài chính, tổn thất phi tài chính) làm giảm thu nhập, vốn tự có dẫn đến làm giảm tỷ lệ an toàn vốn hoặc hạn chế khả năng đạt được mục tiêu kinh doanh của tổ chức tín dụng phi ngân hàng.

7. Trạng thái rủi ro là phần giá trị của tài sản có rủi ro, nợ phải trả có rủi ro và các khoản mục ngoại bảng có rủi ro của tổ chức tín dụng phi ngân hàng.

8. Rủi ro tín dụng bao gồm:

a) Rủi ro tín dụng là rủi ro do khách hàng không thực hiện hoặc không có khả năng thực hiện một phần hoặc toàn bộ nghĩa vụ trả nợ theo hợp đồng hoặc thỏa thuận với tổ chức tín dụng phi ngân hàng, trừ các trường hợp quy định tại điểm b Khoản này. Trong đó, khách hàng (bao gồm cả tổ chức tín dụng, chi nhánh ngân hàng nước ngoài) có quan hệ với tổ chức tín dụng phi ngân hàng trong việc nhận cấp tín dụng (bao gồm cả nhận cấp tín dụng thông qua ủy thác), nhận tiền gửi, phát hành trái phiếu doanh nghiệp;

b) Rủi ro tín dụng đối tác là rủi ro do đối tác không thực hiện hoặc không có khả năng thực hiện một phân hoặc toàn bộ nghĩa vụ thanh toán trước hoặc khi đến hạn của các giao dịch tự doanh; giao dịch repo và giao dịch reverse repo; giao dịch sản phẩm phái sinh để phòng ngừa rủi ro; giao dịch mua bán ngoại tệ, tài sản tài chính để phục vụ nhu cầu của khách hàng, đối tác. Trong đó, đối tác (bao gồm cả tổ chức tín dụng, chi nhánh ngân hàng nước ngoài) có giao dịch với tổ chức tín dụng phi ngân hàng trong các giao dịch tự doanh; giao dịch repo và giao dịch reverse repo; giao dịch sản phẩm phái sinh để phòng ngừa rủi ro; giao dịch mua bán ngoại tệ, tài sản tài chính để phục vụ nhu cầu của khách hàng, đối tác.

9. Rủi ro hoạt động là rủi ro do các quy trình nội bộ quy định không đầy đủ hoặc có sai sót, do yếu tố con người, do các lỗi, sự cố của hệ thống hoặc do các yếu tố bên ngoài làm tổn thất về tài chính, tác động tiêu cực phi tài chính đối với tổ chức tín dụng phi ngân hàng (bao gồm cả rủi ro pháp lý). Rủi ro hoạt động không bao gồm:

a) Rủi ro danh tiếng là rủi ro do khách hàng, đối tác, cổ đông, nhà đầu tư hoặc công chúng có phản ứng tiêu cực về uy tín của tổ chức tín dụng phi ngân hàng;

b) Rủi ro chiến lược là rủi ro do tổ chức tín dụng phi ngân hàng có hoặc không có chiến lược, chính sách ứng phó kịp thời trước các thay đổi môi trường kinh doanh làm giảm khả năng đạt được chiến lược kinh doanh, mục tiêu lợi nhuận của tổ chức tín dụng phi ngân hàng.

10. Xung đột lợi ích là tình huống khi một cá nhân, bộ phận đưa ra các quyết định theo thẩm quyền tạo ra lợi ích không phù hợp hoặc trái với lợi ích của tổ chức tín dụng phi ngân hàng.

11. Quyết định có rủi ro là các quyết định của cấp có thẩm quyền của tổ chức tín dụng phi ngân hàng làm phát sinh rủi ro hoặc thay đổi trạng thái rủi ro của tổ chức tín dụng phi ngân hàng.

12. Quyết định có rủi ro tín dụng là các quyết định có rủi ro trong hoạt động tín dụng, tối thiểu bao gồm: quyết định cấp tín dụng; quyết định hạn mức tín dụng; quyết định cấp tín dụng vượt hạn mức; quyết định cơ cấu lại thời hạn trả nợ; quyết định chuyển nhóm nợ.

13. Khoản cấp tín dụng có vấn đề do tổ chức tín dụng phi ngân hàng quy định đảm bảo tối thiểu là khoản cấp tín dụng được phân loại vào nhóm nợ từ nhóm 2 trở lên theo quy định của Ngân hàng Nhà nước Việt Nam (Ngân hàng Nhà nước) về phân loại tài sản có, mức trích, phương pháp trích lập dự phòng rủi ro và việc sử dụng dự phòng để xử lý rủi ro trong hoạt động của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài.

14. Hoạt động thuê ngoài là việc tổ chức tín dụng phi ngân hàng thỏa thuận bằng văn bản về việc thuê tổ chức, doanh nghiệp, tổ chức tín dụng, chi nhánh ngân hàng nước ngoài khác (gọi là doanh nghiệp thuê ngoài) để thực hiện một hoặc một số hoạt động (bao gồm xử lý dữ liệu hoặc một số công đoạn của quy trình nghiệp vụ) thay cho tổ chức tín dụng phi ngân hàng theo quy định của pháp luật.

15. Kiểm toán viên nội bộ là người thực hiện kiểm toán nội bộ thuộc bộ phận kiểm toán nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 4. Yêu cầu đối với hệ thống kiểm soát nội bộ

1. Hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng phải đáp ứng các yêu cầu sau:

a) Yêu cầu về hệ thống kiểm soát nội bộ theo quy định của Luật Các tổ chức tín dụng;

b) Phù hợp với quy mô, điều kiện và mức độ phức tạp trong hoạt động kinh doanh của tổ chức tín dụng phi ngân hàng;

c) Có đủ nguồn lực về tài chính, con người, công nghệ thông tin để đảm bảo hiệu quả của hệ thống kiểm soát nội bộ;

d) Xây dựng, duy trì văn hóa kiểm soát, chuẩn mực đạo đức nghề nghiệp cho tổ chức tín dụng phi ngân hàng.

2. Tổ chức tín dụng phi ngân hàng phải có các quy định nội bộ theo quy định của Luật Các tổ chức tín dụng, trong đó phải đảm bảo:

a) Phù hợp với quy định tại Thông tư này và quy định của pháp luật có liên quan;

b) Hội đồng quản trị, Hội đồng thành viên ban hành quy định về tổ chức, quản trị và hoạt động của tổ chức tín dụng phi ngân hàng, trừ các vấn đề thuộc thẩm quyền của Đại hội đồng cổ đông, chủ sở hữu; Ban kiểm soát ban hành quy định nội bộ của Ban kiểm soát; Tổng giám đốc (Giám đốc) ban hành các quy chế, quy trình, thủ tục tác nghiệp (sau đây gọi là quy trình nội bộ);

c) Được đánh giá định kỳ theo quy định tại Thông tư này và quy định của tổ chức tín dụng phi ngân hàng về tính thích hợp, tuân thủ quy định của pháp luật và sửa đổi, bổ sung (nếu cần thiết).

3. Hệ thống kiểm soát nội bộ phải có 03 tuyến bảo vệ độc lập như sau:

a) Tuyến bảo vệ thứ nhất có chức năng nhận dạng, kiểm soát và giảm thiểu rủi ro do các bộ phận sau thực hiện: Các bộ phận kinh doanh (bao gồm cả bộ phận phát triển sản phẩm), các bộ phận có chức năng tạo ra doanh thu khác; các bộ phận có chức năng thực hiện các quyết định có rủi ro; Các bộ phận có chức năng phân bổ hạn mức rủi ro, kiểm soát rủi ro, giảm thiểu rủi ro (thuộc bộ phận kinh doanh hoặc bộ phận độc lập) đối với từng loại hình giao dịch, hoạt động kinh doanh; Bộ phận nhân sự, bộ phận kế toán;

b) Tuyến bảo vệ thứ hai có chức năng xây dựng các nội dung liên quan đến quản lý rủi ro, quy định nội bộ về quản trị rủi ro, theo dõi rủi ro và tuân thủ quy định pháp luật do các bộ phận sau đây thực hiện: Bộ phận tuân thủ quy định tại Điều 16 Thông tư này; Bộ phận quản lý rủi ro quy định tại Điều 18 Thông tư này;

c) Tuyến bảo vệ thứ ba có chức năng kiểm toán nội bộ do bộ phận kiểm toán nội bộ thực hiện theo quy định tại Luật Các tổ chức tín dụng và Thông tư này.

4. Ý kiến thảo luận và kết luận về hệ thống kiểm soát nội bộ trong cuộc họp của Hội đồng quản trị, Hội đồng thành viên, Ban kiểm soát, Ủy ban quản lý rủi ro, Ủy ban nhân sự phải được lập thành biên bản, trong đó nêu rõ ý kiến thống nhất, không thống nhất của từng thành viên.

5. Việc đánh giá độc lập đối với hệ thống kiểm soát nội bộ được thực hiện theo quy định của Ngân hàng Nhà nước về kiểm toán độc lập đối với tổ chức tín dụng, chi nhánh ngân hàng nước ngoài.

Điều 5. Lưu trữ hồ sơ, tài liệu về hệ thống kiểm soát nội bộ

1. Tổ chức tín dụng phi ngân hàng có quy định nội bộ về việc quản lý, lưu trữ các hồ sơ, tài liệu về hệ thống kiểm soát nội bộ.

2. Việc quản lý, lưu trữ hồ sơ, tài liệu về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng đảm bảo:

a) Tuân thủ quy định của pháp luật;

b) Lưu trữ đầy đủ để cung cấp theo yêu cầu của kiểm toán nội bộ, tổ chức kiểm toán độc lập, cơ quan có thẩm quyền trong quá trình kiểm toán nội bộ, kiểm toán độc lập, kiểm tra, thanh tra, giám sát.

Điều 6. Báo cáo Ngân hàng Nhà nước về hệ thống kiểm soát nội bộ

1. Tổ chức tín dụng phi ngân hàng phải lập báo cáo về hệ thống kiểm soát nội bộ theo các phụ lục ban hành kèm theo Thông tư này, bao gồm:

a) Báo cáo hằng năm về kiểm soát nội bộ và quản lý rủi ro (Phụ lục số 01);

b) Báo cáo hằng năm về kiểm toán nội bộ (Phụ lục số 02);

c) Báo cáo đột xuất về kiểm toán nội bộ.

2. Báo cáo về hệ thống kiểm soát nội bộ phải cập nhật các tồn tại, hạn chế, rủi ro phát sinh (nếu có) trong toàn bộ tổ chức tín dụng phi ngân hàng (bao gồm các bộ phận tại trụ sở chính; chi nhánh và các đơn vị phụ thuộc khác của tổ chức tín dụng phi ngân hàng).

3. Thời hạn gửi báo cáo:

a) Báo cáo quy định tại điểm a khoản 1 Điều này: Trong thời hạn 45 ngày từ ngày kết thúc năm tài chính;

b) Báo cáo quy định tại điểm b khoản 1 Điều này: Trong thời hạn 60 ngày từ ngày kết thúc năm tài chính;

c) Báo cáo quy định tại điểm c khoản 1 Điều này: Trong thời hạn 15 ngày làm việc từ ngày kết thúc kiểm toán nội bộ đột xuất (bao gồm việc phê duyệt của Ban Kiểm soát).

4. Thời hạn chốt số liệu báo cáo là thời điểm kết thúc năm tài chính.

5. Báo cáo được lập bằng văn bản, gửi trực tiếp hoặc qua dịch vụ bưu chính tới Ngân hàng Nhà nước (Cơ quan Thanh tra, giám sát ngân hàng).

Điều 7. Báo cáo nội bộ về hệ thống kiểm soát nội bộ

1. Báo cáo nội bộ về hệ thống kiểm soát nội bộ bao gồm:

a) Báo cáo nội bộ về kiểm soát nội bộ;

b) Báo cáo nội bộ về rủi ro tín dụng;

c) Báo cáo nội bộ về rủi ro hoạt động;

d) Báo cáo nội bộ kết quả kiểm toán nội bộ.

2. Báo cáo nội bộ về kiểm soát nội bộ bao gồm đánh giá về hoạt động kiểm soát theo nội dung quy định tại Điều 14 Thông tư này và nội dung khác theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

3. Báo cáo nội bộ về rủi ro tín dụng tối thiểu bao gồm các nội dung sau đây:

a) Chất lượng tín dụng đối với các khoản cấp tín dụng, danh mục cấp tín dụng theo đối tượng khách hàng và theo sản phẩm;

b) Khoản cấp tín dụng có vấn đề, các biện pháp xử lý khoản cấp tín dụng có vấn đề;

c) Khách hàng có dư nợ tín dụng thực tế cao hơn hạn mức rủi ro tín dụng quy định tại điểm a khoản 2 Điều 20 Thông tư này;

d) Tình hình trích lập dự phòng rủi ro, sử dụng dự phòng rủi ro để xử lý rủi ro tín dụng;

đ) Cảnh báo sớm khả năng vi phạm các giới hạn, hạn mức rủi ro tín dụng;

e) Các vi phạm về quản lý rủi ro tín dụng và lý do vi phạm;

g) Các đề xuất, kiến nghị về quản lý rủi ro tín dụng;

h) Kết quả thực hiện các yêu cầu, kiến nghị về quản lý rủi ro tín dụng của kiểm toán nội bộ, Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.

4. Báo cáo nội bộ về rủi ro hoạt động tối thiểu bao gồm các nội dung sau đây:

a) Các trường hợp phát sinh rủi ro hoạt động trong kỳ báo cáo và lý do;

b) Số liệu tổn thất do rủi ro hoạt động, các biện pháp xử lý tổn thất và duy trì hoạt động liên tục (nếu có);

c) Sự kiện, tác động bên ngoài ảnh hưởng đến rủi ro hoạt động của tổ chức tín dụng phi ngân hàng;

d) Tình hình hoạt động thuê ngoài và quản lý rủi ro hoạt động đối với hoạt động thuê ngoài;

đ) Thay đổi về ứng dụng công nghệ (nếu có) và tình hình quản lý rủi ro hoạt động trong ứng dụng công nghệ;

e) Các đề xuất, kiến nghị về quản lý rủi ro hoạt động;

g) Kết quả thực hiện các yêu cầu, kiến nghị về quản lý rủi ro hoạt động của kiểm toán nội bộ, Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.

5. Báo cáo nội bộ kết quả kiểm toán nội bộ (kiểm toán nội bộ định kỳ hăng năm và kiểm toán nội bộ đột xuất) bao gồm các nội dung sau đây:

a) Tình hình thực hiện nội dung, phạm vi kiểm toán trong năm tài chính;

b) Việc tuân thủ cơ chế, chính sách, quy định nội bộ về giám sát của quản lý cấp cao, kiểm soát nội bộ, quản lý rủi ro của Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc), cá nhân, bộ phận;

c) Sự phù hợp, tuân thủ quy định của pháp luật và quy định tại Thông tư này của cơ chế, chính sách, quy định nội bộ về giám sát của quản lý cấp cao kiểm soát nội bộ, quản lý rủi ro;

d) Các tồn tại, hạn chế được phát hiện khi thực hiện kiểm toán nội bộ và các kiến nghị đối với cấp có thẩm quyền và các bộ phận liên quan;

đ) Các nội dung khác theo quy định nội bộ của Ban Kiểm soát của tổ chức tín dụng phi ngân hàng.

