Quản trị rủi ro số tại các ngân hàng thương mại: Kinh nghiệm của Ngân hàng Trung ương Đức và một số khuyến nghị

Keywords: Digital transformation, digital risk, risk management, commercial bank.

Trong bối cảnh cuộc Cách mạng công nghiệp lần thứ tư (CMCN 4.0) tác động mạnh mẽ đến nhiều lĩnh vực, đặc biệt là lĩnh vực tài chính, ngân hàng, việc phát triển hoạt động kinh doanh và các sản phẩm, dịch vụ số trở thành yếu tố then chốt để nâng cao năng lực cạnh tranh của các ngân hàng thương mại. Bên cạnh đó, chuyển đổi số là định hướng không thể thiếu trong chiến lược của các ngân hàng, bởi gần như tất cả các hoạt động của ngân hàng hiện nay đều gắn liền với chuyển đổi số. Trong khi chuyển đổi số đang đem lại nhiều cơ hội kinh doanh, nó cũng mở ra cánh cửa cho các mối đe dọa và rủi ro mới. Trong lĩnh vực tài chính, ngân hàng, các nghiên cứu đã chỉ ra rằng, không chỉ lượng dữ liệu tăng lên mà giá trị tương ứng của tài sản số cũng gia tăng. Thông tin nhạy cảm của khách hàng, tài sản sở hữu trí tuệ và thậm chí việc kiểm soát các máy móc chủ chốt đều ngày càng xuất hiện nhiều dưới dạng số hóa và điện tử. Điều này khiến các ngân hàng trở thành mục tiêu của các hacker chuyên nghiệp và những cuộc tấn công ảnh hưởng đến những tài sản này có khả năng tác động mạnh mẽ đến hoạt động kinh doanh của ngân hàng. Chuyển đổi số có xu hướng thay đổi tính chất của các rủi ro hiện tại và tạo ra một loại rủi ro mới, đó là rủi ro số.

Rủi ro số là những tổn thất tiềm tàng xuất phát từ quá trình chuyển đổi số, ảnh hưởng tới việc đạt được các mục tiêu kinh doanh của một tổ chức (Kost, 2022). Rủi ro số là một loại rủi ro rất phức tạp, phụ thuộc vào chiến lược và quy trình triển khai các ứng dụng công nghệ của tổ chức. Rủi ro số có thể lan tỏa và ảnh hưởng đến mọi khía cạnh trong hoạt động kinh doanh, do đó cần áp dụng các biện pháp phòng ngừa và kiểm soát rủi ro này (Xie, 2020). Trong khuôn khổ hoạt động kinh doanh của các ngân hàng, rủi ro số có một số đặc điểm sau:

- Rủi ro số đang là vấn đề mang tính cấp thiết trong hoạt động kinh doanh ngân hàng. Rủi ro số phát sinh khi một ngân hàng giới thiệu một sản phẩm, dịch vụ, quy trình kinh doanh, phụ thuộc vào công nghệ số, bao gồm cả những gì được cung cấp cho ngân hàng bởi bên thứ ba. Tuy nhiên, các quy định liên quan đến đổi mới số này lại thường có độ trễ, có thể được thực hiện sau nhiều năm hoặc thậm chí cả thập kỉ.

- Phạm vi tác động của rủi ro số thường rộng và tốc độ gia tăng ảnh hưởng nhanh hơn so với rủi ro thông thường, trong trường hợp không có tự động hóa quy trình, các giao dịch và quyết định được đưa ra theo cách thủ công. Thực tế cho thấy những sai sót, gian lận xảy ra trong các quy trình thủ công thường có tính rời rạc. Trong khi đó, với tự động hóa quy trình, các giao dịch được xử lí tự động hóa và những sai sót và gian lận cũng vì thế có thể xảy ra trong quy trình tự động hóa. Nếu sai sót và gian lận xảy ra có khả năng lan tỏa đến tất cả các giao dịch trong quy trình, từ đó trầm trọng hóa tác động của rủi ro tích hợp. Bên cạnh đó, sự xuất hiện của một sự cố hoặc tổn thất có thể xảy ra nhanh hơn từ một quy trình tự động hóa so với quy trình thủ công. Do rủi ro số hóa có thể xuất hiện và lan tỏa nhanh chóng như vậy, các công cụ kiểm soát rủi ro truyền thống không còn hiệu quả nữa.

