MỤC LỤC
CHƯƠNG 1: INTERNET BANKING VÀ QUẢN TRỊ RỦI RO GIAO DỊCH TRONG
INTERNET BANKING
7
I.
NHỮNG VẤN ĐỀ CƠ BẢN VỀ INTERNET BANKING 7
1.
Khái niệm ngân hàng điện tử và Internet banking
2.
3.
4.
7
1.1.
Khái niệm ngân hàng điện tử........................................................................................7
1.2.
Khái niệm Internet banking..........................................................................................7
Các cấp độ Internet banking 8
2.1.
Cấp độ cung cấp thông tin (Informative)......................................................................8
2.2.
Cấp độ trao đổi thông tin (Communicative).................................................................8
2.3.
Cấp độ giao dịch (Transactional).................................................................................9
Ưu và nhược điểm của Internet Banking
9
3.1.
Ưu điểm của Internet banking.......................................................................................9
3.2.
Nhược điểm của Internet banking...............................................................................10
Những tiền đề phát triển Internet banking
11
4.1.
Sự hiểu biết và chấp nhận của công chúng.................................................................11
4.2.
Kết cấu hạ tầng về công nghệ thông tin và truyền thông............................................11
4.3.
Hệ thống cung ứng sản phẩm dịch vụ và thanh toán trực tuyến.................................12
4.4.
Khuôn khổ pháp lý và các chuẩn mực cho Internet banking.......................................12
4.5.
Nguồn nhân lực công nghệ thông tin..........................................................................12
II.
RỦI RO GIAO DỊCH TRONG INTERNET BANKING 13
1.
Khái niệm rủi ro và rủi ro giao dịch trong Internet banking 13
2.
III.
1.1.
Khái niệm rủi ro..........................................................................................................13
1.2.
Khái niệm rủi ro trong Internet banking.....................................................................13
1.3.
Khái niệm rủi ro giao dịch trong Internet banking.....................................................13
Các nhân tố ảnh hưởng
14
2.1.
An toàn thông tin (Security)........................................................................................14
2.2.
Xác thực (Authentication)...........................................................................................15
2.3.
Chứng thực (Trust).....................................................................................................16
2.4.
Không thể thoái thác (Nonrepudiation)......................................................................17
2.5.
Bảo mật thông tin cá nhân (Privacy)..........................................................................17
2.6.
Tính sẵn sàng của hệ thống (Availability)...................................................................17
QUẢN TRỊ RỦI RO GIAO DỊCH 18
1
1.
Khái niệm quản trị rủi ro giao dịch 18
2.
Nội dung quản trị rủi ro giao dịch
3.
Quy trình quản trị rủi ro giao dịch của ngân hàng
18
20
3.1.
Nguyên tắc chung.......................................................................................................20
3.2.
Quản trị hệ thống quản lý Internet banking................................................................20
CHƯƠNG 2: THỰC TRẠNG QUẢN TRỊ RỦI RO GIAO DỊCH TRONG HOẠT
ĐỘNG INTERNET BANKING TẠI CÁC NGÂN HÀNG THƯƠNG MẠI VIỆT NAM
22
I.
TÌNH HÌNH PHÁT TRIỂN INTERNET BANKING TẠI VIỆT NAM 22
1.
Cơ sở pháp lý 22
2.
Cơ sở hạ tầng công nghệ
25
2.1.
Tình hình phổ cập Internet ở Việt Nam hiện nay........................................................25
2.2.
Thực trạng hạ tầng công nghệ....................................................................................25
II.
THỰC TRẠNG ỨNG DỤNG INTERNET BANKING TẠI CÁC NGÂN HÀNG
THƯƠNG MẠI VIỆT NAM
26
1.
Quá trình hình thành và phát triển hệ thống Internet banking tại các ngân hàng
thương mại Việt Nam26
2.
Tính năng của hệ thống Internet banking trong các ngân hàng thương mại Việt
Nam 28
3.
Triển khai Internet banking tại một số ngân hàng thương mại Việt Nam
30
3.1.
Ngân hàng Đông Á.....................................................................................................30
3.2.
Ngân hàng Quốc tế Việt Nam VIBank.........................................................................33
III. THỰC TRẠNG QUẢN TRỊ RỦI RO GIAO DỊCH TRONG HOẠT ĐỘNG
INTERNET BANKING TẠI CÁC NGÂN HÀNG THƯƠNG MẠI VIỆT NAM
34
1.
Thực trạng rủi ro giao dịch trong Internet banking 34
2.
Thực trạng quản trị rủi ro giao dịch trong hoạt động Internet banking tại các ngân
hàng thương mại Việt Nam 36
3.
2.1.
Quản trị hệ thống an toàn thông tin............................................................................36
2.2.
Khả năng cung cấp dịch vụ.........................................................................................37
Đánh giá chung về thực trạng quản trị rủi ro giao dịch trong Internet banking
38
2
CHƯƠNG 3: GIẢI PHÁP NHẰM TĂNG CƯỜNG CÔNG TÁC QUẢN TRỊ RỦI RO
GIAO DỊCH TRONG HOẠT ĐỘNG INTERNET BANKING TẠI CÁC NGÂN
HÀNG THƯƠNG MẠI VIỆT NAM
43
I.
SỰ CẦN THIẾT QUẢN TRỊ RỦI RO GIAO DỊCH TRONG INTERNET
BANKING
43
II.
CÁC GIẢI PHÁP TĂNG CƯỜNG CÔNG TÁC QUẢN TRỊ RỦI RO GIAO
DỊCH TRONG INTERNET BANKING 44
1.
2.
Nhóm giải pháp vĩ mô của Nhà nước
44
1.1.
Hiện đại hóa cơ sở hạ tầng công nghệ thông tin.........................................................44
1.2.
Nâng cao nhận thức của xã hội về an ninh mạng.......................................................44
1.3.
Hoàn thiện hành lang pháp lí.....................................................................................45
1.4.