6. Thời hạn báo cáo:

a) Báo cáo nội bộ về kiểm soát nội bộ: Định kỳ hằng năm hoặc đột xuất theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

b) Báo cáo nội bộ về rủi ro tín dụng: Định kỳ tối thiểu hàng quý hoặc đột xuất theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

c) Báo cáo nội bộ về rủi ro hoạt động: Định kỳ tối thiểu 06 tháng hoặc đột xuất theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

d) Báo cáo nội bộ kết quả kiểm toán nội bộ: Sau khi kết thúc kiểm toán nội bộ, bộ phận kiểm toán nội bộ trình Ban kiểm soát phê duyệt báo cáo kết quả kiểm toán nội bộ để gửi Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc) theo quy định nội bộ của Ban kiểm soát của tổ chức tín dụng phi ngân hàng.

7. Cá nhân, bộ phận nhận báo cáo:

Hội đồng quản trị, Hội đồng thành viên, Ban kiểm soát, Tổng giám đốc (Giám đốc) và cá nhân, bộ phận có liên quan theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Chương II

GIÁM SÁT CỦA QUẢN LÝ CẤP CAO

Điều 8. Yêu cầu đối với giám sát của quản lý cấp cao

1. Có cơ cấu tổ chức, nhiệm vụ, quyền hạn của Hội đồng quản trị, Hội đồng thành viên, Ban kiểm soát, Tổng giám đốc (Giám đốc) theo quy định tại Luật Các tổ chức tín dụng đối với tổ chức tín dụng phi ngân hàng và phù hợp với quy định tại Thông tư này.

2. Đảm bảo kiểm soát nội bộ, quản lý rủi ro và kiểm toán nội bộ được thực hiện hiệu quả, đạt được yêu cầu đề ra.

3. Nắm rõ trạng thái rủi ro và tình hình thực hiện chính sách quản lý rủi ro của tổ chức tín dụng phi ngân hàng.

4. Có biện pháp ngăn ngừa, xử lý kịp thời tổn thất để nâng cao hiệu quả, an toàn trong hoạt động của tổ chức tín dụng phi ngân hàng.

Điều 9. Cơ cấu tổ chức giám sát của quản lý cấp cao của tổ chức tín dụng phi ngân hàng

1. Cơ cấu tổ chức giám sát của Hội đồng quản trị, Hội đồng thành viên của tổ chức tín dụng phi ngân hàng đảm bảo:

a) Có Ủy ban quản lý rủi ro và Ủy ban nhân sự theo quy định của Ngân hàng Nhà nước về việc cấp Giấy phép, tổ chức và hoạt động của tổ chức tín dụng phi ngân hàng;

b) Có các Ủy ban khác (nếu cần thiết) để giúp Hội đồng quản trị, Hội đồng thành viên thực hiện giám sát của quản lý cấp cao.

2. Cơ cấu tổ chức giám sát của Ban kiểm soát thực hiện theo quy định tại Luật Các tổ chức tín dụng và quy định nội bộ của Ban kiểm soát.

Điều 10. Giám sát của quản lý cấp cao đối với kiểm soát nội bộ

1. Hội đồng quản trị, Hội đồng thành viên của tổ chức tín dụng phi ngân hàng giám sát Tổng giám đốc (Giám đốc) trong việc:

a) Tổ chức thực hiện hoạt động kiểm soát, vận hành và duy trì hệ thống thông tin quản lý và cơ chế trao đổi thông tin;

b) Duy trì văn hóa kiểm soát quy định tại khoản 5 Điều 3 Thông tư này và chuẩn mực đạo đức nghề nghiệp quy định tại khoản 4 Điều 14 Thông tư này trong tổ chức tín dụng phi ngân hàng;

c) Xử lý, khắc phục các tồn tại, hạn chế về kiểm soát nội bộ theo yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác;

d) Xử lý các hành vi vi phạm pháp luật, vi phạm quy định nội bộ và chuẩn mực đạo đức nghề nghiệp;

đ) Các nội dung khác do Hội đồng quản trị, Hội đồng thành viên quy định.

2. Tổng giám đốc (Giám đốc) của tổ chức tín dụng phi ngân hàng giám sát các cá nhân, bộ phận trong việc:

a) Thực hiện quy định nội bộ về kiểm soát nội bộ, duy trì văn hóa kiểm soát; đánh giá việc thực hiện chuẩn mực đạo đức nghề nghiệp (trừ chuẩn mực đạo đức nghề nghiệp của thành viên Ban kiểm soát, kiểm toán viên nội bộ);

b) Vận hành hệ thống thông tin quản lý, đánh giá (tính chính xác, đầy đủ, kịp thời và phù hợp), nâng cấp, hoàn thiện hệ thống thông tin quản lý đảm bảo đáp ứng các yêu cầu quy định tại Điều 17 Thông tư này;

c) Thực hiện chỉ đạo của Hội đồng quản trị, Hội đồng thành viên trong việc xử lý, khắc phục các tồn tại, hạn chế về kiểm soát nội bộ theo yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác;

d) Các nội dung khác do tổ chức tín dụng phi ngân hàng quy định.

Điều 11. Giám sát của quản lý cấp cao đối với quản lý rủi ro

1. Hội đồng quản trị, Hội đồng thành viên của tổ chức tín dụng phi ngân hàng giám sát Tổng giám đốc (Giám đốc) trên cơ sở đề xuất, tham mưu của Ủy ban quản lý rủi ro trong việc:

a) Xây dựng, tổ chức thực hiện quản lý rủi ro;

b) Xử lý, khắc phục các tồn tại, hạn chế về quản lý rủi ro theo các yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác;

c) Các nội dung khác do Hội đồng quản trị, Hội đồng thành viên quy định.

2. Tổng giám đốc (Giám đốc) của tổ chức tín dụng phi ngân hàng giám sát các cá nhân, bộ phận trên cơ sở đề xuất, tham mưu của Bộ phận quản lý rủi ro trong việc:

a) Lập quy trình xây dựng và thực hiện quản lý rủi ro;

b) Thực hiện đánh giá các nội dung liên quan quản lý rủi ro để đề xuất Hội đồng quản trị, Hội đồng thành viên điều chỉnh;

c) Xây dựng và thực hiện hạn mức rủi ro, đề xuất phân bổ hạn mức rủi ro theo từng hoạt động kinh doanh, hoạt động nghiệp vụ; thực hiện các biện pháp xử lý khi không đáp ứng được các hạn mức rủi ro;

d) Tổ chức thực hiện chỉ đạo của Hội đồng quản trị, Hội đồng thành viên trong việc xử lý, khắc phục các tồn tại, hạn chế về quản lý rủi ro theo yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiếm toán độc lập và các cơ quan chức năng khác;

đ) Tự kiểm tra, đánh giá về quản lý rủi ro và đề xuất Hội đồng quản trị, Hội đồng thành viên các biện pháp xử lý, khắc phục;

e) Các nội dung khác do tổ chức tín dụng phi ngân hàng quy định.

Điều 12. Giám sát của quản lý cấp cao đối với kiểm toán nội bộ

Ban kiểm soát của tổ chức tín dụng phi ngân hàng thực hiện giám sát đối với kiểm toán nội bộ bao gồm:

1. Giám sát, đánh giá việc thực hiện chuẩn mực đạo đức nghề nghiệp của thành viên Ban kiểm soát, kiểm toán viên nội bộ;

2. Giám sát bộ phận kiểm toán nội bộ trong việc:

a) Thực hiện kiểm toán nội bộ;

b) Rà soát, đánh giá tính hiệu quả và kết quả thực hiện nhiệm vụ của kiểm toán nội bộ;

c) Xử lý, khắc phục các tồn tại, hạn chế của kiểm toán nội bộ theo yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.

3. Các nội dung khác do Ban kiểm soát quy định.

Chương III

KIỂM SOÁT NỘI BỘ

Điều 13. Yêu cầu của kiểm soát nội bộ

1. Kiểm soát nội bộ được thực hiện đối với tất cả hoạt động, quy trình nghiệp vụ, các bộ phận tại tổ chức tín dụng phi ngân hàng (bao gồm trụ sở chính, chi nhánh và các đơn vị phụ thuộc khác) nhằm đảm bảo các yêu cầu sau đây:

a) Các hoạt động của tổ chức tín dụng phi ngân hàng tuân thủ quy định của pháp luật và quy định nội bộ;

b) Kiểm soát, ngăn chặn xung đột lợi ích, phát hiện và xử lý kịp thời các hành vi vi phạm quy định của pháp luật và quy định nội bộ của tổ chức tín dụng phi ngân hàng;

c) Nâng cao nhận thức về vai trò, trách nhiệm của cá nhân, bộ phận đối với kiểm soát nội bộ đê xây dựng, duy trì văn hóa kiểm soát của tổ chức tín dụng phi ngân hàng theo quy định tại Thông tư này.

2. Kiểm soát nội bộ được thực hiện thông qua hoạt động kiểm soát, hệ thống thông tin quản lý và cơ chế trao đổi thông tin.

Điều 14. Hoạt động kiểm soát

1. Hoạt động kiểm soát của tổ chức tín dụng phi ngân hàng được thực hiện thông qua tối thiểu các nội dung sau đây:

a) Việc phân cấp thẩm quyền phê duyệt phải căn cứ mức độ tin cậy của cấp có thẩm quyền và năng lực của cá nhân, bộ phận thực hiện. Thẩm quyền phê duyệt phải được thể hiện bằng các tiêu chí về quy mô giao dịch, hạn mức rủi ro và các giới hạn khác theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

b) Phân bổ nguồn nhân lực phù hợp với từng hoạt động kinh doanh, hoạt động kiểm soát (bao gồm cá nhân sự thay thế khi cán bộ, nhân viên vắng mặt, tuyển dụng, luân chuyển, bổ nhiệm cán bộ);

c) Việc hạch toán kế toán tuân thủ đúng quy định về chuẩn mực và chế độ kế toán; tổng hợp, lập và gửi các loại báo cáo tài chính theo quy định của pháp luật và quy định nội bộ của tổ chức tín dụng phi ngân hàng; lập báo cáo thống kê theo đúng quy định của pháp luật. Việc hạch toán kế toán, báo cáo thống kê phải được kiểm tra, đối chiếu để đảm bảo phát hiện, xử lý kịp thời các sai sót và phải được báo cáo cho cấp có thẩm quyền theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

d) Có biện pháp phòng ngừa, xử lý kịp thời đối với các sai phạm, hành vi vi phạm quy định của pháp luật, quy định nội bộ tại tổ chức tín dụng phi ngân hàng (bao gồm trụ sở chính, chi nhánh và các đơn vị phụ thuộc khác);

đ) Xử lý, khắc phục các tồn tại, hạn chế về kiểm soát nội bộ theo yêu cầu, kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác;

e) Việc triển khai, vận hành, kiểm soát và duy trì hệ thống công nghệ thông tin, cơ chế trao đổi thông tin tuân thủ đúng quy định của pháp luật; quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng và cung cấp dịch vụ ngân hàng trên internet; kế hoạch ứng dụng công nghệ thông tin của các tổ chức tín dụng phi ngân hàng theo từng giai đoạn; và quy định nội bộ của tổ chức tín dụng phi ngân hàng.

2. Việc quy định chức năng, nhiệm vụ của cá nhân, bộ phận từ cấp thấp nhất đến cấp cao nhất trong tất cả các giao dịch, quy trình nghiệp vụ tại tổ chức tín dụng phi ngân hàng (bao gồm trụ sở chính, chi nhánh và các đơn vị phụ thuộc khác) đảm bảo nguyên tắc:

a) Thành viên Hội đồng quản trị, thành viên Hội đồng thành viên không tham gia xem xét, phê duyệt các quyết định có rủi ro thuộc chức năng, nhiệm vụ của Tổng giám đốc (Giám đốc), trừ trường hợp thành viên Hội đồng quản trị, thành viên Hội đồng thành viên là Tổng giám đốc (Giám đốc) và/hoặc Phó Tổng Giám đốc (Phó Giám đốc);

b) Phân tách chức năng, nhiệm vụ trong các giao dịch, quy trình nghiệp vụ để không xung đột lợi ích hoặc kiểm soát, ngăn chặn xung đột lợi ích; một cá nhân không chi phối toàn bộ một giao dịch, quy trình thực hiện giao dịch; một cá nhân không cùng lúc được giao các công việc có xung đột lợi ích;

c) Có các cá nhân độc lập trong cùng bộ phận hoặc bộ phận độc lập với bộ phận khác để kiểm tra định kỳ và đột xuất theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

3. Hoạt động kiểm soát của trụ sở chính của tổ chức tín dụng phi ngân hàng đối với chi nhánh, đơn vị phụ thuộc khác phải đảm bảo:

a) Trụ sở chính giám sát, kiểm soát được các giao dịch, hoạt động của chi nhánh, đơn vị phụ thuộc khác, bao gồm cả việc giám sát, kiểm soát thông qua cá nhân, bộ phận thực hiện hoạt động kiểm soát tại chi nhánh, đơn vị phụ thuộc khác;

b) Có quy định về chức năng, nhiệm vụ, cơ chế báo cáo, tiền lương, khen thưởng, kỷ luật, luân chuyển cán bộ và cơ chế khác để đảm bảo tính độc lập, không xung đột lợi ích của cá nhân, bộ phận thực hiện hoạt động kiểm soát tại chi nhánh, đơn vị phụ thuộc đối với cá nhân, bộ phận khác của chi nhánh, đơn vị phụ thuộc;

c) Có cơ chế cho phép khách hàng tra soát, kiểm tra, đối chiếu giao dịch thực hiện tại chi nhánh, đơn vị phụ thuộc khác với trụ sở chính của tổ chức tín dụng phi ngân hàng.

4. Hội đồng quản trị, Hội đồng thành viên của tổ chức tín dụng phi ngân hàng ban hành chuẩn mực đạo đức nghề nghiệp (trừ chuẩn mực đạo đức nghề nghiệp đối với thành viên Ban kiểm soát, kiểm toán viên nội bộ) đảm bảo nguyên tắc:

a) Cán bộ, nhân viên ở các cấp thực hiện nhiệm vụ, thẩm quyền được giao một cách trung thực vì lợi ích của tổ chức tín dụng phi ngân hàng; không lợi dụng địa vị, chức vụ, sử dụng thông tin, bí quyết, cơ hội kinh doanh và tài sản của tổ chức tín dụng phi ngân hàng để thu lợi cá nhân hoặc làm tổn hại tới lợi ích của tổ chức tín dụng phi ngân hàng;

b) Các cá nhân, bộ phận có trách nhiệm báo cáo kịp thời với cấp có thẩm quyền khi phát hiện hành vi vi phạm quy định tại điểm a Khoản này và các hành vi vi phạm quy định nội bộ của tổ chức tín dụng phi ngân hàng, quy định của pháp luật.