- Tự động hóa quy trình đòi hỏi cả tài sản công nghệ số và nguồn nhân lực có đủ hiểu biết kĩ thuật để triển khai và vận hành công nghệ. Do vậy, có thể có nhiều nguyên nhân dẫn tới rủi ro số, bao gồm:

+ Các ngân hàng không đủ nguồn lực để mua sắm, triển khai và duy trì công nghệ thường thực hiện thuê ngoài (outsource) các hoạt động này thông qua bên thứ ba. Tuy nhiên, thông thường họ không thể chuyển giao toàn bộ rủi ro cho các đối tác này, điều này dẫn tới rủi ro số có thể phát sinh.

+ Xác định, quản lí vai trò và quyền truy cập có thể gặp khó khăn. Việc truy cập trái phép thường dẫn đến gian lận và tổn thất tài chính, vi phạm quyền riêng tư, vi phạm quy định, sai sót trong báo cáo tài chính và tổn thất uy tín.

+ Công nghệ trong giao tiếp với khách hàng và đối tác thường dễ bị xâm nhập và tấn công. Thực tế cho thấy các cuộc tấn công mạng từ bên ngoài thường khó phát hiện và không có phương án phòng, chống.

+ Các quy trình được liên kết thông qua các trung tâm công nghệ chung, chẳng hạn như máy chủ chung hoặc bộ định tuyến viễn thông dễ bị tấn công. Cuộc tấn công vào một công nghệ có thể lan rộng đến những công nghệ liên kết khác. Trong khi đó, các ngân hàng có thể không nắm rõ tất cả các mối liên kết công nghệ mà họ sở hữu. Điều này dẫn tới việc xác định rủi ro liên quan đến những mối liên hệ này và việc phân bổ nguồn lực hợp lí để quản lí rủi ro trở nên khó khăn. Những mối liên kết công nghệ này cũng khiến cho ngân hàng dễ bị tấn công lừa đảo hợp kênh, trong đó kẻ tấn công đạt được mục tiêu gian lận cuối cùng thông qua việc thao túng nhiều kênh truyền thông liên lạc khác nhau.

- Gián đoạn trong hoạt động kinh doanh của ngân hàng có tác động lớn hơn. Sự liên kết của các công nghệ ngân hàng làm cho sự gián đoạn trong hoạt động kinh doanh có tác động lớn hơn đối với các ngân hàng. Ví dụ như sự cố mất điện cho bộ xử lí trung tâm, kho dữ liệu công nghệ thông tin tập trung bị xâm nhập hay một hành vi lừa đảo tống tiền đều có khả năng làm ngưng hoạt động của toàn bộ ngân hàng. Thời gian gián đoạn và chi phí phát sinh cho ngân hàng và khách hàng phụ thuộc rất nhiều vào việc ngân hàng chuẩn bị tốt cho các tình huống gián đoạn kinh doanh.

Theo nghiên cứu của Viện Nghiên cứu Tài chính quốc tế (IIF) và Công ty kiểm toán E&Y tiến hành tại 33 nước với sự tham gia của 88 tổ chức tài chính cho thấy, trong 10 nhóm rủi ro lớn nhất mà ngành Ngân hàng phải đối mặt trong 5 năm tới, có tới 7 nhóm rủi ro liên quan đến chuyển đổi số. Báo cáo của RSA (2019) đã chỉ ra 7 lĩnh vực của quản trị rủi ro số tại các ngân hàng thương mại hiện nay, bao gồm: Rủi ro tấn công mạng, rủi ro quản lí dữ liệu và quyền riêng tư, rủi ro tự động hóa quy trình, rủi ro số có liên quan đến con người, rủi ro liên quan đến tính bền vững của hoạt động kinh doanh, rủi ro liên quan đến điện toán đám mây, rủi ro trách nhiệm của bên thứ ba.

Thứ nhất, rủi ro tấn công mạng. Đây đang là rủi ro được các ngân hàng quan tâm nhiều nhất. Dữ liệu của National Vulnerability Database cho thấy, mức độ dễ tổn thương an ninh mạng tại các tổ chức tài chính trên phạm vi toàn cầu không ngừng gia tăng qua các năm (Biểu đồ 1). Số lượng vụ việc xâm nhập trái phép trong lĩnh vực tài chính, ngân hàng trên phạm vi toàn cầu cũng có xu hướng tăng (Biểu đồ 2). Hậu quả của các vụ việc này có thể dẫn tới việc các tổ chức tài chính, ngân hàng bị mất một lượng lớn thông tin khách hàng, thiệt hại tài chính từ việc mất cắp tài sản của khách hàng và ngân hàng, gián đoạn kinh doanh và hủy hoại danh tiếng của ngân hàng.

