Mục 4 Chương 4 Thông tư 13/2018/TT-NHNN quy định về hệ thống kiểm soát nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

a) Nguyên tắc thực hiện quản lý rủi ro hoạt động;

b) Nguyên tắc sử dụng hoạt động thuê ngoài, mua bảo hiểm, ứng dụng công nghệ;

c) Các trường hợp phải có kế hoạch duy trì hoạt động liên tục tối thiểu bao gồm:

(i) Mất tài liệu, cơ sở dữ liệu quan trọng;

(ii) Hệ thống công nghệ thông tin bị sự cố;

(iii) Các sự kiện bất khả kháng (chiến tranh, thiên tai, cháy nổ...).

a) Hạn mức về mức độ tổn thất tài chính đối với từng trường hợp quy định tại khoản 2 Điều 42 Thông tư này theo 06 nhóm hoạt động kinh doanh theo quy định của Ngân hàng Nhà nước về tỷ lệ vốn đối với ngân hàng, chi nhánh ngân hàng nước ngoài;

b) Hạn mức về mức độ tổn thất phi tài chính (bao gồm cả uy tín, danh tiếng, phát sinh nghĩa vụ pháp lý).

a) Gian lận nội bộ do hành vi lừa đảo, chiếm đoạt tài sản, vi phạm các chiến lược, chính sách và quy định nội bộ liên quan đến ít nhất một cá nhân của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài (bao gồm cả hành vi không đúng chức trách, nhiệm vụ, hành vi vượt thẩm quyền, trộm cắp, lợi dụng thông tin nội bộ để trục lợi);

b) Gian lận bên ngoài do các hành vi lừa đảo, chiếm đoạt tài sản do đối tượng bên ngoài gây nên mà không có sự trợ giúp, cấu kết của cá nhân, bộ phận của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài (bao gồm cả hành vi trộm cắp, cướp, giả mạo thẻ ngân hàng, chứng từ ngân hàng, xâm nhập hệ thống công nghệ thông tin để chiếm đoạt dữ liệu, tiền);

c) Chính sách về lao động, an toàn nơi làm việc không phù hợp hợp đồng lao động, quy định của pháp luật về lao động, bảo vệ sức khỏe và an toàn nơi làm việc;

d) Vô ý vi phạm quy định liên quan đến khách hàng, quy trình cung cấp sản phẩm và đặc tính sản phẩm khi thực hiện chức năng, nhiệm vụ được giao theo thẩm quyền đối với khách hàng (bao gồm cả hành vi vi phạm bảo mật thông tin khách hàng, vi phạm quy định về phòng chống rửa tiền, cung cấp sản phẩm dịch vụ trái quy định);

đ) Hư hỏng, mất mát tài sản, công cụ, thiết bị do các sự kiện bất khả kháng, tác động của con người và các sự kiện khác;

e) Gián đoạn hoạt động kinh doanh do hệ thống công nghệ, thông tin gặp sự cố;

g) Hạn chế, bất cập của quy trình giao dịch, kiểm soát giao dịch và quản lý giao dịch;

h) Các trường hợp khác theo quy định nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài.

a) Sử dụng các phát hiện của kiểm toán nội bộ và kiểm toán độc lập (Audit findings);

b) Thu thập và phân tích số liệu tổn thất nội bộ và bên ngoài (Internal and external loss data collection and analysis) để xác định tổn thất nội bộ và của toàn hệ thống ngân hàng thương mại, chi nhánh ngân hàng nước ngoài;

c) Tự đánh giá kiểm soát rủi ro hoạt động (Risk Control Self Assessment - RCSA) để xác định hiệu quả của hoạt động kiểm soát đối với rủi ro hoạt động trước và sau khi kiểm soát;

d) Sơ đồ hóa các quy trình nghiệp vụ (Business Process Mapping - BPM) để xác định mức độ rủi ro hoạt động của từng quy trình nghiệp vụ, rủi ro hoạt động chung của các quy trình nghiệp vụ và mối liên hệ của các rủi ro này;

đ) Chỉ số kết quả kinh doanh và chỉ số rủi ro trọng yếu (Risk and Performance indicators) để theo dõi yếu tố tác động đến rủi ro hoạt động và xác định các hạn chế, tồn tại và tổn thất tiềm ẩn;

e) Phân tích kịch bản (Scenario Analysis) để xác định nguồn phát sinh rủi ro hoạt động và các yêu cầu kiểm soát, giảm thiểu rủi ro hoạt động trong các kịch bản và sự kiện có thể xảy ra.

a) Quản lý hoạt động thuê ngoài theo quy định tại khoản 2 Điều này;

b) Nhận dạng, đo lường, theo dõi và kiểm soát rủi ro hoạt động phát sinh từ hoạt động thuê ngoài theo quy định tại Điều 42 Thông tư này.