Điều 15. Hoạt động kiểm soát đối với hoạt động cấp tín dụng

1. Hoạt động kiểm soát đối với hoạt động cấp tín dụng của tổ chức tín dụng phi ngân hàng phải tuân thủ quy định tại khoản 1 và 2 Điều 14 Thông tư này.

2. Hoạt động cấp tín dụng phải được kiểm soát xung đột lợi ích theo nguyên tắc phân định trách nhiệm giữa các khâu thẩm định và quyết định cho vay theo quy định của Ngân hàng Nhà nước.

Điều 16. Bộ phận tuân thủ

Tùy theo quy mô, điều kiện và mức độ phức tạp của hoạt động kinh doanh, tổ chức tín dụng phi ngân hàng quyết định cơ cấu tổ chức của Bộ phận tuân thủ, đảm bảo thực hiện tối thiểu các chức năng sau:

1. Giúp Tổng giám đốc (Giám đốc) trong việc:

a) Thực hiện đánh giá nội dung quy định tại điểm c khoản 2 Điều 4 Thông tư này;

b) Báo cáo Hội đồng quản trị, Hội đồng thành viên, Ban kiểm soát các vi phạm nghiêm trọng trong việc tuân thủ quy định của pháp luật, thay đổi quy định liên quan của pháp luật theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

c) Rà soát, đánh giá quy định về nhiệm vụ, quyền hạn của Bộ phận tuân thủ để trình Tổng giám đốc (Giám đốc) sửa đổi, bổ sung nếu cần thiết.

2. Báo cáo định kỳ, đột xuất cho Tổng giám đốc (Giám đốc) về tình hình tuân thủ quy định của pháp luật; báo cáo Tổng giám đốc (Giám đốc), thông báo cho các bộ phận liên quan về thay đổi quy định liên quan của pháp luật theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

3. Hỗ trợ các bộ phận liên quan trong việc xây dựng, rà soát quy định nội bộ đảm bảo tuân thủ quy định của pháp luật; xử lý các vướng mắc về việc tuân thủ quy định của pháp luật theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 17. Hệ thống thông tin quản lý và cơ chế trao đổi thông tin

1. Tổ chức tín dụng phi ngân hàng có hệ thống thông tin quản lý để cung cấp thông tin, báo cáo nội bộ cho Hội đồng quản trị, Hội đồng thành viên, Ban kiểm soát, Tổng giám đốc (Giám đốc) và các cá nhân, bộ phận liên quan để thực hiện chức năng, nhiệm vụ đảm bảo tuân thủ quy định tại Thông tư này.

2. Hệ thống thông tin quản lý tối thiểu bao gồm:

a) Các báo cáo nội bộ và các thông tin quản lý khác theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

b) Cơ cấu tổ chức quản lý, vận hành hệ thống thông tin quản lý, trong đó quy định cụ thể trách nhiệm sử dụng hệ thống thông tin quản lý của cá nhân, bộ phận có liên quan;

c) Thu thập, xử lý, lưu trữ, cung cấp thông tin; xây dựng, gửi, tiếp nhận và xử lý báo cáo.

3. Hệ thống thông tin quản lý phải đảm bảo:

a) Hỗ trợ thực hiện cơ chế trao đổi thông tin theo quy định tại khoản 4, 5 Điều này;

b) Thông tin, dữ liệu cung cấp đầy đủ, chính xác, kịp thời đáp ứng các yêu cầu quản lý theo quy định tại Thông tư này, quy định nội bộ của tổ chức tín dụng phi ngân hàng;

c) Cập nhật tình hình tuân thủ các quy định của pháp luật, quy định nội bộ của tổ chức tín dụng phi ngân hàng;

d) Được rà soát, đánh giá, nâng cấp, cập nhật thường xuyên phù hợp với nhu cầu thông tin quản lý trong hoạt động kinh doanh của tổ chức tín dụng phi ngân hàng;

đ) Bảo mật, bảo đảm an toàn thông tin, dữ liệu và có hệ thống dự phòng để đảm bảo việc lưu trữ, sử dụng thông tin được an toàn, hiệu quả và không bị gián đoạn.

4. Tổ chức tín dụng phi ngân hàng có cơ chế trao đổi thông tin thông qua hệ thống thông tin quản lý và các cơ chế trao đổi thông tin khác, đảm bảo mọi cá nhân ở tất cả các cấp, các bộ phận có liên quan được thông báo, phổ biến, tuyên truyền về hệ thống kiểm soát nội bộ để hiểu rõ, nhận thức thống nhất, đầy đủ về chính sách, quy trình, mục tiêu kinh doanh, thực hiện tốt chức trách, nhiệm vụ, quyền hạn của mình.

5. Tổ chức tín dụng phi ngân hàng báo cáo kịp thời cho các cấp có thẩm quyền về các hành vi vi phạm pháp luật, quy định nội bộ, chuẩn mực đạo đức nghề nghiệp của các cá nhân, bộ phận đảm bảo bảo mật thông tin và bảo vệ người cung cấp thông tin phù hợp với quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Chương IV

QUẢN LÝ RỦI RO

Điều 18. Bộ phận quản lý rủi ro

Tùy theo quy mô, điều kiện và mức độ phức tạp của hoạt động kinh doanh, tổ chức tín dụng phi ngân hàng quyết định cơ cấu tổ chức của Bộ phận quản lý rủi ro đảm bảo thực hiện tối thiểu các chức năng sau:

1. Giúp Tổng giám đốc (Giám đốc) trong việc đề xuất, tham mưu các nội dung quy định tại khoản 2 Điều 11 Thông tư này.

2. Phối hợp với tuyến bảo vệ thứ nhất để nhận dạng đầy đủ và theo dõi các rủi ro phát sinh.

3. Phân tích, đưa ra những cảnh báo về mức độ an toàn của tổ chức tín dụng phi ngân hàng trước những nguy cơ, tiềm ẩn rủi ro có thể ảnh hưởng và đề xuất các biện pháp phòng ngừa đối với các rủi ro này trong ngăn hạn, dài hạn.

4. Tham gia các nội dung liên quan đến rủi ro trong quá trình đưa ra các quyết định có rủi ro tương ứng theo từng cấp có thẩm quyền theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

5. Thực hiện báo cáo nội bộ về quản lý rủi ro theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Mục 1. QUẢN LÝ RỦI RO TÍN DỤNG

Điều 19. Yêu cầu, chiến lược quản lý rủi ro tín dụng

Tổ chức tín dụng phi ngân hàng phải xây dựng chiến lược quản lý rủi ro tín dụng tối thiểu bao gồm các nội dung sau đây:

1. Tỷ lệ nợ xấu mục tiêu, tỷ lệ cấp tín dụng xấu mục tiêu.

2. Nguyên tắc xác định chi phí bù đắp rủi ro tín dụng trong phương pháp tính lãi suất, định giá sản phẩm tín dụng (pricing) theo mức độ rủi ro tín dụng của khách hàng.

3. Nguyên tắc áp dụng các biện pháp giảm thiểu rủi ro tín dụng (bao gồm cả thẩm quyền phê duyệt các biện pháp giảm thiểu rủi ro tín dụng).

Điều 20. Hạn mức rủi ro tín dụng

1. Tổ chức tín dụng phi ngân hàng phải ban hành hạn mức rủi ro tín dụng đảm bảo tuân thủ các quy định về các hạn chế để bảo đảm an toàn trong hoạt động của tổ chức tín dụng phi ngân hàng tại Luật Các tổ chức tín dụng và quy định của Ngân hàng Nhà nước.

2. Hạn mức rủi ro tín dụng tối thiểu bao gồm các hạn mức sau đây:

a) Hạn mức cấp tín dụng đối với đối tượng khách hàng trên cơ sở khả năng trả nợ của khách hàng;

b) Hạn mức cấp tín dụng theo sản phẩm.

3. Hạn mức rủi ro tín dụng phải được rà soát, đánh giá lại (điều chỉnh nếu cần thiết) tối thiểu 01 năm một lần theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 21. Theo dõi và kiểm soát rủi ro tín dụng

1. Tổ chức tín dụng phi ngân hàng phải theo dõi, kiểm soát rủi ro tín dụng đối với từng khoản cấp tín dụng và toàn bộ danh mục cấp tín dụng và có biện pháp xử lý khi chất lượng tín dụng bị suy giảm, tối thiểu đảm bảo các yêu cầu sau đây:

a) Theo dõi kết quả phân loại nợ của khoản cấp tín dụng;

b) Đánh giá mức độ đầy đủ của dự phòng rủi ro theo quy định của Ngân hàng Nhà nước.

2. Việc theo dõi và kiểm soát rủi ro tín dụng tối thiểu bao gồm các nội dung sau đây:

a) Vai trò và trách nhiệm của các cá nhân, bộ phận thực hiện theo dõi, kiểm soát rủi ro tín dụng;

b) Thực hiện phân loại nợ, trích lập dự phòng rủi ro, sử dụng dự phòng rủi ro để xử lý rủi ro tín dụng;

c) Kiểm soát rủi ro tín dụng theo hạn mức rủi ro tín dụng được phân bổ đối với danh mục các khoản cấp tín dụng theo đối tượng khách hàng và theo sản phẩm;

d) Tiêu chí đánh giá và phương pháp xác định mức độ suy giảm chất lượng tín dụng của từng danh mục cấp tín dụng; cơ chế cảnh báo sớm khi có nguy cơ chất lượng tín dụng của khách hàng bị suy giảm.

Điều 22. Thẩm định cấp tín dụng

1. Tổ chức tín dụng phi ngân hàng thực hiện thẩm định tín dụng đảm bảo tối thiểu bao gồm các nội dung sau đây:

a) Xác định cụ thể người có liên quan của khách hàng, tổng dư nợ cấp tín dụng của khách hàng, tổng dư nợ cấp tín dụng của khách hàng và người có liên quan;

b) Đánh giá các điều kiện cấp tín dụng theo quy định của pháp luật có liên quan;

c) Đánh giá tính đầy đủ của hồ sơ, tình trạng pháp lý và khả năng thu hồi của tài sản bảo đảm đối với trường hợp cấp tín dụng có tài sản bảo đảm theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

d) Thẩm định khả năng thực hiện các nghĩa vụ cam kết của bên bảo lãnh đối với các khoản cấp tín dụng có bảo lãnh của bên thứ ba.

2. Trong quá trình thẩm định, trường hợp sử dụng các kênh thông tin khác bên ngoài tổ chức tín dụng phi ngân hàng, tổ chức tín dụng phi ngân hàng phải kiểm tra chất lượng thông tin và tính độc lập của kênh thông tin đó với khách hàng.

Điều 23. Phê duyệt quyết định có rủi ro tín dụng

Tổ chức tín dụng phi ngân hàng thực hiện phê duyệt quyết định có rủi ro tín dụng đảm bảo:

1. Thẩm quyền phê duyệt quyết định có rủi ro tín dụng phải được xác định theo các tiêu chí định lượng, định tính.

2. Trường hợp phê duyệt theo cơ chế hội đồng, hội đồng phê duyệt phải có biên bản phê duyệt hoặc hình thức tương đương, trong đó nêu rõ lý do phê duyệt hoặc không phê duyệt và ghi nhận (hoặc đính kèm) ý kiến của các thành viên hội đồng. Thành viên hội đồng phê duyệt phải chịu trách nhiệm đối với quyết định của mình.

3. Thông tin cung cấp để phê duyệt quyết định có rủi ro tín dụng phải đầy đủ, phù hợp với quy mô, loại hình cấp tín dụng và quy định nội bộ của tổ chức tín dụng phi ngân hàng. Quy định về danh mục thông tin làm cơ sở để phê duyệt quyết định có rủi ro tín dụng phải được bộ phận quản lý rủi ro đánh giá đảm bảo thực hiện hiệu quả việc quản lý rủi ro tín dụng.

Điều 24. Quản lý tín dụng

1. Tổ chức tín dụng phi ngân hàng thực hiện quản lý tín dụng đáp ứng các yêu cầu sau đây:

a) Quy định cụ thể trách nhiệm, thẩm quyền của cá nhân, bộ phận trong việc lập, lưu trữ hồ sơ tín dụng bảo đảm các hồ sơ tín dụng đầy đủ theo quy định của pháp luật;

b) Giải ngân phù hợp với mục đích sử dụng vốn, loại hình cấp tín dụng;

c) Giám sát khoản cấp tín dụng sau khi được giải ngân phải đảm bảo nguyên tắc: Kiểm tra việc sử dụng vốn vay và thực hiện các điều khoản khác trong hợp đồng cấp tín dụng của khách hàng; Đánh giá các yếu tố ảnh hưởng đến khả năng trả nợ của khách hàng; Theo dõi lịch trả nợ, nhắc nhở khách hàng thực hiện nghĩa vụ trả nợ khi đến hạn, báo cáo kịp thời cho các cấp có thẩm quyền khi khách hàng có nguy cơ không thực hiện hoặc chậm thực hiện nghĩa vụ trả nợ;

d) Quy định rõ tiêu chí, phương pháp xác định khoản cấp tín dụng có vấn đề, quản lý khoản cấp tín dụng có vấn đề để có biện pháp xử lý kịp thời.

2. Tổ chức tín dụng phi ngân hàng phải lưu trữ hồ sơ tín dụng và các thông tin khác có liên quan theo quy định của pháp luật.

Mục 2. QUẢN LÝ RỦI RO HOẠT ĐỘNG

Điều 25. Yêu cầu về quản lý rủi ro hoạt động

Quản lý rủi ro hoạt động tối thiểu bao gồm các nội dung sau đây;

1. Xây dựng nguyên tắc thực hiện quản lý rủi ro hoạt động.

2. Xây dựng nguyên tắc sử dụng hoạt động thuê ngoài, mua bảo hiểm, ứng dụng công nghệ.

3. Xây dựng kế hoạch duy trì hoạt động liên tục, tối thiểu đối với các trường hợp mất tài liệu quan trọng, hệ thống công nghệ thông tin bị sự cố và các sự kiện bất khả kháng theo quy định của pháp luật. Kế hoạch duy trì hoạt động liên tục phải đáp ứng tối thiểu các yêu cầu sau đây:

a) Có hệ thống dự phòng về nhân sự, hệ thống công nghệ thông tin, cơ sở dữ liệu thông tin;

b) Có các biện pháp giảm thiểu tổn thất do ngừng hoạt động;

c) Khôi phục được các hoạt động kinh doanh bị gián đoạn.