Tăng cường quản lí của Nhà nước..............................................................................45
1.5.
Tăng cường hợp tác quốc tế trên lĩnh vực an ninh mạng............................................46
Nhóm giải pháp đối với các ngân hàng thương mại 46
2.1.
Có chiến lược đầu tư hợp lí cho hạ tầng cơ sở và công nghệ bảo mật........................46
2.2.
Cải thiện hệ thống Internet banking hướng đến các mục tiêu cụ thể nhằm hạn chế rủi
ro giao dịch............................................................................................................................47
2.3.
Xây dựng mới các quy tắc và tập quán bảo mật cho ngân hàng.................................49
2.4.
Quản lí chặt chẽ quá trình triển khai và kiểm tra hệ thống công nghệ cung cấp dịch vụ
....................................................................................................................................51
2.5.
Bảo đảm khả năng khôi phục và duy trì tính liên tục của hệ thống.............................51
2.6.
Quản lý quy trình gia công sản phẩm dịch vụ Internet banking..................................52
2.7.
Nâng cao nhận thức về an ninh mạng của khách hàng...............................................53
2.8.
Nâng cao trình độ nguồn nhân lực..............................................................................54
KẾT LUẬN 55
3
DANH MỤC CÁC TỪ TIẾNG ANH
BKIS
Trung tâm an ninh mạng đại học Bách khoa Hà Nội
Crack
Bẻ khóa chương trình
Firewall
Tường lửa
File
Tệp tin
Hacker
(Tin tặc) Người thâm nhập vào phần cứng, phần mềm, hay mạng
máy tính để thay đổi hệ thống đó
ID
Tên truy cập
ID-theft
Ăn cắp thông tin nhận dạng
MAS
MIM- Man in
Middle
Ngân hàng trung ương Singapore
Phương thức tấn công mạng máy tính qua trung gian
PasswordMật Mật mã truy cập
mã sử dụng
một lần
OTPOne
time password
Phishing,
Pharming
Một hoạt động phạm tội dùng các kĩ thuật lừa đảo
PIN- Personal Nhận dạng cá nhân
Indentification
Number
Token
Thiết bị điện tử sinh mật khẩu ngẫu nhiên
Trojan
Một loại phần mềm độc hại
USB
Thẻ nhớ
Virus
Những chương trình hay đoạn mã được thiết kế để tự nhân bản và
sao chép chính nó vào các đối tượng lây nhiễm khác (ổ đĩa, máy
tính, tệp tin,…)
VNCERT
Trung tâm ứng cứu khẩn cấp máy tính Việt Nam
Website
Trang web, trang mạng
4
LỜI MỞ ĐẦU
Cuộc cách mạng công nghệ thông tin đang có tác động to lớn đến nền kinh tế
thế giới. Thành quả của cuộc cách mạng này đã và đang ảnh hưởng sâu sắc đến
phương thức sản xuất, phân phối, tiêu dùng nói chung và làm thay đổi liên tục các
sản phẩm, dịch vụ áp dụng trong quản lý- kinh doanh của các ngân hàng thương
mại nói riêng. Ngày nay, việc xây dựng chiến lược kinh doanh của các ngân hàng
thường được gắn liền với xây dựng chiến lược phát triển và ứng dụng công nghệ
thông tin. Internet banking là một thành quả của việc ứng dụng công nghệ thông tin
trong lĩnh vực ngân hàng. Thông qua Internet banking, những rào cản hay giới hạn
về không gian và thời gian thực sự bị phá vỡ, từ đó, các ngân hàng có thể thỏa mãn
khách hàng của mình với nhiều dịch vụ mới chất lượng cao, tiện lợi, nhanh chóng
và tiết kiệm, đặc biệt là trong các giao dịch thanh toán. Tuy nhiên, những tiện ích
của Internet banking lại đi kèm với rủi ro giao dịch bao gồm sự không sẵn sàng của
hệ thống và nguy cơ về an ninh mạng. Rủi ro giao dịch đã tạo nên tâm lí e ngại cho
các ngân hàng thương mại cũng như khách hàng, là một trong những nguyên nhân
chính cản trở sự phát triển dịch vụ Internet banking ở Việt Nam.
Việt Nam đang trong quá trình hội nhập với nền kinh tế thế giới, trong đó tài
chính ngân hàng là lĩnh vực có tốc độ hội nhập nhanh nhất. Những tiện ích mà
Internet banking cũng như các dịch vụ trực tuyến khác mang lại thực sự là công cụ
cạnh tranh hữu hiệu cho các ngân hàng trong nước trong cuộc chạy đua với ngân
hàng nước ngoài đang ngày càng thâm nhập sâu và thị trường Việt Nam. Do đó,
việc nghiên cứu và triển khai nhanh chóng, đồng bộ các giải pháp để hạn chế rủi ro
giao dịch, thúc đẩy dịch vụ Internet banking phát triển trong các ngân hàng thương
mại Việt Nam thực sự trở nên cấp thiết hơn bao giờ hết.
Sau một thời gian tìm hiểu về thực trạng rủi ro giao dịch trong hoạt động
Internet banking tại các ngân hàng thương mại Việt Nam, cũng như nhận thức được
5
tính cấp thiết của vấn đề này, nhóm đã lựa chọn đề tài: “Quản trị rủi ro giao dịch
trong Internet banking tại các ngân hàng thương mại Việt Nam”.
Cấu trúc của báo cáo bao gồm 03 chương:
Chương 1: Internet banking và quản trị rủi ro giao dịch trong Internet banking
Chương 2: Thực trạng quản trị rủi ro giao dịch trong hoạt động Internet
banking tại các ngân hàng thương mại Việt Nam
Chương 3: Giải pháp nhằm tăng cường công tác quản trị rủi ro giao dịch
trong hoạt động Internet banking tại các ngân hàng thương mại Việt Nam.
Đây là một đề tài mới nên trong quá trình nghiên cứu có thể còn nhiều sai sót.