a) Xác định phạm vi hoạt động thuê ngoài;

b) Phân cấp thẩm quyền phê duyệt, quyết định đối với các hoạt động thuê ngoài;

c) Thẩm định năng lực của doanh nghiệp thuê ngoài trong việc đáp ứng các yêu cầu, mục tiêu đề ra của hoạt động thuê ngoài trước khi ký hợp đồng thuê ngoài; đánh giá khả năng thực hiện hợp đồng của doanh nghiệp thuê ngoài trong quá trình thực hiện hợp đồng;

d) Có nguyên tắc thỏa thuận các hợp đồng thuê ngoài đảm bảo chặt chẽ, đầy đủ, bảo vệ quyền sở hữu và bảo mật cơ sở dữ liệu, thông tin khách hàng và quyền chấm dứt hợp đồng thuê ngoài; mức độ và phạm vi hoạt động thuê ngoài; trách nhiệm cụ thể của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài và doanh nghiệp thuê ngoài và các điều khoản xử lý tranh chấp theo quy định của pháp luật;

đ) Lập hoặc yêu cầu doanh nghiệp thuê ngoài lập kế hoạch duy trì hoạt động liên tục cho hoạt động thuê ngoài theo quy định tại Điều 46 Thông tư này.

a) Quản lý ứng dụng công nghệ theo quy định tại khoản 2 Điều này;

b) Nhận dạng, đo lường, theo dõi và kiểm soát rủi ro hoạt động phát sinh trong ứng dụng công nghệ theo quy định tại Điều 42 Thông tư này tối thiểu đảm bảo:

(i) Nhận dạng nguy cơ phát sinh rủi ro hoạt động liên quan hệ thống mạng kết nối nội bộ và bên ngoài, phần cứng, phần mềm, ứng dụng, giao diện giao dịch, vận hành và yếu tố con người;

(ii) Đo lường rủi ro trên cơ sở ước tính tổn thất khi xảy ra rủi ro hoạt động đối với hoạt động kinh doanh;

(iii) Theo dõi, đánh giá khả năng duy trì hoạt động ổn định trước nguy cơ phát sinh rủi ro hoạt động trong ứng dụng công nghệ;

(iv) Kiểm soát, có các biện pháp giảm thiểu rủi ro hoạt động (nếu cần thiết) trong hoạt động ứng dụng công nghệ để đảm bảo hạn mức rủi ro hoạt động.

a) Có quy định quản lý ứng dụng công nghệ tối thiểu bao gồm các nội dung sau đây:

(i) Phạm vi quản lý ứng dụng công nghệ tối thiểu đối với hệ thống công nghệ thông tin và cơ sở dữ liệu;

(ii) Nhiệm vụ, trách nhiệm, quyền hạn của các cá nhân, bộ phận thực hiện quản lý ứng dụng công nghệ;

(iii) Quản lý hiệu quả khi có sự cố, thay đổi ứng dụng công nghệ;

(iv) Hệ thống xác thực đảm bảo bảo mật thông tin của khách hàng, an toàn giao dịch và hệ thống công nghệ thông tin;

b) Tuân thủ quy định của Ngân hàng Nhà nước về giao dịch điện tử trong ngành ngân hàng; an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến và quy định có liên quan của pháp luật.

a) Phù hợp với tính chất, quy mô hoạt động của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài;

b) Có hệ thống dự phòng về nhân sự, hệ thống công nghệ thông tin, cơ sở dữ liệu thông tin;

c) Có các biện pháp giảm thiểu tổn thất do ngừng hoạt động;

d) Khôi phục được các hoạt động kinh doanh bị gián đoạn về trạng thái bình thường theo thời hạn yêu cầu;

đ) Được thử nghiệm, rà soát định kỳ tối thiểu hằng năm để xác định mức độ hiệu quả của kế hoạch duy trì hoạt động liên tục và chỉnh sửa (nếu cần thiết).

a) Tình hình thực hiện chính sách quản lý rủi ro đối với rủi ro hoạt động, tuân thủ hạn mức rủi ro hoạt động;

b) Các trường hợp phát sinh rủi ro hoạt động trong kỳ báo cáo và lý do;

c) Số liệu tổn thất do rủi ro hoạt động theo 06 nhóm hoạt động kinh doanh theo quy định của Ngân hàng Nhà nước về tỷ lệ an toàn vốn đối với ngân hàng, chi nhánh ngân hàng nước ngoài, các biện pháp xử lý tổn thất và duy trì hoạt động liên tục (nếu có);

d) Sự kiện, tác động bên ngoài ảnh hưởng đến rủi ro hoạt động của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài;

đ) Thay đổi về phương pháp đo lường rủi ro hoạt động;

e) Tình hình hoạt động thuê ngoài và quản lý rủi ro hoạt động đối với hoạt động thuê ngoài;

g) Thay đổi về ứng dụng công nghệ (nếu có) và tình hình quản lý rủi ro hoạt động trong ứng dụng công nghệ;

h) Các đề xuất, kiến nghị về quản lý rủi ro hoạt động;

i) Kết quả thực hiện các yêu cầu, kiến nghị về quản lý rủi ro hoạt động của kiểm toán nội bộ, Ngân hàng Nhà nước, tổ chức kiểm toán độc lập và các cơ quan chức năng khác.