Điều 26. Nhận dạng, theo dõi và kiểm soát rủi ro hoạt động

1. Tổ chức tín dụng phi ngân hàng phải nhận dạng đầy đủ rủi ro hoạt động trong các hoạt động kinh doanh, quy trình nghiệp vụ, hệ thống công nghệ thông tin và các hệ thống quản lý khác. Việc nhận dạng rủi ro hoạt động được thực hiện đối với các trường hợp sau đây:

a) Gian lận nội bộ do hành vi lừa đảo, chiếm đoạt tài sản, vi phạm các chiến lược, chính sách và quy định nội bộ liên quan đến ít nhất một cá nhân của tổ chức tín dụng phi ngân hàng (bao gồm cả hành vi không đúng chức trách, nhiệm vụ, hành vi vượt thẩm quyền, trộm cắp, lợi dụng thông tin nội bộ để trục lợi);

b) Gian lận bên ngoài do các hành vi lừa đảo, chiếm đoạt tài sản do đối tượng bên ngoài gây nên mà không có sự trợ giúp, cấu kết của cá nhân, bộ phận của tổ chức tín dụng phi ngân hàng (bao gồm cả hành vi trộm cắp, cướp, giả mạo thẻ, chứng từ, xâm nhập hệ thống công nghệ thông tin để chiếm đoạt dữ liệu, tiền);

c) Chính sách về lao động, an toàn nơi làm việc không phù hợp với hợp đồng lao động, quy định của pháp luật về lao động, bảo vệ sức khỏe và an toàn nơi làm việc;

d) Vô ý vi phạm quy định liên quan đến khách hàng, quy trình cung cấp sản phẩm và đặc tính sản phẩm khi thực hiện chức năng, nhiệm vụ được giao theo thẩm quyền đối với khách hàng (bao gồm cả hành vi vi phạm bảo mật thông tin khách hàng, cung cấp sản phẩm dịch vụ trái quy định);

đ) Vi phạm quy định của pháp luật về phòng, chống rửa tiền;

e) Hư hỏng, mất tài sản, công cụ, thiết bị do các sự kiện bất khả kháng, tác động của con người và các sự kiện khác;

g) Gián đoạn hoạt động kinh doanh do hệ thống công nghệ thông tin gặp sự cố;

h) Hạn chế, bất cập của quy trình giao dịch, kiểm soát giao dịch và quản lý giao dịch;

i) Các trường hợp khác theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

2. Tổ chức tín dụng phi ngân hàng thực hiện theo dõi, kiểm soát rủi ro hoạt động thông qua hoạt động kiểm soát quy định tại Điều 14 Thông tư này và các biện pháp khác theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 27. Quản lý rủi ro hoạt động đối với hoạt động thuê ngoài

1. Quản lý hoạt động thuê ngoài tối thiểu bao gồm:

a) Xác định phạm vi hoạt động thuê ngoài;

b) Phân cấp thẩm quyền phê duyệt, quyết định đối với các hoạt động thuê ngoài;

c) Thẩm định năng lực của doanh nghiệp thuê ngoài trong việc đáp ứng các yêu cầu, mục tiêu đề ra của hoạt động thuê ngoài trước khi ký hợp đồng thuê ngoài; đánh giá khả năng thực hiện hợp đồng của doanh nghiệp thuê ngoài trong quá trình thực hiện hợp đồng;

d) Có hợp đồng thuê ngoài đảm bảo chặt chẽ, đầy đủ, bảo vệ quyền sở hữu và bảo mật cơ sở dữ liệu, thông tin khách hàng và quyền chấm dứt hợp đồng thuê ngoài, không ảnh hưởng uy tín của tổ chức tín dụng phi ngân hàng; mức độ và phạm vi hoạt động thuê ngoài; trách nhiệm cụ thể của tổ chức tín dụng phi ngân hàng và doanh nghiệp thuê ngoài và các điều khoản xử lý tranh chấp theo quy định của pháp luật;

đ) Đối với hoạt động thuê ngoài là dịch vụ công nghệ thông tin phải đảm bảo tuân thủ các quy định của pháp luật về quản lý dịch vụ công nghệ thông tin của bên thứ ba theo quy định của pháp luật về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng.

2. Tổ chức tín dụng phi ngân hàng thực hiện quản lý rủi ro hoạt động đối với hoạt động thuê ngoài thông qua:

a) Quản lý hoạt động thuê ngoài theo quy định tại khoản 1 Điều này;

b) Nhận dạng, theo dõi và kiểm soát rủi ro hoạt động phát sinh từ hoạt động thuê ngoài theo quy định tại Điều 26 Thông tư này.

Điều 28. Quản lý rủi ro hoạt động trong ứng dụng công nghệ

1. Hoạt động quản lý ứng dụng công nghệ phải tuân thủ quy định của Ngân hàng Nhà nước về giao dịch điện tử trong ngành ngân hàng; an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến và quy định có liên quan của pháp luật. Quản lý ứng dụng công nghệ tối thiểu bao gồm các nội dung sau đây:

a) Phạm vi quản lý ứng dụng công nghệ tối thiểu đối với hệ thống công nghệ thông tin và cơ sở dữ liệu;

b) Nhiệm vụ, trách nhiệm, quyền hạn của các cá nhân, bộ phận thực hiện quản lý ứng dụng công nghệ;

c) Hệ thống xác thực đảm bảo bảo mật thông tin của khách hàng, an toàn giao dịch và hệ thống công nghệ thông tin.

2. Tổ chức tín dụng phi ngân hàng quản lý rủi ro hoạt động trong ứng dụng giao dịch điện tử, giao dịch trực tuyến, giao dịch tự động, giao dịch di động và các công nghệ khác (sau đây gọi tắt là ứng dụng công nghệ) thông qua:

a) Quản lý ứng dụng công nghệ theo quy định tại khoản 1 Điều này;

b) Nhận dạng, theo dõi và kiểm soát rủi ro hoạt động phát sinh trong ứng dụng công nghệ theo quy định tại Điều 26 Thông tư này tối thiểu đảm bảo: Nhận dạng nguy cơ phát sinh rủi ro hoạt động liên quan hệ thống mạng kết nối nội bộ và bên ngoài, phần cứng, phần mềm, ứng dụng, giao diện giao dịch, vận hành và yếu tố con người; Theo dõi, đánh giá khả năng duy trì hoạt động ổn định trước nguy cơ phát sinh rủi ro hoạt động trong ứng dụng công nghệ; Kiểm soát, có các biện pháp giảm thiểu rủi ro hoạt động (nếu cần thiết) trong hoạt động ứng dụng công nghệ.

Điều 29. Mua bảo hiểm để giảm thiểu tổn thất rủi ro hoạt động

1. Tổ chức tín dụng phi ngân hàng được mua bảo hiểm để giảm thiêu tôn thất phát sinh từ rủi ro hoạt động theo quy định của pháp luật, đảm bảo phù hợp với năng lực tài chính và bù đắp tổn thất của tổ chức tín dụng phi ngân hàng.

2. Tổ chức tín dụng phi ngân hàng không sử dụng việc mua bảo hiểm để thay thế quản lý rủi ro hoạt động, phải đánh giá hiệu quả giảm thiểu tổn thất phát sinh từ rủi ro hoạt động của việc mua bảo hiểm, đánh giá năng lực của doanh nghiệp bán bảo hiểm trong việc thực hiện hợp đồng bảo hiểm và các rủi ro mới khác (nếu có).

Chương V

KIỂM TOÁN NỘI BỘ

Điều 30. Nguyên tắc kiểm toán nội bộ

1. Nguyên tắc độc lập:

a) Kiểm toán viên nội bộ, bộ phận kiểm toán nội bộ không được đồng thời đảm nhận các công việc, nhiệm vụ của các cá nhân, bộ phận khác;

b) Kiểm toán nội bộ không chịu bất cứ sự chi phối, can thiệp của các cá nhân, bộ phận khác;

c) Kiểm toán viên nội bộ không thực hiện kiểm toán đối với quy định nội bộ về kiểm toán nội bộ, kế hoạch kiểm toán nội bộ do kiểm toán viên nội bộ đó xây dựng; không thực hiện kiểm toán đối với đơn vị, bộ phận mà người đứng đầu đơn vị, bộ phận là người có liên quan của kiểm toán viên nội bộ đó; không thực hiện kiểm toán các hoạt động, bộ phận mà kiểm toán viên nội bộ đó thực hiện, chịu trách nhiệm trong thời hạn 01 năm kể từ khi không thực hiện, chịu trách nhiệm đối với hoạt động, bộ phận đó; không thực hiện kiểm toán tiêu chí xây dựng mức lương, lợi ích khác đối với các chức danh thuộc bộ phận kiểm toán nội bộ phải tách biệt với kết quả kinh doanh, kết quả hoạt động của các đơn vị, bộ phận khác.

2. Nguyên tắc khách quan:

a) Các ghi nhận kiểm toán trong báo cáo kiểm toán nội bộ phải được phân tích cẩn trọng và dựa trên cơ sở các dữ liệu, thông tin thu thập được;

b) Kiểm toán viên nội bộ phải trung thực khi thực hiện báo cáo, đánh giá trong quá trình kiểm toán nội bộ;

c) Kiểm toán viên nội bộ có quyền và nghĩa vụ báo cáo các cấp có thẩm quyền về các vấn đề liên quan đến tính khách quan trong quá trình thực hiện kiểm toán nội bộ.

3. Nguyên tắc chuyên nghiệp:

a) Tổ chức tín dụng phi ngân hàng có cung cấp dịch vụ giao dịch điện tử cho từ 10.000 khách hàng trở lên phải có kiểm toán viên công nghệ thông tin;

b) Tổ chức tín dụng phi ngân hàng không thuộc trường hợp quy định tại điểm a Khoản này căn cứ vào quy mô, điều kiện và mức độ phức tạp của hoạt động kinh doanh để lựa chọn có kiểm toán viên công nghệ thông tin hoặc sử dụng kiểm toán viên công nghệ thông tin từ bên ngoài (đi thuê hoặc từ chủ sở hữu);

c) Kiểm toán viên nội bộ phải đáp ứng các tiêu chuẩn quy định tại Điều 32 Thông tư này.

4. Kiểm toán nội bộ phải có biện pháp kiểm tra việc đảm bảo các nguyên tắc quy định tại các khoản 1, 2, 3 Điều này trong quá trình thực hiện kiểm toán nội bộ (bao gồm cả quá trình lập, gửi báo cáo kiểm toán nội bộ). Trưởng kiểm toán nội bộ báo cáo kịp thời cho Ban kiểm soát khi phát hiện các trường hợp vi phạm, nguy cơ vi phạm các nguyên tắc quy định tại khoản 1 Điều này.

Điều 31. Cơ chế phối hợp

1. Tổ chức tín dụng phi ngân hàng phải có cơ chế phối hợp giữa:

a) Hội đồng quản trị, Hội đồng thành viên với Ban kiểm soát, bộ phận kiểm toán nội bộ theo quy định tại khoản 2 Điều này;

b) Tổng giám đốc (Giám đốc), các bộ phận và Ban kiểm soát, bộ phận kiểm toán nội bộ theo quy định tại khoản 3 Điều này.

2. Cơ chế phối hợp của Hội đồng quản trị, Hội đồng thành viên và Ban kiểm soát, kiểm toán nội bộ của tổ chức tín dụng phi ngân hàng phải đảm bảo:

a) Hội đồng quản trị, Hội đồng thành viên phối hợp với bộ phận kiểm toán nội bộ khi kiểm toán nội bộ về giám sát của quản lý cấp cao đối với Hội đồng quản trị, Hội đồng thành viên;

b) Hội đồng quản trị, Hội đồng thành viên thực hiện các kiến nghị của Ban kiểm soát đối với Hội đồng quản trị, Hội đồng thành viên tại báo cáo kết quả kiểm toán nội bộ và thông báo cho Ban kiểm soát về kết quả thực hiện kiến nghị.

3. Cơ chế phối hợp của Tổng giám đốc (Giám đốc), các bộ phận và Ban kiểm soát, bộ phận kiểm toán nội bộ của tổ chức tín dụng phi ngân hàng phải đảm bảo:

a) Tổng giám đốc (Giám đốc) phối hợp với bộ phận kiểm toán nội bộ khi kiểm toán nội bộ về giám sát của quản lý cấp cao đối với Tổng giám đốc (Giám đốc); chỉ đạo các bộ phận có liên quan cung cấp đầy đủ thông tin về rủi ro để bộ phận kiểm toán nội bộ lập kế hoạch kiểm toán nội bộ; tổ chức thực hiện các kiến nghị của Ban kiểm soát đối với Tổng giám đốc (Giám đốc) tại báo cáo kết quả kiểm toán nội bộ (nếu có) và báo cáo Ban kiểm soát kết quả thực hiện các kiến nghị;

b) Các bộ phận không thuộc Ban kiểm soát, bộ phận kiểm toán nội bộ cung cấp thông tin, tài liệu, hồ sơ đầy đủ, trung thực, chính xác theo yêu cầu của bộ phận kiểm toán nội bộ khi kiểm toán nội bộ; thông báo kịp thời cho bộ phận kiểm toán nội bộ khi phát hiện các tồn tại, vi phạm, tổn thất hoặc nguy cơ tổn thất; tạo điều kiện thuận lợi để bộ phận kiểm toán nội bộ thực hiện kiểm toán nội bộ; thực hiện các kiến nghị của kiểm toán nội bộ tại báo cáo kết quả kiểm toán nội bộ và báo cáo kiểm toán nội bộ kết quả thực hiện các kiến nghị.

Điều 32. Tiêu chuẩn đối với thành viên Ban kiểm soát, kiểm toán viên nội bộ

1. Thành viên Ban kiểm soát của tổ chức tín dụng phi ngân hàng phải có đủ các tiêu chuẩn, điều kiện theo quy định tại Luật Các tổ chức tín dụng.

2. Tổ chức tín dụng phi ngân hàng phải xây dựng tiêu chuẩn đối với kiểm toán viên nội bộ đáp ứng các yêu cầu sau đây:

a) Có bằng đại học trở lên về một trong các ngành kinh tế, quản trị kinh doanh, luật, kế toán, kiểm toán;

b) Có kinh nghiệm làm việc trực tiếp tại một trong các lĩnh vực ngân hàng, tài chính, kế toán, kiểm toán tối thiểu là 02 năm đối với kiểm toán viên nội bộ và 03 năm đối với Trưởng kiểm toán nội bộ.

3. Tổ chức tín dụng phi ngân hàng phải xây dựng tiêu chuẩn đối với kiểm toán viên công nghệ thông tin đáp ứng các yêu cầu sau đây:

a) Có bằng đại học trở lên về ngành công nghệ thông tin hoặc chuyên ngành phù hợp;

b) Có kinh nghiệm làm việc trong lĩnh vực công nghệ thông tin tối thiểu là 02 năm.

Điều 33. Chuẩn mực đạo đức nghề nghiệp của thành viên Ban kiểm soát, kiểm toán viên nội bộ

Chuẩn mực đạo đức nghề nghiệp của thành viên Ban kiểm soát, kiểm toán viên nội bộ (bao gồm cả Trưởng kiểm toán nội bộ và các chức danh khác của bộ phận kiểm toán nội bộ) phải tối thiểu bao gồm các quy tắc sau đây:

1. Chính trực: thực hiện công việc được giao một cách thẳng thắn, trung thực.

2. Khách quan: thực hiện công việc được giao khách quan; đánh giá công bằng không vì lợi ích cá nhân hoặc lợi ích của người khác.