Nhóm thực hiện rất mong nhận được góp ý của quý thầy cô để bài nghiên cứu hoàn
thiện hơn. Nhóm thực hiện xin chân thành cảm ơn sự giúp đỡ của quý thầy cô trong
quá trình hoàn thiện bài báo cáo này.
6
CHƯƠNG 1: INTERNET BANKING VÀ QUẢN TRỊ RỦI RO GIAO
DỊCH TRONG INTERNET BANKING (Rút gọn chương này, tối đa còn 10
trang)
I. NHỮNG VẤN ĐỀ CƠ BẢN VỀ INTERNET BANKING
1. Khái niệm ngân hàng điện tử và Internet banking
1.1. Khái niệm ngân hàng điện tử
Ngân hàng điện tử hay còn gọi là ngân hàng trực tuyến, được hiểu là “khả năng của
một khách hàng có thể truy cập từ xa vào một ngân hàng nhằm thu thập thông tin, thực
hiện các giao dịch tài chính dựa trên các tài khoản đã đăng kí trước đó tại ngân hàng”.
Các dịch vụ ngân hàng điện tử đã áp dụng tại Việt Nam bao gồm: dịch vụ ngân
hàng qua mạng Internet (Internet banking), dịch vụ ngân hàng tại nhà (Home
banking); dịch vụ ngân hàng tự động qua điện thoại (Phone banking); dịch vụ ngân
hàng qua điện thoại di động (Mobile banking); và dịch vụ Kiosk ngân hàng.
1.2.
Khái niệm Internet banking
Internet banking là một trong những kênh phân phối các sản phẩm dịch vụ của
ngân hàng thương mại. Hệ thống cho phép khách hàng truy cập các tài khoản giao
dịch cũng như các thông tin chung về sản phẩm và dịch vụ của ngân hàng thông
qua một máy tính cá nhân hay một thiết bị thông minh khác. Internet banking sử
dụng môi trường truyền thông Internet, cung cấp thông tin và thực hiện giao dịch
tức thời (online). Để sử dụng Internet banking, khách hàng cần có máy tính, thiết bị
truy cập mạng. Khách hàng, thông qua trình duyệt web, gọi thực hiện các chương
trình trên máy chủ trên Internet tại máy tính của mình để truy cập vào tài khoản và
thực hiện các giao dịch với ngân hàng. Phần mềm Internet banking thực sự nằm tại
máy chủ của ngân hàng dưới dạng các trang chủ. Mỗi trang chủ của ngân hàng
được coi là một cửa sổ giao dịch. Mỗi cú nhấp chuột đơn giản vào đường liên kết
thích hợp sẽ tạo ra kết nối với trình duyệt và yêu cầu trang web thực hiện yêu cầu
giao dịch tài chính của khách hàng.
Sản phẩm và dịch vụ Internet banking cũng có thể bao gồm các sản phẩm bán
buôn cho khách hàng doanh nghiệp cũng như các sản phẩm bán lẻ cho khách hàng
7
cá nhân. Về cơ bản, Internet banking có thể cung cấp các sản phẩm và dịch vụ như
các kênh phân phối khác của ngân hàng thương mại như: quản lí tiền mặt, điện
chuyển tiền, giao dịch thanh toán bù trừ tự động, xuất trình và thanh toán hóa
đơn… cho khách hàng doanh nghiệp; truy vấn số dư tài khoản, chuyển khoản, tra
cứu thông tin giao dịch, xin cấp tín dụng, hoạt động đầu tư… cho khách hàng cá
nhân. Với Internet banking ngân hàng còn có thể kết hợp với các doanh nghiệp bán
hàng qua mạng để xây dựng cổng thanh toán qua mạng, đây là hình thức thanh toán
nhanh chóng, tiện lợi và là động lực thúc đẩy thương mại điện tử và thanh toán
không dùng tiền mặt phát triển.
2. Các cấp độ Internet banking
Cho đến nay, các sản phẩm Internet banking được chia thành ba cấp độ:
2.1.
Cấp độ cung cấp thông tin (Informative)
Đây là cấp độ thấp nhất của Internet banking, ở hình thức này, ngân hàng cung cấp
các thông tin về sản phẩm và dịch vụ của ngân hàng trên trang web, toàn bộ thông tin
này được lưu trữ trên một máy chủ (server) hoàn toàn độc lập với hệ thống dữ liệu của
ngân hàng. Rủi ro tương đối thấp vì không có liên kết giữa máy chủ Internet banking
và mạng nội bộ của ngân hàng. Ngân hàng có thể tự cung cấp dịch vụ Internet banking
này hoặc thuê một đơn vị khác. Mặc dù ít rủi ro cho các ngân hàng, máy chủ hay trang
web vẫn có thể bị tấn công, trang web của ngân hàng có nguy cơ bị thay thế hoặc sửa
đổi. Rủi ro đáng quan tâm đối với loại hình Internet banking này là khả năng bị tấn
công dưới hình thức từ chối dịch vụ hay thay đổi nội dung.
2.2.
Cấp độ trao đổi thông tin (Communicative)
Hình thức Internet banking này cho phép một số tương tác giữa hệ thống của
ngân hàng và khách hàng. Các tương tác có thể chỉ giới hạn ở thư điện tử, truy vấn
thông tin tài khoản, xin cấp tín dụng, hay cập nhật dữ liệu (thay đổi tên và địa chỉ).
Hình thức này có rủi ro cao hơn hình thức thông tin do các máy chủ Internet
banking có thể được kết nối với mạng nội bộ của ngân hàng. Do đó, cần có các biện
pháp kiểm soát thích hợp để ngăn ngừa, theo dõi và cảnh báo về những truy cập trái
8
phép hệ thống máy tính và mạng nội bộ của ngân hàng. Việc kiểm soát virus tấn
công cũng quan trọng hơn nhiều so với hình thức thông tin.
2.3.