Thứ hai, rủi ro quản lí dữ liệu và bảo mật quyền riêng tư. Mối quan ngại này xuất phát từ nguy cơ tấn công mạng bởi hậu quả của những cuộc tấn công này thường dẫn đến việc quyền riêng tư và thông tin khách hàng bị xâm phạm. Trong khi đó, các quy định về bảo mật riêng tư và quy định của cơ quan quản lí yêu cầu các ngân hàng giữ bảo mật thông tin khách hàng. Điều này đòi hỏi các ngân hàng phải kiểm soát các hệ thống và kho dữ liệu để xác định thông tin cá nhân, đánh giá rủi ro về bảo mật riêng tư dựa trên phân loại, số lượng thông tin được xử lí và thiết lập, duy trì các biện pháp kĩ thuật và tổ chức phù hợp với các rủi ro đó. 

Thứ ba, rủi ro tự động hóa quy trình. Rủi ro này phát sinh khi một sản phẩm, dịch vụ, hoạt động, quy trình, hệ thống mới hoặc có sự thay đổi liên quan đến công nghệ được giới thiệu, hay khi một hoạt động liên quan đến công nghệ được ngân hàng giao cho một bên thứ ba. Nói cách khác, rủi ro này có thể được hiểu là rủi ro hoạt động liên quan đến tự động hóa quy trình. Hậu quả của rủi ro tự động hóa quy trình thường nghiêm trọng, gây thiệt hại cả về vốn và uy tín của ngân hàng, thậm chí có thể dẫn tới sụp đổ. 

Thứ tư, rủi ro số có liên quan đến con người. Quá trình toàn cầu hóa lực lượng lao động, sự thay đổi trong cơ cấu dân số và đặc biệt là sự phát triển nhanh chóng về công nghệ đã làm đội ngũ lao động trong lĩnh vực tài chính, ngân hàng ngày càng đa dạng và phân tán, gia tăng đáng kể rủi ro số liên quan đến đội ngũ này. Để quản lí rủi ro này một cách hiệu quả, các ngân hàng phải kiểm soát và chắc chắn về những cá nhân nào đang truy cập vào hệ thống của họ, họ có quyền truy cập vào nội dung gì và đang thực hiện điều gì với quyền truy cập đó.

Thứ năm, rủi ro liên quan đến tính bền vững của hoạt động kinh doanh. Khả năng đứng vững của ngân hàng trước các vụ tấn công mạng trong khi vẫn duy trì sự liên tục của hoạt động kinh doanh và bảo vệ con người, tài sản và giá trị thương hiệu tổng thể cũng là một nội dung quan trọng trong quản trị rủi ro số. Điều này không chỉ là việc khôi phục hoạt động kinh doanh khi có gián đoạn xảy ra mà còn bao gồm kế hoạch phòng ngừa và đánh giá rủi ro, các biện pháp chống chịu được tích hợp vào mô hình kinh doanh của ngân hàng và các chiến lược để giảm thiểu tác động của những sự cố trong tương lai. 

Thứ sáu, rủi ro liên quan đến điện toán đám mây. Báo cáo của Accenture (2018) cho thấy 46% trong số các ngân hàng được khảo sát đã triển khai các quy trình tự động hóa liên quan đến điện toán đám mây. Tuy nhiên, việc triển khai áp dụng điện toán đám mây trong hoạt động ngân hàng cũng dẫn tới các nguy cơ về an ninh và rủi ro. Các ứng dụng và dịch vụ điện toán đám mây được tăng cường cũng đồng nghĩa với nhu cầu truy cập tăng cao từ nhiều thiết bị và nhiều địa điểm khác nhau. Điều này dẫn tới khó khăn trong việc bao quát cũng như phát hiện và ứng phó với các mối đe dọa một cách chủ động. Bên cạnh đó, do điện toán đám mây thường được ứng dụng ở nhiều đơn vị chức năng khác nhau trong ngân hàng, các rủi ro liên quan đến điện toán đám mây không được xác định, đánh giá, xử lí hoặc giám sát một cách toàn diện hoặc nhất quán.

Thứ bảy, rủi ro từ sự phụ thuộc vào sản phẩm, dịch vụ của bên thứ ba. Hiện nay, rất nhiều ngân hàng không đủ nguồn lực để tự phát triển và duy trì các sản phẩm, dịch vụ số và các hệ thống hỗ trợ các sản phẩm, dịch vụ đó. Trong trường hợp này, ngân hàng phải phụ thuộc vào bên thứ ba thông qua các thỏa thuận thuê ngoài, qua đó phát sinh rủi ro số liên quan đến các đối tác này.