3. Bảo mật: tuân thủ các quy định về bảo mật thông tin theo quy định của pháp luật và quy định nội bộ của tổ chức tín dụng phi ngân hàng.

4. Trách nhiệm: thực hiện công việc được giao đảm bảo tiến độ và chất lượng.

5. Thận trọng: thực hiện công việc được giao một cách thận trọng trên cơ sở đánh giá các yếu tố sau đây:

a) Mức độ phức tạp, tầm quan trọng của nội dung được kiểm toán nội bộ;

b) Khả năng xảy ra các sai sót nghiêm trọng trong quá trình thực hiện kiểm toán nội bộ.

Điều 34. Cơ cấu tổ chức, nhiệm vụ, quyền hạn, trách nhiệm của bộ phận kiểm toán nội bộ

1. Cơ cấu tổ chức, nhiệm vụ, quyền hạn của bộ phận kiểm toán nội bộ của tổ chức tín dụng phi ngân hàng do Ban kiểm soát quyết định theo quy định tại Luật Các tổ chức tín dụng và Thông tư này.

2. Nhiệm vụ của bộ phận kiểm toán nội bộ tối thiểu bao gồm các nội dung sau đây:

a) Thực hiện kiểm toán nội bộ hằng năm hoặc đột xuất đối với trụ sở chính, chi nhánh và đơn vị phụ thuộc khác của tổ chức tín dụng phi ngân hàng;

b) Xây dựng, rà soát để trình Ban kiểm soát ban hành, sửa đổi, bổ sung chuẩn mực đạo đức nghề nghiệp của thành viên Ban kiểm soát, kiểm toán viên nội bộ theo quy định tại Điều 33 Thông tư này; quy định nội bộ của Ban kiểm soát; kế hoạch kiểm toán nội bộ;

c) Theo dõi, đánh giá việc thực hiện các kiến nghị của Ban kiểm soát đối với Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc), các cá nhân, bộ phận;

d) Thực hiện các kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác đối với kiểm toán nội bộ;

đ) Lập báo cáo nội bộ về kiểm toán nội bộ theo quy định tại Điều 7 Thông tư này.

3. Quyền hạn của bộ phận kiểm toán nội bộ tối thiểu bao gồm các nội dung sau đây:

a) Được trang bị nguồn lực cần thiết (nhân lực, tài chính, tài sản và các công cụ khác);

b) Được cung cấp các thông tin, tài liệu, hồ sơ cần thiết cho công tác kiểm toán nội bộ, bao gồm cả các văn bản, biên bản họp của Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc);

c) Được phỏng vấn các cá nhân về nội dung liên quan đến kiểm toán nội bộ; kiến nghị cấp có thẩm quyền theo quy định nội bộ xử lý đối với hành vi bất hợp tác của cá nhân, bộ phận trong quá trình thực hiện kiểm toán nội bộ;

d) Được tham dự các cuộc họp nội bộ theo Điều lệ và quy định nội bộ của tổ chức tín dụng phi ngân hàng.

4. Trách nhiệm của bộ phận kiểm toán nội bộ, kiểm toán viên nội bộ tối thiểu bao gồm:

a) Bảo mật tài liệu, thông tin theo quy định của pháp luật và quy định nội bộ của tổ chức tín dụng phi ngân hàng;

b) Chịu trách nhiệm trước Ban kiểm soát về việc thực hiện nhiệm vụ được giao;

c) Kiểm toán viên nội bộ chịu trách nhiệm trước pháp luật và trước Trưởng kiểm toán nội bộ về nhiệm vụ kiểm toán được giao.

Điều 35. Quy định nội bộ của Ban kiểm soát

Quy định nội bộ của Ban kiểm soát phải có nội dung về kiểm toán nội bộ tối thiểu bao gồm:

1. Cơ cấu tổ chức, nhiệm vụ, quyền hạn của bộ phận kiểm toán nội bộ; tiêu chuẩn của kiểm toán viên nội bộ; chuẩn mực đạo đức nghề nghiệp của thành viên Ban kiểm soát, kiểm toán viên nội bộ theo quy định tại Thông tư này.

2. Tiêu chí xác định mức độ rủi ro, mức độ trọng yếu và tần suất thực hiện kiểm toán nội bộ của các hoạt động, quy trình, bộ phận; nội dung kiểm toán nội bộ theo quy định tại Thông tư này.

3. Quy trình lập, thực hiện kế hoạch kiểm toán nội bộ.

4. Việc rà soát, đánh giá quy định về kiểm toán nội bộ, xử lý kiến nghị về kiểm toán nội bộ của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.

5. Quy định về việc thuê chuyên gia, tổ chức bên ngoài để thực hiện kiểm toán nội bộ (nếu có thực hiện).

6. Chế độ báo cáo nội bộ về kiểm toán nội bộ quy định tại Thông tư này.

Điều 36. Kế hoạch kiểm toán nội bộ

1. Kiểm toán nội bộ được thực hiện định kỳ hằng năm và đột xuất theo quy định nội bộ của Ban kiểm soát.

2. Kế hoạch kiểm toán nội bộ hằng năm được Ban kiểm soát ban hành theo đề nghị của Trưởng kiểm toán nội bộ sau khi tham khảo ý kiến của Hội đồng quản trị, Hội đồng thành viên và Tổng giám đốc (Giám đốc). Việc lập kế hoạch kiểm toán nội bộ phải đảm bảo đáp ứng:

a) Nguyên tắc định hướng theo rủi ro: Các hoạt động, quy trình, bộ phận phải được đánh giá mức độ rủi ro (cao, trung bình và thấp) theo quy định nội bộ của Ban kiểm soát. Các hoạt động, quy trình, bộ phận có mức độ rủi ro cao được tập trung nguồn lực, ưu tiên thực hiện kiểm toán trước và được kiểm toán ít nhất mỗi năm một lần;

b) Đảm bảo tính toàn diện: Các hoạt động, quy trình, bộ phận đều phải được kiểm toán nội bộ. Các hoạt động, quy trình, bộ phận có mức độ trọng yếu theo quy định nội bộ của Ban kiểm soát phải được kiểm toán ít nhất mỗi năm một lần;

c) Có dự phòng về nguồn lực, thời gian để thực hiện kiểm toán nội bộ đột xuất;

d) Kế hoạch kiểm toán định kỳ hằng năm phải được điều chỉnh khi có thay đổi trọng yếu về quy mô hoạt động, nguồn lực kiểm toán nội bộ theo quy định nội bộ của Ban kiểm soát.

3. Kế hoạch kiểm toán nội bộ hằng năm phải được ban hành trước ngày 15 tháng 12 của năm trước và bao gồm các nội dung: phạm vi kiểm toán, đối tượng kiểm toán, các mục tiêu kiểm toán, thời gian kiểm toán, nguồn lực kiểm toán (bao gồm cả việc thuê chuyên gia, tổ chức bên ngoài) và các nội dung khác do tổ chức tín dụng phi ngân hàng quy định.

4. Trong thời hạn 10 ngày làm việc từ ngày ban hành hoặc sửa đổi, bổ sung, tổ chức tín dụng phi ngân hàng gửi kế hoạch kiểm toán nội bộ cho Ngân hàng Nhà nước (Cơ quan Thanh tra, giám sát ngân hàng).

Điều 37. Nội dung kiểm toán nội bộ

Tổ chức tín dụng phi ngân hàng thực hiện kiểm toán nội bộ theo quy định của Luật Các tổ chức tín dụng trên cơ sở các nội dung sau đây:

1. Kiểm tra, đánh giá độc lập việc tuân thủ cơ chế, chính sách, quy định nội bộ về kiểm soát nội bộ, quản lý rủi ro của Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc), cá nhân, bộ phận, bao gồm cả việc xác định tồn tại, hạn chế và nguyên nhân.

2. Rà soát, đánh giá độc lập tính thích hợp, tuân thủ quy định của pháp luật của cơ chế, chính sách, quy định nội bộ về kiểm soát nội bộ, quản lý rủi ro, bao gồm cả việc xác định các tồn tại, hạn chế và nguyên nhân.

3. Đề xuất, kiến nghị đối với cấp có thẩm quyền và các bộ phận liên quan để xử lý các tồn tại, hạn chế.

4. Các nội dung khác theo quy định nội bộ của Ban Kiểm soát về kiểm toán nội bộ.

Chương VI

ĐIỀU KHOẢN THI HÀNH

Điều 38. Điều khoản thi hành

1. Thông tư này có hiệu lực từ ngày 01 tháng 10 năm 2024.

2. Sửa đổi, bổ sung Thông tư số 44/2011/TT-NHNN ngày 29 tháng 12 năm 2011 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về hệ thống kiểm soát nội bộ và kiểm toán nội bộ của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài như sau:

a) Sửa đổi, bổ sung Điều 1 như sau:

“Điều 1. Phạm vi điều chỉnh

Thông tư này quy định về hệ thống kiểm soát nội bộ và kiểm toán nội bộ của tổ chức tín dụng (trừ ngân hàng thương mại, tổ chức tín dụng phi ngân hàng).”

b) Bãi bỏ cụm từ “chi nhánh ngân hàng nước ngoài” tại toàn bộ Thông tư này.

3. Bãi bỏ khoản 3 Điều 73 Thông tư số 13/2018/TT-NHNN ngày 18 tháng 5 năm 2018 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về hệ thống kiểm soát nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài.

Điều 39. Trách nhiệm tổ chức thực hiện

Chánh Văn phòng, Chánh Thanh tra, giám sát ngân hàng, Thủ trưởng đơn vị thuộc Ngân hàng Nhà nước Việt Nam, tổ chức tín dụng phi ngân hàng và các tổ chức, cá nhân có liên quan chịu trách nhiệm tổ chức thực hiện Thông tư này./.

Nơi nhận:
- Ban Lãnh đạo NHNN;
- Thủ trưởng các đơn vị thuộc NHNN;
- Các TCTD phi ngân hàng;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu: VP, PC, TTGSNH6 (3 bản).

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC

Đoàn Thái Sơn

PHỤ LỤC SỐ 01

(Ban hành kèm theo Thông tư số 14/2023/TT-NHNN ngày 20/11/2023 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng)

TÊN TỔ CHỨC TÍN DỤNG PHI NGÂN HÀNG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ……../……….	….., ngày ... tháng ... năm ...

BÁO CÁO

VỀ KIỂM SOÁT NỘI BỘ VÀ QUẢN LÝ RỦI RO

(Năm ...)

Kính gửi: Ngân hàng Nhà nước Việt Nam

(Cơ quan Thanh tra, giám sát ngân hàng)

A. KIỂM SOÁT NỘI BỘ

1. Tình hình thực hiện Kiểm soát nội bộ

1) Đối với hoạt động kiểm soát:

a) Quy định nội bộ:

(i) Liệt kê các quy định nội bộ đã ban hành theo các nội dung quy định của Luật Các tổ chức tín dụng;

(ii) Tính phù hợp, tuân thủ của các quy định nội bộ đối với quy định của Ngân hàng Nhà nước và quy định của pháp luật có liên quan (kết quả tự đánh giá);

(iii) Tình hình tuân thủ quy định nội bộ của các cá nhân, bộ phận;

b) Kết quả tự kiểm tra, đánh giá hoạt động kiểm soát

2. Đối với hệ thống thông tin quản lý và cơ chế trao đổi thông tin:

a) Mô tả về hệ thống thông tin quản lý;

b) Cơ chế trao đổi thông tin;

c) Đánh giá hệ thống thông tin quản lý và cơ chế trao đổi thông tin trong việc đáp ứng các quy định tại Điều 17 Thông tư số /2023/TT-NHNN của Thống đốc Ngân hàng Nhà nước quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng.

3. Tồn tại, hạn chế của kiểm soát nội bộ:

II. Kết quả xử lý, khắc phục các hạn chế, yếu kém của kiểm soát nội bộ theo kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác, lý do chưa thực hiện kiến nghị, dự kiến thời hạn hoàn thành thực hiện kiến nghị đối với các kiến nghị chưa thực hiện.

B. QUẢN LÝ RỦI RO

1. Quản lý rủi ro tín dụng:

a) Chiến lược quản lý rủi ro tín dụng, các thay đổi trong kỳ báo cáo (nếu có) và lý do thay đổi;

b) Hạn mức rủi ro tín dụng, các thay đổi trong kỳ báo cáo (nếu có) và lý do thay đổi;

c) Tình hình thực hiện chiến lược quản lý rủi ro tín dụng, hạn mức rủi ro tín dụng trong kỳ báo cáo;

d) Đánh giá về việc theo dõi, kiểm soát rủi ro tín dụng;

d) Các trường hợp vi phạm về quản lý rủi ro tín dụng, lý do vi phạm;

đ) Các tồn tại, hạn chế, vướng mắc trong quản lý rủi ro tín dụng và nguyên nhân;

e) Kết quả thực hiện kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác đối với quản lý rủi ro tín dụng, lý do chưa thực hiện kiến nghị, dự kiến thời hạn hoàn thành thực hiện kiến nghị đối với các kiến nghị chưa thực hiện.

2. Quản lý rủi ro hoạt động:

a) Đánh giá về việc nhận dạng, theo dõi và kiểm soát rủi ro hoạt động;

b) Các trường hợp vi phạm về quản lý rủi ro hoạt động, lý do vi phạm;

c) Đánh giá tác động của các sự kiện rủi ro hoạt động và tổn thất trọng yếu;

d) Đánh giá hiệu quả của việc xây dựng kế hoạch duy trì hoạt động liên tục;

đ) Các tồn tại, hạn chế, vướng mắc trong quản lý rủi ro hoạt động và nguyên nhân;

e) Kết quả thực hiện kiến nghị của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác đối với quản lý rủi ro hoạt động, lý do chưa thực hiện kiến nghị, dự kiến thời hạn hoàn thành thực hiện kiến nghị đối với các kiến nghị chưa thực hiện.

C. ĐỀ XUẤT, KIẾN NGHỊ VỚI NGÂN HÀNG NHÀ NƯỚC

NGƯỜI ĐẠI DIỆN HỢP PHÁP
CỦA TỔ CHỨC TÍN DỤNG PHI NGÂN HÀNG
(ký và ghi rõ họ tên, đóng dấu)

PHỤ LỤC SỐ 02

TÊN TỔ CHỨC TÍN DỤNG PHI NGÂN HÀNG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ……/…….	……., ngày …. tháng …. năm ….

BÁO CÁO

VỀ KIỂM TOÁN NỘI BỘ

(Năm ...)

Kính gửi: Ngân hàng Nhà nước Việt Nam

(Cơ quan Thanh tra, giám sát ngân hàng)

I. Nội dung, phạm vi kiểm toán nội bộ

II. Kết quả kiểm toán nội bộ

1. Tình hình tuân thủ cơ chế, chính sách, quy định nội bộ về giám sát của quản lý cấp cao, kiểm soát nội bộ, quản lý rủi ro của tổ chức tín dụng phi ngân hàng.

2. Tính thích hợp, tuân thủ quy định của pháp luật của cơ chế, chính sách, quy định nội bộ về giám sát của quản lý cấp cao, kiểm soát nội bộ, quản lý rủi ro.