Cấp độ giao dịch (Transactional)
Internet banking ở cấp độ này cho phép khách hàng thực hiện các giao dịch với
ngân hàng. Đây là hình thức Internet banking có rủi ro cao nhất và cần được kiểm
soát chặt chẽ do máy chủ được kết nối với mạng nội bộ của ngân hàng hoặc của
đơn vị gia công phần mềm. Khách hàng có thể thực hiện các giao dịch, bao gồm
truy cập tài khoản, thanh toán hóa đơn, chuyển tiền.
3. Ưu và nhược điểm của Internet Banking
3.1. Ưu điểm của Internet banking
a) Ưu điểm đối với khách hàng
Tiện lợi: Internet banking giúp cho khách hàng có thể liên lạc với ngân hàng
một cách nhanh chóng, thuận tiện để thực hiện một số nghiệp vụ ngân hàng tại bất
kì thời điểm nào (24 giờ mỗi ngày, 7 ngày trên tuần) và ở bất cứ nơi đâu. Điều này
đặc biệt có ý nghĩa đối với các khách hàng có ít thời gian để đi đến văn phòng trực
tiếp giao dịch với ngân hàng, các doanh nghiệp nhỏ và vừa, khách hàng cá nhân có
số lượng giao dịch với ngân hàng không nhiều, số tiền mỗi lần giao dịch không lớn.
Đây là lợi ích mà các giao dịch ngân hàng kiểu truyền thống khó có thể đạt được.
Nhanh chóng: Internet banking cho phép khách hàng thực hiện và xác nhận
các giao dịch với độ chính xác cao rất nhanh chỉ trong vài giây.
Tiết kiệm chi phí: chi phí cho các giao dịch qua mạng ít hơn rất nhiều so với
giao dịch trực tiếp tại các chi nhánh ngân hàng do khách hàng không phải tốn chi
phí đi lại cũng như không phải trả phí dịch vụ cho ngân hàng.
Chính xác: khách hàng có thể truy cập và thao tác bằng máy tính, không
phải tùy thuộc vào thái độ phục vụ khác nhau của các nhân viên ngân hàng.
b) Ưu điểm đối với ngân hàng
Tiết kiệm chi phí: ngân hàng có thể tiết kiệm chi phí do không phải tổ chức
và trang bị cho văn phòng giao dịch, không phải thuê nhân viên giao dịch trực tiếp.
9
Đồ thị 1: Chi phí đầu tư cho việc phục vụ 01 khách hàng
(Nguồn: Theo báo cáo Hiện đại hóa công nghệ ngân hàng và quản trị nội bộ
- Công ty hệ thống thông tin FPT)
Mở rộng phạm vi địa lí: Internet banking cho phép các ngân hàng tiếp cận
các khách hàng ở rất xa trụ sở ngân hàng. Trên thực tế, có nhiều ngân hàng chỉ
cung cấp sản phẩm dịch vụ trên mạng mà không cần văn phòng giao dịch.
Giúp cung cấp sản phẩm đa dạng cho khách hàng: nhờ có Internet banking
khách hàng có thể dễ dàng tiếp cận nhiều sản phẩm và dịch vụ tài chính của ngân
hàng sẵn có qua mạng.
3.2. Nhược điểm của Internet banking
a) Nhược điểm đối với khách hàng
Mất thời gian đăng kí và tự nghiên cứu sản phẩm: để đăng kí giao dịch
Internet banking với ngân hàng, khách hàng có thể phải cung cấp tên truy cập (ID)
và kí vào mẫu đơn ở một chi nhánh ngân hàng. Khách hàng cũng có thể gặp khó
khăn khi truy cập trang web của ngân hàng lần đầu, vì thế sẽ phải bỏ thời gian và
công sức để nghiên cứu trước khi sử dụng dịch vụ.
Thiếu tin tưởng: đối với nhiều người, trở ngại lớn nhất của Internet banking là
làm sao để an tâm khi sử dụng kênh phân phối này. Sẽ có những hoài nghi về sự thành
công của giao dịch, cách thao tác bàn phím máy tính… Cách tốt nhất là luôn in các
10
biên nhận giao dịch và giữ lại cùng với chứng từ ngân hàng cho tới khi các giao dịch
này được cập nhật trên trang thông tin cá nhân hay trên bản sao kê của ngân hàng.
Thiếu thông tin cập nhật: qua Internet banking khách hàng nhận được thông
tin không đầy đủ như qua một cán bộ chuyên trách của ngân hàng. Khách hàng sẽ
mất đi cơ hội trao đổi thông tin với bạn hàng, nắm bắt tình hình mới, cập nhật tại
nơi giao dịch của ngân hàng.
b) Nhược điểm đối với ngân hàng
Vốn đầu tư lớn: để xây dựng hệ thống Internet banking đòi hỏi phải có lượng
vốn đầu tư ban đầu khá lớn để lựa chọn được công nghệ hiện đại, đúng định hướng,
ngoài ra còn có các chi phí cho hệ thống dự phòng, chi phí bảo trì, duy trì và phát
triển hệ thống, đổi mới công nghệ sau này.
Rủi ro: Internet banking chưa đựng trong nó nhiều rủi ro, đặc biệt là rủi ro
giao dịch. Đây là một trong những lí do chính cản trở khách hàng và các ngân hàng
thương mại đến với dịch vụ này.
4. Những tiền đề phát triển Internet banking
4.1. Sự hiểu biết và chấp nhận của công chúng
Khách hàng thường quen với cách giao dịch trực tiếp và thanh toán bằng tiền
mặt. Thay đổi thói quen này của khách hàng không phải là điều đơn giản. Hơn nữa,
Internet banking cũng là một kênh phân phối mới, muốn sử dụng phải tìm hiểu nên
không dễ để thuyết phục khách hàng sử dụng. Do đó, sự hiểu biết của công chúng
về Internet banking và các lợi ích của dịch vụ này là điều cần thiết. Các ngân hàng
cần phải có những chiến dịch phổ biến làm cho khách hàng hiểu rõ ưu điểm cũng
như hướng dẫn họ sử dụng dịch vụ này.
4.2.
Kết cấu hạ tầng về công nghệ thông tin và truyền thông
Để phát triển Internet banking trước tiên cần phải có một kết cấu hạ tầng về
công nghệ thông tin và truyền thông phát triển. Internet banking được cung cấp
dựa trên sự rộng khắp, phổ biến của mạng Internet. Những tiến bộ nhanh chóng
trong ngành công nghệ thông tin và truyền thông thời gian qua đã tạo tiền đề cho
hoạt động Internet banking.
11
Kết cấu hạ tầng về công nghệ thông tin và truyền thông phát triển sẽ giúp tạo ra
sự thuận tiện, chính xác, nhanh chóng và an toàn của hệ thống mạng. Một khi
khách hàng đã từ bỏ thói quen giao dịch trực tiếp và chấp nhận phương thức giao
dịch qua Internet, hiểu rõ ưu điểm, có đủ kiến thức và kĩ năng để thực hiện giao
dịch thì mong muốn sử dụng các dịch vụ Internet Banking sẽ phụ thuộc vào sự
thuận tiện, nhanh chóng, chính xác và an toàn mà dịch vụ đó có thể bảo đảm.
4.3.
Hệ thống cung ứng sản phẩm dịch vụ và thanh toán trực tuyến
Internet banking sẽ không thể phát triển khi không có một hệ thống cung ứng
hàng hóa, dịch vụ và thanh toán trực tuyến. Hàng hóa ở đây có thể bao gồm hàng
hóa thông thường hoặc hàng hóa điện tử như tài liệu điện tử, ảnh hoặc nhạc. Tương
tự, dịch vụ ở đây có thể là các dịch vụ truyền thống như khách sạn hoặc đặt vé,
cũng có thể là các dịch vụ điện tử như phân tích thị trường dưới dạng điện tử.
Chính sự phát triển của hệ thống này đã thúc đẩy Internet banking phát triển.
4.4.
Khuôn khổ pháp lý và các chuẩn mực cho Internet banking
Internet banking là một hình thức cung ứng dịch vụ ngân hàng mới, do đó đòi
hỏi các khuôn khổ pháp lí mới. Internet banking chỉ có thể triển khai được hiệu quả
và an toàn khi được công nhận về mặt pháp lí. Do đó cần phải xây dựng và hoàn
thiện khuôn khổ pháp lí và các chuẩn mực cho Internet banking.
4.5.
Nguồn nhân lực công nghệ thông tin
Hệ thống Internet banking đòi hỏi một lực lượng lớn lao động được đào tạo tốt
về công nghệ thông tin và truyền thông để cung cấp các ứng dụng cần thiết, đáp
ứng yêu cầu hỗ trợ và chuyển giao các tri thức thích hợp. Thiếu các kĩ năng để làm
việc trên Internet và làm việc với các phương tiện hiện đại, hạn chế về khả năng sử
dụng tiếng Anh- ngôn ngữ căn bản của Internet cũng là những trở ngại cho việc
phát triển Internet banking.
II. RỦI RO GIAO DỊCH TRONG INTERNET BANKING
1. Khái niệm rủi ro và rủi ro giao dịch trong Internet banking
1.1. Khái niệm rủi ro
12
Rủi ro là sự kiện xảy ra ngoài ý muốn và ảnh hưởng đến hoạt động kinh doanh
của doanh nghiệp. Rủi ro thường dẫn đến thiệt hại; do vậy, nhận thức rõ rủi ro, đề
ra những biện pháp phòng chống hữu hiệu để hạn chế thấp nhất rủi ro luôn là vấn
đề ưu tiên hàng đầu của các doanh nghiệp. Việc kiểm soát rủi ro là quá trình phối
hợp giữa những hoạt động nghiệp vụ, giữa những chính sách nội bộ, những thỏa
thuận hợp đồng với các cơ quan bảo hiểm. Cũng như tiến hành các biện pháp tự
bảo hiểm và các biện pháp khác để giảm bớt những chi phí, thiệt hại có thể tới.
1.2.
Khái niệm rủi ro trong Internet banking
Rủi ro trong Internet banking là những sự kiện xảy ra ngoài ý muốn trong quá
trình sử dụng dịch vụ Internet banking của ngân hàng. Có nhiều dạng rủi ro, như:
rủi ro tín dụng, rủi ro giao dịch, rủi ro lãi suất, rủi ro thanh khoản…Các rủi ro đều
có tác động nhất định tới ngân hàng cũng như khách hàng, vì thế, các ngân hàng
nên có biện pháp bảo vệ bản thân ngân hàng, cũng như khách hàng khỏi những sự
kiện đáng tiếc khi giao dịch Internet banking.
1.3.
Khái niệm rủi ro giao dịch trong Internet banking
Rủi ro giao dịch là rủi ro hiện tại và tiềm tàng đối với thu nhập và vốn của ngân
hàng phát sinh do sự gian lận, sai sót, hoặc do mất khả năng cung cấp sản phẩm hay
dịch vụ, duy trì lợi thế cạnh tranh và quản lý thông tin. Rủi ro giao dịch tiềm ẩn
trong mỗi sản phẩm, dịch vụ được cung cấp, bao gồm:
Tài khoản dịch vụ giả mạo: là tài khoản dịch vụ do các tổ chức hoặc cá nhân
làm giả, căn cứ vào các thông tin có được từ việc đánh cắp các dữ liệu từ tài khoản
dịch vụ của cá nhân hoặc tổ chức thật.