Việc quản trị rủi ro số rõ ràng không thể chỉ tập trung vào yếu tố công nghệ mà đòi hỏi sự kết hợp giữa yếu tố con người với các biện pháp tổ chức và kĩ thuật. Ngoài ra, các quy trình, quy định được xây dựng cẩn thận và triển khai một cách hiệu quả cũng là những yếu tố dẫn tới thành công trong việc quản lí các rủi ro số. Đức là một trong những quốc gia đi đầu trong chuyển đổi số, đặc biệt là lĩnh vực tài chính, ngân hàng. Bên cạnh đó, quản lí rủi ro số là nội dung đã được các nhà quản lí, điều hành đặc biệt quan tâm trong những năm gần đây. 

Ngân hàng Trung ương Đức và Cơ quan Giám sát Tài chính Liên bang (BaFin) đã phối hợp chặt chẽ trong việc ban hành các văn bản pháp lí có liên quan đến quản trị rủi ro số. Thông tư về “Yêu cầu tối thiểu về Quản lí rủi ro” (MaRisk) và “Yêu cầu giám sát về công nghệ thông tin trong các tổ chức tài chính” (Bankaufsichtliche Anforderungen an die IT - BAIT) thể hiện một cách chi tiết kì vọng của Luật Ngân hàng Đức liên quan đến các rủi ro về công nghệ trong lĩnh vực ngân hàng. Tính thực tiễn của các thông tư này rất cao bởi chúng được xây dựng dựa trên kinh nghiệm thực tiễn thu được từ kết quả thanh tra, giám sát tại chỗ, ý kiến của hội đồng chuyên gia và khảo sát công chúng. Những yêu cầu giám sát này vừa được xây dựng dựa trên một số nguyên tắc nhất định và vừa trao quyền cho các tổ chức tự quyết định về các công nghệ hoặc phương pháp mà họ muốn sử dụng. (Bảng 1)

Ngân hàng Trung ương Đức và BaFin giám sát khoảng 1.650 tổ chức tín dụng tại Đức. Nền tảng của hoạt động giám sát này là quy trình xem xét và đánh giá giám sát (SREP). Trong khuôn khổ quy trình, bên cạnh các rủi ro tài chính, các rủi ro phi tài chính bao gồm cả rủi ro kĩ thuật số cũng được xem xét, đánh giá. Thông tin cần thiết được thu thập bằng cách sử dụng một bảng câu hỏi cấu trúc, trên cơ sở đó cho phép Ngân hàng Trung ương Đức thực hiện đánh giá giám sát về mối đe dọa số tiềm tàng đối với một tổ chức và cách mà rủi ro này được xử lí trong hệ thống quản lí rủi ro nội bộ của tổ chức. Bên cạnh đó, các cuộc thanh tra trực tiếp tại các tổ chức tín dụng cung cấp cho Ngân hàng Trung ương Đức cái nhìn sâu sắc về hoạt động kinh doanh của các tổ chức, đặc biệt cách thức quản lí rủi ro của họ. Nội dung thanh tra được thiết kế để đánh giá tính phù hợp của quản lí rủi ro, đặc biệt là rủi ro số, dựa trên tình hình cụ thể của mỗi tổ chức. Trong thập kỉ vừa qua, các cuộc thanh tra, kiểm tra của Ngân hàng Trung ương Đức đối với các tổ chức tín dụng và nhà cung cấp dịch vụ công nghệ thông tin của họ đã ngày càng tập trung vào các khía cạnh liên quan đến công nghệ thông tin, góp phần tạo ra những cải tiến liên tục trong các quy trình quản lí rủi ro. Kết quả của các cuộc thanh tra thường chỉ ra các yếu điểm cơ bản, vùng rủi ro và những yếu tố cần cải thiện liên quan đến việc giải quyết rủi ro số. Kể từ năm 2010, Ngân hàng Trung ương Đức đã tiến hành hơn 2.000 cuộc kiểm tra trực tiếp và phát hiện ra sự thiếu sót trong quản lí rủi ro của gần một nửa số cuộc kiểm tra. Khoảng 15% trong số những phát hiện này liên quan đến vấn đề công nghệ thông tin, chủ yếu ở các lĩnh vực quản lí rủi ro thông tin, quản lí thuê ngoài dịch vụ công nghệ thông tin và quản lí an ninh thông tin. 