3. Tồn tại, hạn chế và các kiến nghị đối với Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc).

4. Các nội dung khác (nếu có).

III. Kết quả tự đánh giá kiểm toán nội bộ

1. Đánh giá kết quả thực hiện kiểm toán nội bộ trong năm báo cáo.

2. Đánh giá quy định nội bộ của Ban kiểm soát (bao gồm cả kết quả rà soát, đánh giá tính thích hợp, tuân thủ quy định của pháp luật của quy định nội bộ của Ban kiểm soát) trong năm báo cáo.

3. Các kiến nghị của Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc), cá nhân, bộ phận đối với kiểm toán nội bộ đã được thực hiện, chưa được thực hiện trong năm báo cáo, lý do chưa thực hiện kiến nghị.

IV. Kết quả thực hiện các kiến nghị về kiểm toán nội bộ của Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác

1. Các kiến nghị đã thực hiện.

2. Các kiến nghị chưa thực hiện, lý do chưa thực hiện kiến nghị, dự kiến thời hạn hoàn thành thực hiện kiến nghị đối với các kiến nghị chưa thực hiện.

V. Đề xuất, kiến nghị với Ngân hàng Nhà nước

TRƯỞNG BAN KIỂM SOÁT
(ký và ghi rõ họ tên, đóng dấu)

NGƯỜI ĐẠI DIỆN HỢP PHÁP
CỦA TỔ CHỨC TÍN DỤNG PHI NGÂN HÀNG
(ký và ghi rõ họ tên, đóng dấu)

STATE BANK OF VIETNAM -------	SOCIALIST REPUBLIC OF VIETNAM Independence – Freedom – Happiness ----------------
No. 14/2023/TT-NHNN	Hanoi, November 20, 2023

CIRCULAR

INTERNAL CONTROL SYSTEM OF NON-BANK CREDIT INSTITUTION

Pursuant to the Law on the State Bank of Vietnam dated June 16, 2010;

Pursuant to the Law on Credit Institutions dated June 16, 2010 and the Law on amendments to the Law on Credit Institutions dated November 20, 2017;

Pursuant to the Government's Decree No. 102/2022/ND-CP dated December 12, 2022 on functions, tasks, powers and organizational structure of the State Bank of Vietnam;

At the request of the Chief Inspector of the Banking Inspection and Supervision Agency under SBV;

The Governor of the State Bank of Vietnam promulgates Circular on internal control system of non-bank credit institution.

Chapter I

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Article 1. Scope

This Circular prescribes internal control system of non-bank credit institution.

Article 2. Regulated entities

1. Non-bank credit institutions, including finance companies and finance lease companies.

2. Organizations and individuals related to internal control systems of non-bank credit institutions.

Article 3. Definition of terms

In this Circular, the terms below are construed as follows:

1. "Internal control system” means a combination of mechanisms, policies, processes, internal regulations and organizational structures of a non-bank credit institution in accordance with regulations of the Law on Credit Institutions, this Circular and other relevant regulations of law and is implemented with a view to controlling, preventing, detecting and handling risks, and fulfilling requirements that have been set out. The internal control system carries out senior management supervision, internal control, risk management and internal audit.

2. “Senior management supervision” is carried out by the Board of Directors, Council of Members, Director General (Director) with regard to internal control and risk management, and by the Board of Controllers of a non-bank credit institution with regard to internal audit.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

4. “Risk management” means identification, monitoring and control of risks in operations of a non-bank credit institution.

5. “Control culture” means the cultural value of a non-bank credit institution, which shows unity in awareness of important of risk control and management among the Board of Directors, Council of Members, Board of Controllers, Director General (Director), individuals and departments. The control culture is created from work ethics, internal regulations and commendation/discipline schemes in order to encourage individuals and departments to proactively identify and control risks in their own activities as well as operations of the non-bank credit institution.

6. "Risk” means the probability of loss (financial or non-financial loss), causing decrease in a non -bank credit institution’s own capital and income, thereby reducing the capital safety ratio or hindering the non-bank credit institution from achieving its business goals.

7. “Risk position” means value of risk assets, liabilities and off-balance sheet items of a non-bank credit institution.

8. Credit risk includes:

a) “Credit risk” means the risk of a customer’s failure or incapacity to fulfill part or all of debt repayment obligations under a contract or agreement with a non-bank credit institution, unless otherwise prescribed in Point b of this Clause. In this case, customers (including credit institutions and foreign bank branches) have relationships with non-bank credit institutions in receipt of credit (including credit receipt through entrustment), deposits and issuance of corporate bonds;

b) “Counterparty credit risk” refers to the risk of a counterparty’s failure or incapacity to discharge part or all of payment obligations prior to or by the maturity dates of proprietary trades; repo and reverse repo transactions; trades in derivatives for risk prevention; trades in foreign currencies and financial assets to serve the needs of customers and partners. In this case, counterparties (including credit institutions and foreign bank branches) enter into transactions with non-bank credit institutions in proprietary trades; repo and reverse repo transactions; trades in derivatives for risk prevention; trades in foreign currencies and financial assets to serve the needs of customers and partners.

9. “Operational risk” means the risk arising due to inadequate or failed internal processes, people, system errors, failures or external events that cause financial losses or non-financial negative impacts on a non-bank credit institution (including legal risks). The operational risk does not include:

a) “Reputational risk” refers to the risk arising from negative reactions by customers, partners, shareholders or the public to the reputation of a non-bank credit institution;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

10. “Conflict of interest” is a situation where an individual or department makes decisions within their competence that are not appropriate for or go against interests of the non-bank credit institution.

11. “Risk-bearing decisions” mean decisions of the competent person/department of a non-bank credit institution that create risks or change the institution’s risk position.

12. “Credit risk-bearing decisions” mean risk-bearing decisions on credit activities, including at least: credit extension decisions; credit limit decisions; limit-exceeding loan decisions; loan term restructuring decisions; and loan group transfer decisions.

13. “Credit extensions requiring attention”, with the minimum amount regulated by the non-bank credit institution, are loans belonging to loan group 2 or above, as specified in the State Bank’s regulations on classification of assets, ratio and method of establishment and use of provisions for credit risk of a credit institution or a foreign bank’s branch.

14. “Outsourcing” means an act where the non-bank credit institution makes an agreement in writing (an outsourcing contract) to hire another organization, enterprise, credit institution or foreign bank’s branch (hereinafter referred to as “the contractor”) to carry out one or multiple activities (including data processing or some steps of the business process) in the non-bank credit institution’s stead, in accordance with the law.

15. “Internal auditor” means a person who carries out internal audit and belongs to an internal audit department of a non-bank credit institution.

Article 4. Requirements for internal control system

1. The internal control system of a non-bank credit institution shall fulfill the following requirements:

a) Meeting requirements according to regulations of the Law on Credit Institutions;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

c) Having sufficient financial, human and IT resources in order to ensure the internal control system’s effectiveness;

d) Creating and maintaining control culture and work ethics for the non-bank credit institution.

2. The non-bank credit institution shall have internal regulations in compliance with regulations of the Law on Credit Institutions, in which the following requirements shall be met:

a) Being consistent with regulations in this Circular and relevant laws;

b) The Board of Directors or the Council of Members promulgates regulations on the non-bank credit institution 's organization, management and activities, except for matters under the competence of the Shareholders’ Council and owner; the Board of Controllers promulgates its own internal regulations; the Director General (Director) promulgates work regulations, processes and procedures (hereinafter referred to as “internal process”);

c) Being subject to regular assessments specified in this Circular and the non-bank credit institution’s regulations on appropriateness of and compliance with the law, and making amendments if necessary.

3. The internal control system shall have three lines of defense as follows:

a) The first line of defense has functions of risk identification, control and minimization carried out by the following departments: business departments (including product development department), other revenue-generating departments; departments responsible for making risk-bearing decisions; departments responsible for risk limit allocation, risk management and risk minimization (affiliated to a business department or an independent department) in each type of transactions and business activities; human resource department, accounting department;

b) The second line of defense has functions of formulation of risk management policies and issuance of internal regulations on risk management and monitoring in accordance with regulations of law, carried out by the following departments: Departments conforming to the regulations in Article 16 of this Circular and risk management department specified in Article 18 of this Circular;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

4. Discussions and conclusions on the internal control system in meetings held by the Board of Directors, Council of Members, Board of Controllers, Risk Management Committee, and Human Resource Committee shall be recorded in writing, in which agreements and disagreements of members shall be specified.

5. Independent assessment of the internal control system shall be carried out in accordance with the State Bank’s regulations on independent audit in non-bank credit institutions and foreign bank branches.

Article 5. Retention of internal control records and documents

1. A non-bank credit institution shall have internal regulations on management and retention of records and documents on the internal control system.

2. Management and retention of records and documents on the internal control system in the non-bank credit institution shall:

a) Comply with regulations of law;

b) Fully retain records and documents in order to provide them upon request of internal auditors, the independent auditing organization, and the authority having competence in internal audit, independent audit, inspection and supervision.

Article 6. Submission of reports on internal control system to the State Bank

1. The non-bank credit institution shall produce reports on the internal control system according to Appendices issued together with this Circular, including.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

b) Annual reports on internal audit (Appendix 02);

c) Ad hoc reports on internal audit.

2. The report on internal control system shall indicate shortcomings, restrictions and risks arising (if any) in the whole non-bank credit institution (including departments in its headquarter, branches and other affiliated units).

3. Report submission deadline:

a) In case of reports mentioned in Point a Clause 1 of this Article: The non-bank credit institution shall submit such reports within 45 days after the end of fiscal year.

b) In case of reports mentioned in Point b Clause 1 of this Article: The non-bank credit institution shall submit such reports within 60 days after the end of fiscal year.

c) In case of reports mentioned in Point c Clause 1 of this Article: The non-bank credit institution shall submit such reports within 15 days after the ad hoc internal audit’s date of completion (including approval of the Board of Controllers).

4. The data collection period is the date on which a fiscal year ends.

5. These reports shall be made in writing and sent to the State Bank (the banking inspection and supervision agency) in person or by post.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

1. Internal reports on the internal control system include:

a) Internal report on internal control;

b) Internal report on credit risk;

c) Internal report on operational risk;

d) Internal report on internal audit results;

2. The internal report on internal control contains assessment of control activities according to regulations in Article 14 of this Circular and other contents under internal regulations of the non-bank credit institution.

3. The internal report on credit risk shall contain at least the following contents:

a) Quality of credit extensions and credit extension portfolios by customer and product;

b) Credit extensions requiring attention and measures for handling them;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

d) State of establishment and use of provisions for credit risk;

dd) Early warning about violations against credit risk limits and restrictions;

e) Violations against regulations on credit risk management and their causes;

g) Proposals and recommendations about credit risk management;

h) Results of fulfillment of requests and implementation of recommendations from internal auditors, the State Bank, independent auditing organizations and other functional authorities.

4. The internal report on operational risk shall contain at least the following contents:

a) Operational risks that have arisen during the reporting period and their causes;

b) Loss caused by operational risk, and measures for recovering loss and sustaining operations (if any);

c) External events and factors that influence the non-bank credit institution’s operational risk;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

dd) Changes to technology application (if any) and state of its operational risk management;

e) Proposals and recommendations about operational risk management;

g) Results of fulfillment of requests and implementation of recommendations about operational risk management from internal auditors, the State Bank, independent auditing organizations and other functional authorities.

5. The internal report on internal audit results (annual and ad hoc internal audits) shall contain the following contents:

a) State of implementation of contents and scope of audit in the fiscal year;

b) Compliance with mechanisms, policies and internal regulations on senior management supervision, internal control, risk management issued by the Board of Directors, Council of Members, Director General (Director), individuals and departments;

c) Appropriateness and compliance with law regulations and those in this Circular of mechanisms, policies and internal regulations on senior management supervision, internal control, and risk management;

d) Shortcomings and restrictions that have been detected during the process of internal audit and recommendations about the competent person/department and relevant departments;

dd) Other contents under internal regulations of the Board of Controllers of the non-bank credit institution.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

a) The internal report on internal control shall be made on an annual or ad hoc basis according to internal regulations of the non-bank credit institution;

b) The internal report on credit risk shall be made on at least a quarterly or ad hoc basis according to internal regulations of the non-bank credit institution;

c) The internal report on operational risk shall be made on at least a biannual or ad hoc basis according to internal regulations of the non-bank credit institution;

d) Regarding internal report on internal audit results: After completion of the internal audit, the internal audit department shall submit the report on internal audit results to the Board of Controllers for approval and submission to the Board of Directors, Council of Members, Director General (Director) according to internal regulations of the Board of Controllers of the non-bank credit institution.

7. Individuals and departments receiving reports:

Individuals and departments receiving reports are the Board of Directors, Council of Members, Board of Controllers, Director General (Director) and relevant individuals and departments according to internal regulations of the non-bank credit institution.

Chapter II

SENIOR MANAGEMENT SUPERVISION

Article 8. Requirements for senior management supervision

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

2. Ensuring that internal control, risk management and internal audit are carried out effectively and the set requirements are fulfilled.

3. Fully grasping the non-bank credit institution’s risk position and state of implementation of the risk management policy.

4. Promptly adopting loss prevention and handling measures in order to increase efficiency and safety in the non-bank credit institution’s operation.

Article 9. Organizational structure of a non-bank credit institution’s senior management supervision

1. The supervision structure of a non-bank credit institution’s Board of Directors/Council of Members shall have:

a) Risk Management Committee and Human Resource Committee, as specified in the State Bank’s regulations on license issuance, organization and operations of non-bank credit institutions;

b) Other committees (if necessary) with a view to helping the Board of Directors/Council of Members carry out senior management supervision.

2. The supervision structure of the Board of Controllers shall comply with regulations of the Law on Credit Institutions and internal regulations of the Board of Controllers.

Article 10. Senior management supervision for internal control

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

a) Carrying out control, operation and maintenance of the management information system and information exchange mechanism;

b) Maintaining the non-bank credit institution’s control culture specified in Clause 5, Article 3 of this Circular and work ethics specified in Clause 4, Article 14 of this Circular;

c) Rectifying problems and limitations in internal control upon request of the State Bank, independent auditing organizations and other functional authorities;

d) Taking actions against violations against law, internal regulations and work ethics;

dd) Other contents specified by the Board of Directors/Council of Members.

2. The non-bank credit institution’s Director General (Director) shall oversee individuals and departments:

a) Implementing internal regulations on internal control, maintaining control culture; assessing implementation of work ethics (except for those of members of the Board of Controllers and internal auditors);

b) Operating the management information system, assessing its accuracy, adequacy, punctuality and appropriateness, upgrading and perfecting the system, fulfilling the requirements in Article 17 of this Circular;

c) Acting as directed by the Board of Directors/Council of Members in rectification of problems and limitations in internal control upon request of the State Bank, independent auditing organizations and other functional authorities;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Article 11. Senior management supervision for risk management

1. The non-bank credit institution’s Board of Directors/Council of Members, on the basis of the Risk Committee’s advice and proposals, shall oversee the Director General (Director):

a) Formulating and organizing implementation of risk management policies;

b) Rectifying problems and limitations in risk management upon request of the State Bank, independent auditing organizations and other functional authorities;

c) Other contents specified by the Board of Directors/Council of Members.