Rủi ro do hệ thống kỹ thuật: do lỗi phát sinh trong quá trình vận hành hệ
thống, lỗi phần cứng, phần mềm từ phía ngân hàng hoặc từ phía đối tác thứ 3 dẫn đến
việc các giao dịch được thực hiện bị lỗi, hoặc không được thực hiện thành công, hoặc
giao dịch bị thất lạc, hoặc bị ngân hàng xử lý chậm hơn so với thời gian ngân hàng
cam kết, hoặc thông tin giao dịch bị phản ánh sai so với thông tin thực v.v…
Rủi ro nghiệp vụ: do cán bộ ngân hàng thực hiện xử lý chậm trễ hoặc sai
lệch thông tin giao dịch của khách hàng, hoặc khai báo thông tin đăng ký dịch vụ
13
của khách hàng thiếu chính xác dẫn đến việc khách hàng không được sử dụng dịch
vụ với đúng các quyền và hạn mức giao dịch đã đăng ký với ngân hàng (có thể bị
thiếu hoặc thừa quyền/hạn mức giao dịch).
Thao tác thanh toán nhầm:Chủ tài khoản do vô ý thanh toán hoặc chuyển
tiền nhầm tài khoản người khác gây mất mát.
2. Các nhân tố ảnh hưởng
Khi sử dụng Internet banking để quản kí tài khoản hay chuyển tiền, khách hàng
mong đợi thông điệp đi đến đích mà không bị mắc lỗi hay bị gián đoạn, mong đợi
hệ thống an toàn, không bị thâm nhập bất hợp pháp hay giả mạo. Khách hàng mong
đợi không chỉ quy trình thực hiện an toàn mà còn những biện pháp kiểm soát đầy
đủ đối với các phương tiện trong Internet banking.
Vì thế, một trong những thách thức chính cho các nhà cung cấp dịch vụ qua
Internet banking là tính an toàn và bảo mật dữ liệu, cả đối với khách hàng lẫn ngân
hàng. Quản lí các sản phẩm và dịch vụ cung cấp thông qua Internet banking nhằm
tránh rủi ro giao dịch là vô cùng quan trọng nhằm duy trì lòng tin của công chúng
không chỉ đối với một ngân hàng mà đối với cả hệ thống ngân hàng. Các nhân tố
ảnh hưởng đến rủi ro giao dịch khi ứng dụng Internet banking bao gồm:
2.1.
An toàn thông tin (Security)
An toàn thông tin là một vấn đề đáng quan tâm trong Internet banking. Các
ngân hàng cần đảm bảo mức độ an toàn tương xứng với độ nhạy cảm của thông tin
và với khả năng chịu đựng rủi ro của bản thân ngân hàng.
Việc truy cập vào hệ thống của ngân hàng thông qua Internet rất dễ bị thâm
nhập và thay đổi. Các ngân hàng phải có hệ thống kiểm soát nội bộ thích hợp nhằm
ngăn ngừa, dò tìm và sửa chữa để tránh các trường hợp vi phạm, đảm bảo an toàn
cho hệ thống và thông tin mà hệ thống đó quản lý.
14
Tường lửa (Firewall)1 là biện pháp an ninh thường được sử dụng trong Internet
banking để bảo vệ hệ thống mạng nội bộ. Nó có thể kiểm tra và xác định liệu các
truyền tải dữ liệu đó có mang những tệp tin (file) đính kèm bất hợp lệ không, chẳng
hạn virus. Tuy nhiên, chỉ một mình Firewall thôi thì không đủ để đảm bảo an toàn
và Firewall không phải là bất khả xâm phạm. Ngân hàng cũng cần có những biện
pháp kiểm soát khác đi kèm với Firewall để đảm bảo an toàn thông tin cho hệ thống
Internet banking của mình.
2.2.
Xác thực (Authentication)
Xác thực cũng là một yếu tố nhằm tránh rủi ro giao dịch trong Internet banking.
Các giao dịch trên Internet phải được bảo vệ để nâng cao lòng tin của công chúng.
Trong môi trường mạng cũng như trong thế giới hữu hình, khách hàng, ngân hàng
và các doanh nghiệp cần được bảo đảm rằng họ sẽ nhận được các sản phẩm và dịch
vụ như họ yêu cầu, và rằng họ biết rõ nhận dạng của người đang giao dịch với họ.
Một số giải pháp xác thực thường được sử dụng hiện nay là: xác thực bằng số PIN,
mã hóa dữ liệu, sử dụng các công cụ sinh trắc học.
Xác thực bằng số PIN: Số PIN (Personal Identification Number) là mã số
nhận dạng cá nhân duy nhất cho từng khách hàng. Khi truy cập vào tài khoản của
mình, khách hàng phải nhập số PIN, ngân hàng sẽ kiểm tra tính thống nhất về tên,
số tài khoản của khách hàng với số PIN khách hàng vừa nhập vào. Nếu mọi thông
tin đều khớp đúng, khách hàng có thể thực hiện giao dịch với ngân hàng. Số PIN
cần được giữ bí mật.
Mã hóa dữ liệu: Có hai phương thức mã hóa dữ liệu cơ bản là mã hóa đối
xứng và mã hóa không đối xứng, được sử dụng để phục vụ cho các mục đích khác
nhau. Phương thức thứ nhất nhằm mục đích bảo đảm tính bí mật của thông tin,
phương thức thứ hai để kiểm tra danh tính của các bên tham gia giao dịch. Cả hai
Firewall được đặt giữa hai hệ thống mạng mà giao dịch được truyền qua, bất kể hướng giao dịch
1
là từ khách hàng đến ngân hàng hay ngược lại. Nó tạo ra một cửa ngõ để ngăn chặn những xâm
nhập bất hợp pháp vào hệ thống của ngân hàng. Firewall có thể kiểm tra tất cả các truyền tải dữ
liệu để đảm bảo tính hợp lệ và để ngăn ngừa các truyền tải dữ liệu ngoài ý muốn đi vào hệ thống.
15
phương thức thường được dùng chung với nhau để bảo vệ thông điệp dữ liệu đồng
thời xác thực các bên tham gia giao dịch.
Công nghệ bảo mật bằng sinh trắc học được phát triển dựa trên các đặc
điểm sinh học và hành vi đặc trưng của con người. Đây là phương thức xác thực
tinh vi hơn, khắc phục được các điểm yếu của phương thức sử dụng PIN truyền
thống là số PIN dễ bị quên hay bị đánh cắp. Có nhiều công cụ sinh trắc học đã được
nghiên cứu phát triển và ứng dụng, như: quét võng mạc, dấu vân tay, giọng nói.
2.3. Chứng thực (Trust)
Chứng thực là một vấn đề khác trong Internet banking. Như trên đã đề cập, hệ
thống mã hóa sử dụng khóa riêng và khóa chung có thể được sử dụng để bảo vệ
thông tin và các bên giao dịch trên mạng. Cần có một bên thứ ba trong quy trình
này, đó là cơ quan cấp chứng nhận.
Cơ quan cấp chứng nhận là một bên thứ ba đóng vai trò chứng thực có trách
nhiệm xác minh nhân dạng trong môi trường mạng. Xuất phát từ ý tưởng cơ bản là
một ngân hàng hay một bên thứ ba khác sử dụng uy tín của mình để công nhận các
bên tham gia giao dịch. Cơ quan này đóng vai trò tương tự như vai trò của ngân
hàng trong thư tín dụng, khi mà các bên mua và bán không biết về nhau nhưng
ngân hàng lại biết rõ họ.
Các ngân hàng cũng cần có cách chứng thực mình trong môi trường mạng vì đã
xảy ra hiện tượng ăn cắp nhân dạng. Internet ngày càng phát triển, do đó, các ngân
hàng phải tự bảo vệ mình khỏi các gian lận và giả mạo. Một sự kết hợp tốt giữa
những biện pháp phòng ngừa, dò tìm và sửa chữa sẽ giúp ngân hàng tránh được
những cạm bẫy này. Chứng nhận điện tử có thể đóng vai trò quan trọng trong việc
xác thực các bên giao dịch và nhờ đó xây dựng lòng tin vào Internet banking.
2.4.
Không thể thoái thác (Nonrepudiation)
Một vấn đề quan trọng khác nhằm hạn chế rủi ro giao dịch trong Internet banking
là vấn đề không thể thoái thác. Đó là chứng cứ không thể chối cãi cho thấy cả người
gửi và người nhận đã tham gia giao dịch. Vì mục đích tạo bằng chứng giao dịch,
16
người ta đã phát triển công nghệ mã hóa dùng khóa chung, để xác minh các thông
điệp điện tử và ngăn chặn việc người gửi hay người nhận phủ nhận giao dịch.
2.5.
Bảo mật thông tin cá nhân (Privacy)
Vấn đề bảo mật thông tin cá nhân ngày càng trở nên quan trọng. Mối quan tâm
của công chúng đối với việc thu thập và sử dụng các thông tin cá nhân có xu hướng
gia tăng trong thời đại phát triển thương mại điện tử và Internet. Những ngân hàng
chủ động trong việc nhận ra và đáp ứng tốt vấn đề bảo mật thông tin của khách
hàng sẽ tạo ra lợi thế cho ngân hàng cũng như lợi ích cho khách hàng của mình.
2.6.
Tính sẵn sàng của hệ thống (Availability)
Tính sẵn sàng của hệ thống cũng là một yếu tố giúp xây dựng lòng tin của công
chúng vào môi trường mạng. Những yếu tố nêu trên đây sẽ là vô nghĩa nếu hệ
thống mạng không sẵn sàng liên tục và tiện lợi cho khách hàng. Người sử dụng
luôn mong muốn một hệ thống mạng sẵn sàng 24h/ ngày và 7 ngày/ tuần.
Các ngân hàng cần chắc chắn rằng họ có đủ năng lực cả phần cứng lẫn phần
mềm để có thể cung ứng dịch vụ Internet banking. Thêm vào đó, kĩ thuật theo
dõi quá trình thực hiện sẽ cung cấp các thông tin như khối lượng lưu thông, thời
gian giao dịch, và thời gian khách hàng phải chờ đợi. Việc theo dõi khả năng,
thời gian chết, và sự thực hiện thường xuyên sẽ giúp đảm bảo tính tiện lợi và sẵn
sàng của hệ thống Internet banking.
Đánh giá các điểm yếu của hệ thống mạng để ngăn ngừa các gián đoạn do
linh kiện hư hỏng cũng là điều quan trọng. Cả hệ thống mạng có thể không hoạt
động chỉ vì một linh kiện phần cứng hay một module phần mềm nhỏ không hoạt
động. Thường thì các ngân hàng sẽ sử dụng phần cứng dự trữ hay chuyển sang
các điểm xử lí dự phòng.
17
III.
QUẢN TRỊ RỦI RO GIAO DỊCH
1. Khái niệm quản trị rủi ro giao dịch
Quản trị rủi ro giao dịch dự tính khả năng rủi ro có thể xảy ra liên quan đến giao dịch
và sử dụng các công cụ để điều chỉnh mức độ rủi ro thực sự mong muốn của ngân hàng.
2. Nội dung quản trị rủi ro giao dịch
Rủi ro giao dịch là rủi ro hiện tại và tiềm tàng đối với thu nhập và vốn của ngân
hàng phát sinh do sự gian lận, sai sót, hoặc do mất khả năng cung cấp sản phẩm hay
dịch vụ, duy trì lợi thế cạnh tranh và quản lí thông tin. Rủi ro giao dịch luôn có trong
mỗi sản phẩm và dịch vụ ngân hàng cung cấp và tiềm ẩn trong việc phát triển và
cung ứng sản phẩm, xử lí giao dịch, ước tính và triển khai hệ thống, tính phức tạp
của sản phẩm và dịch vụ, và môi trường kiểm soát nội bộ.
Các sản phẩm Internet banking có mức độ rủi ro giao dịch cao, đặc biệt là khi quy
trình cung cấp sản phẩm không được hoạch định, thực hiện và theo dõi đầy đủ. Các
ngân hàng có cung cấp sản phẩm và dịch vụ qua Internet có thể gặp rủi ro khi không
đảm bảo đủ khả năng cung cứng các dịch vụ chính xác, kịp thời và đáng tin cậy để
làm cho khách hàng tin tưởng hơn vào thương hiệu của mình. Khách hàng giao dịch
qua Internet thường ít kiên nhẫn với những thiếu sót của ngân hàng, ngược lại, cái họ
mong đợi là sản phẩm luôn có sẵn liên tục và trang web dễ sử dụng.
Rủi ro giao dịch còn xuất hiện khi có các cuộc tấn công và thâm nhập vào máy
tính và hệ thống mạng của ngân hàng. Rủi ro thuộc thể loại này phụ thuộc nhiều
vào yếu tố khách quan nên rất khó phòng tránh và khắc phục và hậu quả là không
thể lường trước được. Có thể chỉ là một sự mất mát thông tin cá nhân hoặc cũng có
thể là một vụ đánh cắp tài khoản với giá trị vô cùng lớn.
Có nhiều kiểu tấn công trực tuyến. Các cuộc tấn công trực tuyến có thể nhằm
vào các đối tượng khác nhau. Kẻ tấn công có thể khai thác những điểm yếu trong
hệ thống điều hành, hoặc cố gắng nhiều lần để thâm nhập bất hợp pháp vào trang
web trong thời gian ngắn và ngăn cản cung cấp dịch vụ cho các khách hàng. Các
kiểu tấn công trực tuyến có thể bao gồm:
18
Nghe lén (Sniffers): đây là phần mềm dùng để theo dõi các thao tác gõ bàn
phím từ một máy tính cá nhân. Phần mềm này có thể đánh cắp tên truy cập (ID) và
mật khẩu (password).
Đoán mật khẩu (Guessing password): sử dụng phần mềm này để kiểm tra tất
cả các khả năng kết hợp có thể xảy ra để truy cập vào hệ thống mạng.
Vét cạn (Brute force): kĩ thuật đánh cắp các thông tin đã được mã hóa, sau
đó sử dụng phần mềm để bẻ khóa và giải mã thông điệp (tên truy cập, mật khẩu).
Gọi ngẫu nhiên (Random dialing): kĩ thuật này được dùng để gọi tất cả các số
điện thoại có thể khi có một giao dịch với ngân hàng. Mục đích là để tìm xem modem
nào đang được kết nối với hệ thống của ngân hàng, đây có thể là một mục tiêu tấn công.
Lừa đảo (Social engineering): kẻ tấn công gọi đến ngân hàng, mạo nhận là
một người sử dụng để lấy thông tin về hệ thống, chẳng hạn như thay đổi mật khẩu.
Ngựa Trojan (Trojan horse): một lập trình viên có thể cài mã hóa vào hệ thống
cho phép lập trình viên đó hoặc người khác xâm nhập bất hợp pháp vào hệ thống.
Chặn dữ liệu (Hijacking): chặn dữ liệu được truyền, sau đó cố gắng khai thác
thông tin từ dữ liệu có được. Internet banking đặc biệt dễ bị tấn công theo cách này.
Các tội phạm trên mạng có thể thực hiện tấn công bằng cách sử dụng Virus,
Worm hay các phần mềm gián điệp (Skyware) 2. Mức độ sẵn sàng và liên tục của hệ
thống cũng là một trong những mối quan tâm của khách hàng và có thể cho thấy mức
độ thành công của mỗi ngân hàng trong cung cấp Internet banking. Các ngân hàng sẽ
gặp rủi ro khi không thể cung cấp sản phẩm và dịch vụ qua Internet sẵn sàng mọi lúc
mọi nơi. Khách hàng sẽ đánh giá thấp khả năng của ngân hàng và uy tín của ngân
hàng sẽ bị tổn hại. Vì thế, các ngân hàng cũng quan tâm đến việc lập kế hoạch dự
phòng và khởi động lại để đảm bảo có thể cung ứng sản phẩm và dịch vụ trong
2
Virus là đoạn mã chương trình được cài vào máy chủ và sau đó lây lan sang các máy trạm,
đoạn chương trình này không chạy độc lập mà được gắn sau đuôi của một đoạn chương trình khác.
Worm là một chương trình độc lập, sử dụng tài nguyên của máy tính chủ để lan truyền thông
tin đi máy khác.
Skyware là phần mềm được bí mật cài vào máy tính nhằm mục đích thu thập thông tin của
người sử dụng, quảng cáo hay thay đổi cấu hình của máy tính.
19
những trường hợp bất trắc. Chẳng hạn, nếu máy chủ chính không hoạt động, cả hệ
thống mạng có thể được chuyển sang một máy chủ dự phòng đặt tại vị trí khác.
3. Quy trình quản trị rủi ro giao dịch của ngân hàng
3.1. Nguyên tắc chung
Việc quản lý hệ thống dịch vụ Internet banking tại các ngân hàng thông thường
bao gồm những bước sau:
3.2.
Quản trị hệ thống quản lý Internet banking
Quản trị rủi ro giao dịch trong Internet banking bao gồm hai mảng chính: an toàn
thông tin và đảm bảo khả năng cung cấp dịch vụ của ngân hàng. Thông thường, vấn
đề an toàn thông tin dựa chủ yếu vào mức độ tiên tiến của hệ thống bảo mật mà ngân
hàng đó sử dụng. Do bởi công nghệ thông tin là lĩnh vực luôn thay đổi, các thủ đoạn
xâm phạm của hacker ngày càng tinh vi, để đối phó với chúng, buộc các ngân hàng
phải thường xuyên nâng cấp hệ thống bảo mật của ngân hàng mình.
Đối với vấn đề sẵn sàng cung cấp dịch vụ của các ngân hàng, dựa chủ yếu vào
nội lực của chính ngân hàng đó, như vốn, trình độ của nhân viên công nghệ ngân
20
- Xem thêm -