Chuyển đổi số đã, đang và sẽ tiếp tục định hình việc phát triển kinh tế xã hội. Tốc độ thay đổi công nghệ được dự báo tiếp tục diễn ra nhanh, đặc biệt là trong ngành Ngân hàng. Tại Việt Nam, hơn 95% ngân hàng thương mại đã và đang xây dựng, triển khai chiến lược chuyển đổi số (Nguyễn Tú Anh, 2022). Các ngân hàng đều đang thúc đẩy đầu tư, ứng dụng các công nghệ số như trí tuệ nhân tạo, điện toán đám mây, máy học, dữ liệu lớn... để tự động hóa quy trình nghiệp vụ, phân tích hành vi, thói quen tiêu dùng, phát triển các sản phẩm, dịch vụ nhằm đáp ứng nhu cầu của khách hàng. Tuy nhiên, chuyển đổi số cũng có mặt trái là sự gia tăng các rủi ro tiềm tàng, đặc biệt là các rủi ro có liên quan đến công nghệ thông tin. Cho tới nay, tại Việt Nam chưa có một quy định cụ thể về quản lí rủi ro số tại các ngân hàng thương mại. Bên cạnh đó, hầu hết các ngân hàng thương mại Việt Nam chưa thực hiện phân loại và đánh giá một cách toàn diện, đầy đủ về rủi ro số, cũng như có các biện pháp phòng ngừa và quản trị rủi ro này một cách phù hợp. Để quản lí và kiểm soát rủi ro số hiệu quả, một số vấn đề cần lưu ý trong thời gian tới như sau:

Thứ nhất, cần xây dựng và hoàn thiện khuôn khổ pháp lí về công nghệ thông tin tại ngân hàng thương mại, trong đó các quy định về rủi ro số nên xây dựng theo hướng dựa trên khung quản trị rủi ro với những nguyên tắc nhất định, đồng thời vẫn tạo điều kiện để các tổ chức tự chủ trong việc ứng dụng các tiến bộ công nghệ. Bên cạnh đó, cần xây dựng cơ chế và kế hoạch thanh tra, giám sát về hoạt động công nghệ thông tin tại các ngân hàng thương mại. Kinh nghiệm từ Ngân hàng Trung ương Đức cho thấy hiệu quả của công tác thanh tra, giám sát trực tiếp, do đó cần đặc biệt chú trọng xây dựng cách thức, cơ chế và đẩy mạnh hình thức giám sát này.

Thứ hai, các ngân hàng cần chú trọng quản lí rủi ro số phát sinh từ các bên thứ ba. Với sự phát triển nhanh chóng của công nghệ, xu hướng các ngân hàng phụ thuộc vào công nghệ và dịch vụ của bên thứ ba là không tránh khỏi. Bên cạnh đó, kinh nghiệm từ quản trị rủi ro số của Ngân hàng Trung ương Đức cho thấy, rủi ro liên quan đến thuê ngoài dịch vụ thông tin là một trong những rủi ro quan trọng nhưng chưa được các ngân hàng thương mại quan tâm, kiểm soát chặt chẽ. Do đó, các ngân hàng cần đặc biệt chú trọng, nhận diện và quản lí rủi ro số có liên quan đến các thỏa thuận thuê ngoài. Ngoài ra, đối với các cơ quan quản lí, cần ban hành danh mục các tiêu chuẩn quốc tế đối với nhà cung cấp, đối tác liên kết công nghệ nhằm tạo điều kiện thuận lợi cho các ngân hàng trong quá trình lựa chọn đối tác, giảm thiểu rủi ro từ bên thứ ba.

Thứ ba, việc truy cập giao diện người dùng và các công nghệ quan trọng của ngân hàng phải được hạn chế, chỉ áp dụng các cá nhân được ủy quyền và dựa trên vai trò và trách nhiệm của họ. Những hạn chế này phải được thực hiện để đảm bảo quá trình quản trị và kiểm soát nội bộ, ngăn ngừa lỗi không chủ ý, ngăn chặn gian lận và các hoạt động xâm hại khác.

Thứ tư, các ngân hàng cần có chiến lược chuyển đổi số và kế hoạch thực thi chiến lược đó một cách đồng bộ trong cả hệ thống bao gồm hệ thống thu thập dữ liệu, hệ thống máy học, trí tuệ nhân tạo, quản lí nhân sự, hệ thống nhận biết khách hàng, hệ thống khuyến khích trải nghiệm người dùng. Sự thiếu đồng bộ không chỉ làm giảm hiệu quả của quá trình chuyển đổi số, mà còn làm cho rủi ro số tăng cao.