2. The non-bank credit institution’s Director General (Director), on the basis of the Risk Committee’s advice and proposals, shall oversee individuals and departments:

a) Establishing procedures for formulation and implementation of the risk management policy;

b) Assessing risk management policies in order to suggest adjustments to the Board of Directors/ Council of Members;

c) Creating and implementing risk limits, proposing risk limit allocation by business and professional activities; implementing handling measures in case of failure to comply with risk limits;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

dd) Carrying out self-inspection and self-assessment of risk management and suggesting rectification measures to the Board of Directors/Council of Members.

e) Other contents specified by the non-bank credit institution.

Article 12. Senior management supervision for internal audit

The Board of Controllers of a non-bank credit institution shall oversee internal audit as follows:

1. Oversee and assess implementation of work ethics of members of the Board of Controllers and internal auditors;

2. Oversee the internal audit department:

a) Carrying out internal audit;

b) Reviewing and assessing internal audit’s effectiveness and the Internal Auditor's task results;

c) Rectifying problems and limitations in internal audit upon request of the State Bank, independent auditing organizations and other functional authorities;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Chapter III

INTERNAL CONTROL

Article 13. Requirements for internal control

1. Internal control applies to all activities, business processes and departments of the non-bank credit institution (including the headquarter, branches and other affiliates) or and must fulfill the following requirements:

a) The non-bank credit institution's activities shall comply with law and internal regulations;

b) Controlling and preventing conflict of interest; detecting and handling violations against law and internal regulations in a timely manner;

c) Increasing awareness of roles in and responsibilities of individuals and departments for internal control in order to build and maintain the non-bank credit institution's control culture according to regulations in this Circular.

2. The internal control is conducted through control activities, the information exchange mechanism and the management information system.

Article 14. Control activities

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

a) The delegation of competence in approval shall be based on prestige of the competent person/department and capacity of the executing individual/department The competence in approval shall be displayed by transaction scale and risk limit criteria, alongside other limits specified in the non-bank credit institution's internal regulations;

b) Human resources allocation shall be appropriate for each business and control activity (including substitutes for absent managers and employees, recruitment, manager transfer and appointment).

c) Bookkeeping shall comply with accounting standards and regulations; financial reports shall be compiled, produced and sent in accordance with law regulations and internal regulations of the non-bank credit institution; statistical reports shall be made in accordance with law regulations. Bookkeeping and statistical reports shall be inspected and compared in order to detect and rectify errors in a timely manner, and be reported and sent to the competent authority as specified in the non-bank credit institution’s internal regulations;

d) Measures for preventing and handling violations against law and internal regulations of the non-bank credit institution (including the headquarter, branches and other affiliates) shall be adopted;

dd) Problems and limitations in internal control shall be rectified upon request of the State Bank, independent auditing organizations and other functional authorities;

e) The development, operation, control and maintenance of the information technology system and information exchange mechanism shall comply with law regulations; regulations on safety and security of the information technology system in banking operations and supply of banking services on the internet; information technology application plans made by non-bank credit institutions by each period; and internal regulations of the non-bank credit institution.

2. The non-bank credit institution’s regulations (including the headquarter, branches and other affiliates) on functions and tasks of individuals/departments at all levels (from the lowest level to the highest level) and in all types of transactions and professional procedures shall apply the following principles:

a) Members of the Board of Directors/Council of Members shall not participate in review and approval for risk-bearing decisions which belong to functions and tasks of the Director General (Director), unless the Director General (Director)/Deputy Director General (Deputy Director) is one of those members;

b) The functions and tasks among transactions and professional procedures shall be divided in order to avoid or control, prevent conflict of interest; an individual shall not be in control of a whole transaction or its process; an individual shall not be given tasks that give rise in conflict of interest;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

3. The non-bank credit institution’s headquarter shall control its branches and other affiliates according to the following principles:

a) The headquarter is able to oversee and control transactions and activities of the branches and other affiliates, including supervision and control through individuals and departments carrying out control activities in those branches and affiliates;

b) There are regulations on functions, tasks, report mechanism, salaries, commendation/discipline, manager transfer and other mechanisms in order to ensure independence and that the branch’s/affiliate’s individual/department carrying out control activities does not have conflict of interest with other individuals/departments of the same branch/affiliate;

c) There are mechanisms that allow clients to search, check and compare transactions carried out in the non-bank credit institution’s branches/other affiliates to those carried out in the headquarter.

4. Work ethics (except for those applied to members of the Board of Controllers and internal auditors) shall be promulgated by the Board of Directors/Council of Members of the non-bank credit institution according to the following principles:

a) Officials and employees at all levels shall carry out tasks within their competence in a honest manner and for the non-bank credit institution’s benefits; do not abuse their positions and use the institution's information, secrets, business opportunities and property for self-profit or damage to the institution's benefits.

b) Individuals and departments shall be responsible for reporting to the competent authority in a timely manner when discovering any of the violations mentioned in Point a of this Clause, as well as violations against internal regulations and regulations of law.

Article 15. Control activities for credit extension

1. Control activities for the non-bank credit institution’s credit extension shall comply with Clauses 1 and 2, Article 14 of this Circular.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Article 16. Compliance department

Depending on the business activity’s scale, condition and complexity, the non-bank credit institution shall decide the organizational structure of the compliance department to ensure that the department carries out at least functions as follows:

1. Help the Director General (Director):

a) Assess contents specified in Point c Clause 2 Article 4 of this Circular;

c) Report serious violations against regulations of law and changes in relevant regulations of law to the Board of Directors/Council of Members/Board of Controllers, as specified in the non-bank credit institution’s internal regulations;

c) Review and assess regulations on tasks and powers of the compliance department in order to inform the Director General (Director) of any necessary amendments;

2. Send periodic and ad hoc reports on the state of compliance with regulations of law to the Director General (Director); notify the Director General (Director) and related departments of changes in relevant regulations as specified in the non-bank credit institution’s internal regulations.

3. Assist the related departments to develop and review internal regulations, ensuring compliance with regulations of law; deal with any complication that arises during such compliance as specified in the non-bank credit institution’s internal regulations.

Article 17. Management information system and information exchange mechanism

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

2. The management information system includes at least:

a) Internal reports and other management information specified in the non-bank credit institution’s internal regulations;

b) Structure of organization, management and operation of the management information system, in which responsibilities of relevant individuals and departments for use of the management information system shall be specified;

c) Information collection, processing, storage, and provision; formulation, submission, receipt and processing of reports;

3. The management information system shall:

a) Support implementation of the information exchange mechanism as specified in Clauses 4 and 5 of this Article;

b) Provide sufficient and accurate information and data, thereby fulfilling, in a timely manner the management requirements specified in this Circular and the non-bank credit institution’s internal regulations;

c) Provide updates on compliance with regulations of law and internal regulations of the non-bank credit institution;

d) Be subject to review, assessment, upgradation, regular update in conformity with the management information demand the non-bank credit institution’s business activities;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

4. The non-bank credit institution shall have an information exchange mechanism through the management information system and other mechanisms, ensuring that all individuals at all levels and relevant departments receive notification and information about the internal control system so that they clearly understand, have awareness of policies, procedures and business objectives in a full and uniform manner, effectively fulfill their tasks and assume their responsibilities and powers.

5. The non-bank credit institution shall promptly report to competent authorities on violations against law regulations, internal regulations and work ethics committed by individuals/departments that take charge of information security and protection of information providers in accordance with the non-bank credit institution’s regulations.

Chapter IV

RISK MANAGEMENT

Article 18. Risk management department

Depending on the business activity’s scale, condition and complexity, the non-bank credit institution shall decide the organizational structure of the risk management department to ensure that the department carries out at least functions as follows:

1. Help the Director General (Director) to propose and give advice on the contents of Clause 2, Article 11 of this Circular;

2. Cooperate with the first line of defense in full identification and monitoring of incurred risks;

3. Analyze and give warnings about the safety of the non-bank credit institution against potential risks that may give influence and propose measures for preventing such risks in a short-term or long-term manner.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

5. Produce internal reports on risk management as specified in the non-bank credit institution’s internal regulations.

Section 1. CREDIT RISK MANAGEMENT

Article 19. Requirements and strategies for credit risk management

The non-bank credit institution shall formulate a credit risk management strategy with at least the following contents:

1. Non-performing loan and bad credit extension rate targets.

2. Principles of determination of costs for offsetting credit risk in the interest calculation method, credit product pricing according to the customer’s credit risk level;

3. Principles of implementation of credit risk minimization measures (including competence in approving credit risk minimization measures).

Article 20. Credit risk limits

1. The non-bank credit institution shall set credit risk limits in accordance with regulations on restrictions to ensure the safety in its operations under the Law on Credit Institutions and the State Bank's regulations.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

a) Credit extension limit for each customer demographic on the basis of the customer’s solvency;

b) Credit extension limit for each product.

3. Credit extension limits shall be reviewed and re-assessed (or adjusted if necessary) at least once a year according to the non-bank credit institution’s internal regulations.

Article 21. Credit risk monitoring and control

1. The non-bank credit institution shall monitor and control credit risk of each credit extension and the entire credit extension portfolio, and adopt handling measures in case of reduction in credit quality, thereby fulfilling at least the following requirements:

a) Monitoring the credit extension's debt classification result;

b) Assessing adequacy of risk provisions as specified by the State Bank's regulations;

2. Credit risk monitoring and control shall include at least the following contents:

a) Roles and responsibilities of individuals and departments that monitor and control credit risk;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

c) Credit risk control in accordance with the allocated credit risk limit for the portfolio of credit extensions, sorted by customer demographics and products;

d) Assessment criteria and methods for determining the degree of credit quality reduction in each credit extension portfolio; early-warning mechanism for credit quality reduction.

Article 22. Credit extension appraisal

1. The non-bank credit institution shall carry out credit extension appraisal, which must have at least the following contents:

a) Identifying the customer’s affiliated person, the total balance of credit extended to the customer and his/her affiliate;

b) Assessing credit extension conditions according to regulations of relevant laws;

c) Assessing the profile’s adequacy, legal status and recallability of collateral in case of credit extension with collateral in accordance with the non-bank credit institution’s internal regulations;

d) Appraising the ability to fulfill obligations and commitments of the guarantor in case of credit extension with guarantee from a third party.

2. During appraisal, in case of use of any line of communication with customers other than that of the non-bank credit institution, the institution shall inspect the information quality and independence of such line of communication.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

The non-bank credit institution shall approve credit risk-bearing decisions as follows:

1. The competence in approving credit risk-bearing decisions shall be determined by quantitative and qualitative criteria.

2. In case of approval by committee, the approval committee shall make an approval record or any equivalent, which clearly states the reason for approval or rejection and state committee members’ opinions either in the record or its appendix. The approval committee’s members shall be responsible for their decisions.

3. The information provided for approval for credit risk-bearing decisions shall be sufficient and appropriate for the scale and type of credit extension in accordance with the non-bank credit institution’s internal regulations. Regulations on the list of information to be used as basis for approval for credit risk-bearing decisions shall be assessed by the risk management department in order to ensure effectiveness of credit risk management.

Article 24. Credit management

1. The non-bank credit institution shall fulfill the following requirements while carrying out credit management:

a) There are specific regulations on responsibilities and competence of individuals and departments in creation and retention of credit records, ensuring sufficient credit records as specified in law regulations;

b) Disbursement is appropriate for the capital use and type of credit extension;

c) Supervision of credit extensions after disbursement shall apply the following principles: (i) inspecting loan use and implementation of other terms of the customer’s credit extension contract; (ii) assessing factors affecting the customer’s solvency; (iii) monitoring the repayment schedule, reminding each customer of their obligation to repay by the deadline, notifying the competent authority in a timely manner when the customer has the risk of failure to repay debt or late repayment.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

2. The non-bank credit institution shall retain credit records and other relevant information according to law regulations.

Section 2. OPERATIONAL RISK MANAGEMENT

Article 25. Requirements for operational risk management

The operational risk management shall contain at least the following contents;

1. Principles of operational risk management.

2. Principles of outsourcing, insurance purchase and technology application;

3. Plans to sustain operations in at least the following cases: (i) loss of important documents; (ii) breakdown of the information technology system; and (iii) force majeure according to law regulations. A plan to sustain operations shall fulfill at least the following requirements:

a) There are backup systems for human resources, information technology system and database;

b) There are measures for minimizing loss due to disruption;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Article 26. Operational risk identification, monitoring and control

1. The non-bank credit institution shall fully identify operational risk in its business activities, professional procedures, information technology system and other management systems. Operational risk identification shall be carried out in the following cases:

a) Internal fraud, caused by swindling and appropriating property, violation against strategies, policies and internal regulations related to at least one individual of the non-bank credit institution (including ultra vires acts, theft and abuse of internal information for one's own gain);

b) External fraud caused by swindling and appropriating property, committed by outsiders without assistance from or collusion with the non-bank credit institution’s individuals and departments (including theft and forgery of bank cards and documents, and intrusion into the information technology system for appropriation of data and money);

c) Labor and workplace safety policies are not appropriate for labor contracts, regulations of the law on labor, health protection and workplace safety;

d) Involuntary violations related to customers, product provision processes and product properties while carrying out customer-related functions and tasks that have been assigned within competence (including violations against customer-related information security and provision of products and services against regulations);

dd) Violations against regulations of the law on anti-money laundering;

e) Damage to or loss of property, tools and equipment due to force majeure, human factor and other events;

e) Interruption to business activities due to breakdown of the information technology system;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

i) Other cases specified in internal regulations of the non-bank credit institution.

2. The non-bank credit institution shall monitor and control operational risk through control activities specified in Article 14 of this Circular and by other measures under its internal regulations.

Article 27. Operational risk management for outsourcing

1. Outsourcing management shall include at least:

a) Determination of outsourcing scope;

b) Delegation of competence in approval for and decision on outsourcing;

c) Assessment of the contractor’s capability to fulfill outsourcing requirements and objectives that have been set out before signature of the outsourcing contract; assessment of the contractor's capability during execution of the contract;

d) Outsourcing contracts, which must be detailed, sufficient, and protect the ownership and security of database, customer information and the right to terminate the outsourcing contract without damage to the reputation of the non-bank credit institution; scope and scale of outsourcing, the non-bank credit institution’s and contractor’s specific responsibilities and terms of dispute resolution under law regulations;

dd) The information technology outsourcing (IT outsourcing) shall comply with law regulations on management of IT services of the third party under law regulations on safety and security of the information technology system in banking operations.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

a) Outsourcing management according to regulations in Clause 1 of this Article;

b) Identification, monitoring and control of operational risk arising from outsourcing according to Article 26 of this Circular.

Article 28. Operational risk management for technology application

1. The technology application management shall comply with the State Bank’s regulations on e-transactions in banking sector; safety and security of the information technology system for provision of online banking services and relevant law regulations. The technology application management shall include at least the following contents:

a) Information technology system’s and database’s minimum scope of technology application management;

b) Tasks, responsibilities and powers of individuals and departments managing technology application;

c) Verification system that ensures customers' information security, safety of transactions and the information technology system;

2. The non-bank credit institution shall carry out risk management for application of electronic, online, automatic and mobile transactions and other technologies (hereinafter referred to as “technology application”) as follows:

a) Technology application management according to regulations in Clause 1 of this Article;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Article 29. Insurance for minimization of loss from operational risk

1. The non-bank credit institution is allowed to purchase insurance for minimization of loss from operational risk as specified in law regulations, ensuring conformity with the institution’s financial capability and loss recovery.

2. The non-bank credit institution that does not make insurance purchase for replacement of management of operational risk shall assess the insurance purchase’s effectiveness of minimization of loss from operational risk and the insurance provider’s capability of executing the insurance contract and other new risks (if any).

Chapter V

INTERNAL AUDIT

Article 30. Principles of internal audit

1. Independence:

a) The internal auditor and internal audit department shall not undertake the tasks of other individuals and departments;

b) Internal audit shall not be subject to control and intervention from other individuals and departments;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

2. Impartiality:

a) Findings in the internal audit report shall be carefully analyzed according to the collected data and information;

b) The internal auditor shall be honest when making report and assessment during the internal audit process;

c) The internal auditor has the right and obligation to notify competent authorities of problems related to impartiality during the internal audit process;

3. Professionalism:

a) The non-bank credit institution that provides e-transactions for at least 10.000 customers shall have information technology auditors;

b) Non-bank credit institutions other than those specified in Point a of this Clause shall, according to scale, conditions and complexity of business activities, choose between employing IT auditors of the owner or hiring external IT auditors;

c) Internal auditors shall meet standards specified in Article 32 of this Circular.

4. Internal auditors shall implement measures for inspecting compliance with the principles mentioned in Clauses 1,2 and 3 of this Article during internal audit processes (including formulation and submission of internal audit reports). The Chief Internal Auditor shall promptly notify the Board of Controllers of violations or risks of violations against the principles mentioned in Clause 1 of this Article.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

1. The non-bank credit institution shall have mechanisms for operation between:

a) Board of Directors/Council of Members and the Board of Controllers, internal audit department as specified in Clause 2 of this Article;

b) Director General (Director), departments and the Board of Controllers, internal audit department as specified in Clause 3 of this Article;

2. The mechanism for cooperation between the Board of Directors/Council of Members and the Board of Controllers, internal audit department of the non-bank credit institution shall ensure that:

a) The Board of Directors/Council of Members cooperates with the internal audit department during internal audit for senior management supervision on the Board of Directors/Council of Members;

b) The Board of Directors/Council of Members carries out recommendations from the Board of Controllers to the Board of Directors/Council of Members in internal audit reports and notifies the Board of Controllers of results of implementation of such recommendations.

3. The mechanism for cooperation between the Director General (Director), departments and the Board of Controllers, internal audit department shall ensure that:

a) The Director General (Director) cooperates with the internal audit department during internal audit for senior management supervision on the Director General (Director); directs relevant departments to provide sufficient information on risks so that the internal audit department can formulate internal audit plans; carries out recommendations from the Board of Controllers to the Director General (Director) in internal audit reports (if any) and notifies the Board of Controllers of results of implementation of such recommendations;

b) Departments that do not belong to the Board of Controllers and the internal audit department provide sufficient, authentic, accurate information, documents and records upon request of the internal audit department during the internal audit process; notify the internal audit department of problems, violations, losses or risks of loss in a timely manner; facilitate the internal audit department’s internal audit; carry out recommendations from the internal audit department in internal audit reports and notify the internal audit department of results of implementation of such recommendations.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

1. Members of the Board of Controllers of the non-bank credit institution shall fulfill all standards and requirements specified in the Law on Credit Institutions.

2. The non-bank credit institution shall set standards applicable to internal auditors that meet the following requirements:

a) Having bachelor’s degree (or above) in one of the following disciplines: economics, business administration, law, accounting or audit;

b) Gaining at least two years of experience (in case of internal auditors) and three years of experience (in case of Chief Internal Auditors) in working directly in the banking, finance, accounting or audit sector.

3. The non-bank credit institution shall set standards applicable to IT auditors that meet the following requirements:

a) Having bachelor’s degree (or above) in information technology discipline or other appropriate disciplines;

b) Gaining at least two years of experience in information technology sector.

Article 33. Work ethics of members of the Board of Controllers and internal auditors;

Work ethics of members of the Board of Controllers and internal auditors (including the Chief Internal Auditor and other title holders in the internal audit department) of the non-bank credit institution shall include at least the following principles:

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

2. Impartiality: impartially carry out the assigned tasks and make fair assessment, not for their own or anyone else’s interests;

3. Security: Comply with regulations of law and the non-bank credit institution’s internal regulations on information security;

4. Responsibility: carry out the assigned tasks in a prompt and effective manner;

5. Prudence: carry out the assigned tasks in a prudent manner on the basis of consideration of the following factors:

a) Complexity and importance of contents subject to the internal audit;

b) Probability of serious errors during the internal audit process.

Article 34. Organizational structure, tasks, powers and responsibilities of internal audit department

1. The organizational structure, tasks and powers of the internal audit department of the non-bank credit institution are decided by the Board of Controllers as specified in the Law on Credit Institutions and this Circular.

2. Tasks of the internal audit department:

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

b) Carry out establishment, review and submission to the Board of Controllers for promulgation of and amendments to work ethics of members of the Board of Controllers and internal auditors mentioned in Article 33 of this Circular; internal regulations of the Board of Controllers; and internal audit plans;

c) Monitor and assess implementation of recommendations from the Board of Controllers to the Board of Directors, Council of Members, Director General (Director), individuals and departments;

d) Implement recommendations from the State Bank, independent auditing organizations and other functional authorities about internal audit.

dd) Produce internal audit reports as specified in Article 7 of this Circular.

3. Powers of the internal audit department:

a) Be provided with necessary resources (human, finance, assets and other tools);

b) Be provided with information, documents and records which are necessary for internal audit, including meeting minutes and documents of the Board of Directors, Council of Members and Director General (Director);

c) Interview individuals about contents related to internal audit; request the competent person/department (as specified in the non-bank credit institution’s internal regulations) to handle any uncooperative individual or department during the internal audit process;

d) Participate in internal meetings as specified in the Charter and internal regulations of the non-bank credit institution.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

a) Secure documents and information as specified by law regulations and the non-bank credit institution’s internal regulations;

b) Be responsible to the Board of Controllers for performance of the assigned tasks;

c) Internal auditors shall be responsible to the law and the Chief Internal Auditor about the assigned audit tasks.

Article 35. Internal regulations of the Board of Controllers

The internal regulations of the Board of Controllers shall include at least the following contents:

1. Internal audit department’s organizational structure, tasks and powers; standards applicable to internal auditors; work ethics of members of the Board of Controllers and internal auditors, as specified in this Circular.

2. Criteria for determination of risk levels, material levels and internal audit frequency of activities, processes and departments; internal audit contents, as specified in this Circular.

3. Internal audit plan formulation and implementation procedures.

4. Review and assessment of internal audit regulations; implementation of recommendations from the State Bank, independent auditing organizations and other functional authorities on internal audit.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

6. Regulations on internal reports on internal audit as specified in this Circular.

Article 36. Internal audit plans

1. a) The internal audit shall be conducted on an annual or ad hoc basis according to internal regulations of the Board of Controllers;

2. The Board of Controllers shall issue annual internal audit plans upon request of the Chief Internal Auditor after reaching agreement with the Board of Directors, Council of Members and Director General (Director). The formulation of the internal audit plan shall fulfill the following requirements:

a) Principles of orientation according to risk: Activities, processes and departments shall be assessed on risk levels (high, medium and low levels) as specified in internal regulations of the Board of Controllers. Resources shall be concentrated on high-risk activities, processes and departments. These activities, processes and departments shall be audited first and at least once a year;

b) Comprehensiveness: All activities, processes and departments shall be subject to internal audit. Activities, processes and departments that are material specified in internal regulations of the Board of Controllers shall be audited at least once a year;

c) There are reserves of resources and time for ad hoc internal audits;

d) The annual audit plan shall be adjusted when there are material changes in the operation scale or internal audit resources as specified by internal regulations of the Board of Controllers.

3. The annual internal audit plan shall be issued before December 15 of the previous year and include scope, subjects, objectives, time and resources (including hire of external specialists and organizations) of internal audit and other contents under the non-bank credit institution's regulations.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Article 37. Internal audit contents

The non-bank credit institution's internal audit shall be carried out in accordance with regulations of the Law on Credit Institutions on the basis of the following contents:

1. Independent inspection and assessment of compliance with mechanisms, policies, internal regulations on internal control and risk management of the Board of Directors, Council of Members, Director General (Director), individuals and departments, including identification of problems, limitations and their causes;

2. Independent review and assessment of suitability and compliance with law regulations on mechanisms, policies, internal regulations on internal control and risk management including identification of problems, limitations and their causes;

3. Proposals and recommendations to the competent person/department and relevant departments for settlement of problems and limitations;

4. Other contents specified in internal regulations of the Board of Controllers on internal audit.

Chapter VI

IMPLEMENTATION PROVISIONS

Article 38. Implementation

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

2. The State Bank Governor’s Circular No. 44/2011/TT-NHNN dated December 29, 2011 on credit institutions’/foreign bank branches’ internal control and internal audit systems is amended as follows:

a) Article 1 shall be amended as follows:

“Article 1. Scope

This Circular provides for internal control and internal audit systems of credit institutions (except for commercial banks and non-bank credit institutions).”

b) The phrase “chi nhánh ngân hàng nước ngoài” (foreign bank branches) shall be annulled in this Circular.

3. Clause 3 Article 73 of the State Bank Governor’s Circular No. 13/2018/TT-NHNN dated May 18 2018 on internal control systems of commercial banks and foreign bank branches shall be annulled.

Article 39. Implementation responsibilities

The Chief of Office, Chief Bank Inspector and Overseer, heads of units affiliated to the State Bank; non-bank credit institutions and relevant organizations and individuals shall be responsible for organizing implementation of this Circular./.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

PP. THE GOVERNOR
DEPUTY GOVERNOR

Doan Thai Son

APPENDIX 01

(Issued together with the State Bank Governor’s Circular No. 14/2023/TT-NHNN dated November 20, 2023 on internal control system of non-bank credit institution)

NAME OF NON-BANK CREDIT INSTITUTION
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence – Freedom – Happiness
----------------

No: ………./……………

[Location and date]

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

INTERNAL CONTROL AND RISK MANAGEMENT

(Year…)

To: the State Bank of Vietnam

(the banking inspection and supervision agency)

A. INTERNAL CONTROL

1. State of internal control

1) Regarding control activities:

a) Internal regulations;

(i) List of internal regulations that have been issued under regulations of the Law on Credit Institutions;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

(iii) Individuals and departments’ compliance with internal regulations;

b) Results of self-inspection and assessment of control activities

2. Regarding management information system and information exchange mechanism:

a) Description of the management information system;

b) Information exchange mechanism;

c) Assessment of the management information system and information exchange mechanism in compliance with regulations in Article 17 of the State Bank Governor’s Circular No /2023/TT-NHNN on internal control system of non-bank credit institution.

3. Weaknesses of the internal control system:

II. Results of remediation of the internal control system’s weaknesses as recommended by the State bank, independent audit organization and other functional agencies, reasons why recommendations have not been implemented, estimated time to complete implementation of such recommendations.

B. RISK MANAGEMENT

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

a) Credit risk management strategy and changes during the reporting period (if any) and reasons for such changes;

b) Credit risk limit and changes during the reporting period (if any) and reasons for such changes;

c) Implementation of the credit risk management strategy and credit risk limit during the reporting period;

d) Assessment of credit risk monitoring and control;

d) Violations against regulations on credit risk management and their causes;

dd) Weaknesses and causes thereof;

e) Results of implementation of recommendations from the State Bank, independent audit organization and other functional agencies about credit risk management, reasons why recommendations have not been implemented, estimated time to complete implementation of such recommendations.

2. Operational risk management:

a) Assessment of identification, monitoring and control of operational risk;

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

c) Assessment of impact of operational risk events and material damage;

d) Assessment of effectiveness of development of the plan to maintain continuous operation;

dd) Weaknesses and causes thereof;

e) Results of implementation of recommendations from the State Bank, independent audit organization and other functional agencies about operational risk management, reasons why recommendations have not been implemented, estimated time to complete implementation of such recommendations.

C. PROPOSALS AND RECOMMENDATIONS TO THE STATE BANK

LEGAL REPRESENTATIVE OF THE NON-BANK CREDIT INSTITUTION
(signature, full name and seal)

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

(Issued together with the State Bank Governor’s Circular No. 14/2023/TT-NHNN dated November 20, 2023 on internal control system of non-bank credit institution)

NAME OF NON-BANK CREDIT INSTITUTION
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence – Freedom – Happiness
----------------

No: ………/……………

[Location and date]

REPORT

INTERNAL AUDIT

(Year…)

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

(the banking inspection and supervision agency)

I. Contents and scope of internal audit

II. Internal audit results

1. Compliance with mechanisms, policies and internal regulations on senior management supervision, internal control, and risk management of the non-bank credit institution.

2. Appropriateness and compliance with law regulations of mechanisms, policies and internal regulations on senior management supervision, internal control, and risk management;

3. Weaknesses and proposals to the Board of Directors, Council of Members, Director General (Director).

4. Other contents (if any).

III. Results of self-assessment of internal audit

1. Assessment of internal audit in the reporting year.

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

3. Recommendations from the Board of Directors, the Council of Members, Director (General Director), other departments and individuals about internal audit, which have been implemented or have not yet been implemented in the reporting year, and reasons why such recommendations have not yet been implemented.

IV. Results of implementation of recommendations about internal audit from the State Bank, independent audit organization and other functional agencies

1. Recommendations implemented.

2. Recommendations which have not yet been implemented, reasons why recommendations have not been implemented, estimated time to complete implementation of such recommendations.

V. Proposals and recommendations to the State bank

HEAD OF THE BOARD OF CONTROLLERS
(Signature, full name, and seal)

LEGAL REPRESENTATIVE OF THE NON-BANK CREDIT INSTITUTION
(signature, full name and seal)

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.

Bạn Chưa Đăng Nhập Thành Viên!

Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Thông tư 14/2023/TT-NHNN ngày 20/11/2023 quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

Tải Văn bản tiếng Việt

Tải Văn bản tiếng Anh (Download English translation)

Tải Văn bản gốc

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Thông tư 44/2011/TT-NHNN, Thông tư 13/2018/TT-NHNN, Thông tư 14/2023/TT-NHNN

21.772

Góp Ý Cho THƯ VIỆN PHÁP LUẬT
Họ & Tên:
Email:
Điện thoại:
Nội dung:

Góp Ý Cho Văn bản Pháp Luật
Họ & Tên:
Email:
Điện thoại:
Nội dung: