Hệ thống pháp luật

Chương 4 Thông tư 14/2023/TT-NHNN quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

Chương IV

QUẢN LÝ RỦI RO

Điều 18. Bộ phận quản lý rủi ro

Tùy theo quy mô, điều kiện và mức độ phức tạp của hoạt động kinh doanh, tổ chức tín dụng phi ngân hàng quyết định cơ cấu tổ chức của Bộ phận quản lý rủi ro đảm bảo thực hiện tối thiểu các chức năng sau:

1. Giúp Tổng giám đốc (Giám đốc) trong việc đề xuất, tham mưu các nội dung quy định tại khoản 2 Điều 11 Thông tư này.

2. Phối hợp với tuyến bảo vệ thứ nhất để nhận dạng đầy đủ và theo dõi các rủi ro phát sinh.

3. Phân tích, đưa ra những cảnh báo về mức độ an toàn của tổ chức tín dụng phi ngân hàng trước những nguy cơ, tiềm ẩn rủi ro có thể ảnh hưởng và đề xuất các biện pháp phòng ngừa đối với các rủi ro này trong ngăn hạn, dài hạn.

4. Tham gia các nội dung liên quan đến rủi ro trong quá trình đưa ra các quyết định có rủi ro tương ứng theo từng cấp có thẩm quyền theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

5. Thực hiện báo cáo nội bộ về quản lý rủi ro theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Mục 1. QUẢN LÝ RỦI RO TÍN DỤNG

Điều 19. Yêu cầu, chiến lược quản lý rủi ro tín dụng

Tổ chức tín dụng phi ngân hàng phải xây dựng chiến lược quản lý rủi ro tín dụng tối thiểu bao gồm các nội dung sau đây:

1. Tỷ lệ nợ xấu mục tiêu, tỷ lệ cấp tín dụng xấu mục tiêu.

2. Nguyên tắc xác định chi phí bù đắp rủi ro tín dụng trong phương pháp tính lãi suất, định giá sản phẩm tín dụng (pricing) theo mức độ rủi ro tín dụng của khách hàng.

3. Nguyên tắc áp dụng các biện pháp giảm thiểu rủi ro tín dụng (bao gồm cả thẩm quyền phê duyệt các biện pháp giảm thiểu rủi ro tín dụng).

Điều 20. Hạn mức rủi ro tín dụng

1. Tổ chức tín dụng phi ngân hàng phải ban hành hạn mức rủi ro tín dụng đảm bảo tuân thủ các quy định về các hạn chế để bảo đảm an toàn trong hoạt động của tổ chức tín dụng phi ngân hàng tại Luật Các tổ chức tín dụng và quy định của Ngân hàng Nhà nước.

2. Hạn mức rủi ro tín dụng tối thiểu bao gồm các hạn mức sau đây:

a) Hạn mức cấp tín dụng đối với đối tượng khách hàng trên cơ sở khả năng trả nợ của khách hàng;

b) Hạn mức cấp tín dụng theo sản phẩm.

3. Hạn mức rủi ro tín dụng phải được rà soát, đánh giá lại (điều chỉnh nếu cần thiết) tối thiểu 01 năm một lần theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 21. Theo dõi và kiểm soát rủi ro tín dụng

1. Tổ chức tín dụng phi ngân hàng phải theo dõi, kiểm soát rủi ro tín dụng đối với từng khoản cấp tín dụng và toàn bộ danh mục cấp tín dụng và có biện pháp xử lý khi chất lượng tín dụng bị suy giảm, tối thiểu đảm bảo các yêu cầu sau đây:

a) Theo dõi kết quả phân loại nợ của khoản cấp tín dụng;

b) Đánh giá mức độ đầy đủ của dự phòng rủi ro theo quy định của Ngân hàng Nhà nước.

2. Việc theo dõi và kiểm soát rủi ro tín dụng tối thiểu bao gồm các nội dung sau đây:

a) Vai trò và trách nhiệm của các cá nhân, bộ phận thực hiện theo dõi, kiểm soát rủi ro tín dụng;

b) Thực hiện phân loại nợ, trích lập dự phòng rủi ro, sử dụng dự phòng rủi ro để xử lý rủi ro tín dụng;

c) Kiểm soát rủi ro tín dụng theo hạn mức rủi ro tín dụng được phân bổ đối với danh mục các khoản cấp tín dụng theo đối tượng khách hàng và theo sản phẩm;

d) Tiêu chí đánh giá và phương pháp xác định mức độ suy giảm chất lượng tín dụng của từng danh mục cấp tín dụng; cơ chế cảnh báo sớm khi có nguy cơ chất lượng tín dụng của khách hàng bị suy giảm.

Điều 22. Thẩm định cấp tín dụng

1. Tổ chức tín dụng phi ngân hàng thực hiện thẩm định tín dụng đảm bảo tối thiểu bao gồm các nội dung sau đây:

a) Xác định cụ thể người có liên quan của khách hàng, tổng dư nợ cấp tín dụng của khách hàng, tổng dư nợ cấp tín dụng của khách hàng và người có liên quan;

b) Đánh giá các điều kiện cấp tín dụng theo quy định của pháp luật có liên quan;

c) Đánh giá tính đầy đủ của hồ sơ, tình trạng pháp lý và khả năng thu hồi của tài sản bảo đảm đối với trường hợp cấp tín dụng có tài sản bảo đảm theo quy định nội bộ của tổ chức tín dụng phi ngân hàng;

d) Thẩm định khả năng thực hiện các nghĩa vụ cam kết của bên bảo lãnh đối với các khoản cấp tín dụng có bảo lãnh của bên thứ ba.

2. Trong quá trình thẩm định, trường hợp sử dụng các kênh thông tin khác bên ngoài tổ chức tín dụng phi ngân hàng, tổ chức tín dụng phi ngân hàng phải kiểm tra chất lượng thông tin và tính độc lập của kênh thông tin đó với khách hàng.

Điều 23. Phê duyệt quyết định có rủi ro tín dụng

Tổ chức tín dụng phi ngân hàng thực hiện phê duyệt quyết định có rủi ro tín dụng đảm bảo:

1. Thẩm quyền phê duyệt quyết định có rủi ro tín dụng phải được xác định theo các tiêu chí định lượng, định tính.

2. Trường hợp phê duyệt theo cơ chế hội đồng, hội đồng phê duyệt phải có biên bản phê duyệt hoặc hình thức tương đương, trong đó nêu rõ lý do phê duyệt hoặc không phê duyệt và ghi nhận (hoặc đính kèm) ý kiến của các thành viên hội đồng. Thành viên hội đồng phê duyệt phải chịu trách nhiệm đối với quyết định của mình.

3. Thông tin cung cấp để phê duyệt quyết định có rủi ro tín dụng phải đầy đủ, phù hợp với quy mô, loại hình cấp tín dụng và quy định nội bộ của tổ chức tín dụng phi ngân hàng. Quy định về danh mục thông tin làm cơ sở để phê duyệt quyết định có rủi ro tín dụng phải được bộ phận quản lý rủi ro đánh giá đảm bảo thực hiện hiệu quả việc quản lý rủi ro tín dụng.

Điều 24. Quản lý tín dụng

1. Tổ chức tín dụng phi ngân hàng thực hiện quản lý tín dụng đáp ứng các yêu cầu sau đây:

a) Quy định cụ thể trách nhiệm, thẩm quyền của cá nhân, bộ phận trong việc lập, lưu trữ hồ sơ tín dụng bảo đảm các hồ sơ tín dụng đầy đủ theo quy định của pháp luật;

b) Giải ngân phù hợp với mục đích sử dụng vốn, loại hình cấp tín dụng;

c) Giám sát khoản cấp tín dụng sau khi được giải ngân phải đảm bảo nguyên tắc: Kiểm tra việc sử dụng vốn vay và thực hiện các điều khoản khác trong hợp đồng cấp tín dụng của khách hàng; Đánh giá các yếu tố ảnh hưởng đến khả năng trả nợ của khách hàng; Theo dõi lịch trả nợ, nhắc nhở khách hàng thực hiện nghĩa vụ trả nợ khi đến hạn, báo cáo kịp thời cho các cấp có thẩm quyền khi khách hàng có nguy cơ không thực hiện hoặc chậm thực hiện nghĩa vụ trả nợ;

d) Quy định rõ tiêu chí, phương pháp xác định khoản cấp tín dụng có vấn đề, quản lý khoản cấp tín dụng có vấn đề để có biện pháp xử lý kịp thời.

2. Tổ chức tín dụng phi ngân hàng phải lưu trữ hồ sơ tín dụng và các thông tin khác có liên quan theo quy định của pháp luật.

Mục 2. QUẢN LÝ RỦI RO HOẠT ĐỘNG

Điều 25. Yêu cầu về quản lý rủi ro hoạt động

Quản lý rủi ro hoạt động tối thiểu bao gồm các nội dung sau đây;

1. Xây dựng nguyên tắc thực hiện quản lý rủi ro hoạt động.

2. Xây dựng nguyên tắc sử dụng hoạt động thuê ngoài, mua bảo hiểm, ứng dụng công nghệ.

3. Xây dựng kế hoạch duy trì hoạt động liên tục, tối thiểu đối với các trường hợp mất tài liệu quan trọng, hệ thống công nghệ thông tin bị sự cố và các sự kiện bất khả kháng theo quy định của pháp luật. Kế hoạch duy trì hoạt động liên tục phải đáp ứng tối thiểu các yêu cầu sau đây:

a) Có hệ thống dự phòng về nhân sự, hệ thống công nghệ thông tin, cơ sở dữ liệu thông tin;

b) Có các biện pháp giảm thiểu tổn thất do ngừng hoạt động;

c) Khôi phục được các hoạt động kinh doanh bị gián đoạn.

Điều 26. Nhận dạng, theo dõi và kiểm soát rủi ro hoạt động

1. Tổ chức tín dụng phi ngân hàng phải nhận dạng đầy đủ rủi ro hoạt động trong các hoạt động kinh doanh, quy trình nghiệp vụ, hệ thống công nghệ thông tin và các hệ thống quản lý khác. Việc nhận dạng rủi ro hoạt động được thực hiện đối với các trường hợp sau đây:

a) Gian lận nội bộ do hành vi lừa đảo, chiếm đoạt tài sản, vi phạm các chiến lược, chính sách và quy định nội bộ liên quan đến ít nhất một cá nhân của tổ chức tín dụng phi ngân hàng (bao gồm cả hành vi không đúng chức trách, nhiệm vụ, hành vi vượt thẩm quyền, trộm cắp, lợi dụng thông tin nội bộ để trục lợi);

b) Gian lận bên ngoài do các hành vi lừa đảo, chiếm đoạt tài sản do đối tượng bên ngoài gây nên mà không có sự trợ giúp, cấu kết của cá nhân, bộ phận của tổ chức tín dụng phi ngân hàng (bao gồm cả hành vi trộm cắp, cướp, giả mạo thẻ, chứng từ, xâm nhập hệ thống công nghệ thông tin để chiếm đoạt dữ liệu, tiền);

c) Chính sách về lao động, an toàn nơi làm việc không phù hợp với hợp đồng lao động, quy định của pháp luật về lao động, bảo vệ sức khỏe và an toàn nơi làm việc;

d) Vô ý vi phạm quy định liên quan đến khách hàng, quy trình cung cấp sản phẩm và đặc tính sản phẩm khi thực hiện chức năng, nhiệm vụ được giao theo thẩm quyền đối với khách hàng (bao gồm cả hành vi vi phạm bảo mật thông tin khách hàng, cung cấp sản phẩm dịch vụ trái quy định);

đ) Vi phạm quy định của pháp luật về phòng, chống rửa tiền;

e) Hư hỏng, mất tài sản, công cụ, thiết bị do các sự kiện bất khả kháng, tác động của con người và các sự kiện khác;

g) Gián đoạn hoạt động kinh doanh do hệ thống công nghệ thông tin gặp sự cố;

h) Hạn chế, bất cập của quy trình giao dịch, kiểm soát giao dịch và quản lý giao dịch;

i) Các trường hợp khác theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

2. Tổ chức tín dụng phi ngân hàng thực hiện theo dõi, kiểm soát rủi ro hoạt động thông qua hoạt động kiểm soát quy định tại Điều 14 Thông tư này và các biện pháp khác theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Điều 27. Quản lý rủi ro hoạt động đối với hoạt động thuê ngoài

1. Quản lý hoạt động thuê ngoài tối thiểu bao gồm:

a) Xác định phạm vi hoạt động thuê ngoài;

b) Phân cấp thẩm quyền phê duyệt, quyết định đối với các hoạt động thuê ngoài;

c) Thẩm định năng lực của doanh nghiệp thuê ngoài trong việc đáp ứng các yêu cầu, mục tiêu đề ra của hoạt động thuê ngoài trước khi ký hợp đồng thuê ngoài; đánh giá khả năng thực hiện hợp đồng của doanh nghiệp thuê ngoài trong quá trình thực hiện hợp đồng;

d) Có hợp đồng thuê ngoài đảm bảo chặt chẽ, đầy đủ, bảo vệ quyền sở hữu và bảo mật cơ sở dữ liệu, thông tin khách hàng và quyền chấm dứt hợp đồng thuê ngoài, không ảnh hưởng uy tín của tổ chức tín dụng phi ngân hàng; mức độ và phạm vi hoạt động thuê ngoài; trách nhiệm cụ thể của tổ chức tín dụng phi ngân hàng và doanh nghiệp thuê ngoài và các điều khoản xử lý tranh chấp theo quy định của pháp luật;

đ) Đối với hoạt động thuê ngoài là dịch vụ công nghệ thông tin phải đảm bảo tuân thủ các quy định của pháp luật về quản lý dịch vụ công nghệ thông tin của bên thứ ba theo quy định của pháp luật về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng.

2. Tổ chức tín dụng phi ngân hàng thực hiện quản lý rủi ro hoạt động đối với hoạt động thuê ngoài thông qua:

a) Quản lý hoạt động thuê ngoài theo quy định tại khoản 1 Điều này;

b) Nhận dạng, theo dõi và kiểm soát rủi ro hoạt động phát sinh từ hoạt động thuê ngoài theo quy định tại Điều 26 Thông tư này.

Điều 28. Quản lý rủi ro hoạt động trong ứng dụng công nghệ

1. Hoạt động quản lý ứng dụng công nghệ phải tuân thủ quy định của Ngân hàng Nhà nước về giao dịch điện tử trong ngành ngân hàng; an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến và quy định có liên quan của pháp luật. Quản lý ứng dụng công nghệ tối thiểu bao gồm các nội dung sau đây:

a) Phạm vi quản lý ứng dụng công nghệ tối thiểu đối với hệ thống công nghệ thông tin và cơ sở dữ liệu;

b) Nhiệm vụ, trách nhiệm, quyền hạn của các cá nhân, bộ phận thực hiện quản lý ứng dụng công nghệ;

c) Hệ thống xác thực đảm bảo bảo mật thông tin của khách hàng, an toàn giao dịch và hệ thống công nghệ thông tin.

2. Tổ chức tín dụng phi ngân hàng quản lý rủi ro hoạt động trong ứng dụng giao dịch điện tử, giao dịch trực tuyến, giao dịch tự động, giao dịch di động và các công nghệ khác (sau đây gọi tắt là ứng dụng công nghệ) thông qua:

a) Quản lý ứng dụng công nghệ theo quy định tại khoản 1 Điều này;

b) Nhận dạng, theo dõi và kiểm soát rủi ro hoạt động phát sinh trong ứng dụng công nghệ theo quy định tại Điều 26 Thông tư này tối thiểu đảm bảo: Nhận dạng nguy cơ phát sinh rủi ro hoạt động liên quan hệ thống mạng kết nối nội bộ và bên ngoài, phần cứng, phần mềm, ứng dụng, giao diện giao dịch, vận hành và yếu tố con người; Theo dõi, đánh giá khả năng duy trì hoạt động ổn định trước nguy cơ phát sinh rủi ro hoạt động trong ứng dụng công nghệ; Kiểm soát, có các biện pháp giảm thiểu rủi ro hoạt động (nếu cần thiết) trong hoạt động ứng dụng công nghệ.

Điều 29. Mua bảo hiểm để giảm thiểu tổn thất rủi ro hoạt động

1. Tổ chức tín dụng phi ngân hàng được mua bảo hiểm để giảm thiêu tôn thất phát sinh từ rủi ro hoạt động theo quy định của pháp luật, đảm bảo phù hợp với năng lực tài chính và bù đắp tổn thất của tổ chức tín dụng phi ngân hàng.

2. Tổ chức tín dụng phi ngân hàng không sử dụng việc mua bảo hiểm để thay thế quản lý rủi ro hoạt động, phải đánh giá hiệu quả giảm thiểu tổn thất phát sinh từ rủi ro hoạt động của việc mua bảo hiểm, đánh giá năng lực của doanh nghiệp bán bảo hiểm trong việc thực hiện hợp đồng bảo hiểm và các rủi ro mới khác (nếu có).

Thông tư 14/2023/TT-NHNN quy định về hệ thống kiểm soát nội bộ của tổ chức tín dụng phi ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

  • Số hiệu: 14/2023/TT-NHNN
  • Loại văn bản: Thông tư
  • Ngày ban hành: 20/11/2023
  • Nơi ban hành: Quốc hội
  • Người ký: Đoàn Thái Sơn
  • Ngày công báo: 27/11/2023
  • Số công báo: Từ số 1207 đến số 1208
  • Ngày hiệu lực: 01/10/2024
  • Tình trạng hiệu lực: Kiểm tra
MỤC LỤC VĂN BẢN
CHƯƠNG 1: QUY ĐỊNH CHUNG
CHƯƠNG 2: GIÁM SÁT CỦA QUẢN LÝ CẤP CAO
CHƯƠNG 3: KIỂM SOÁT NỘI BỘ
CHƯƠNG 4: QUẢN LÝ RỦI RO
Mục 1: QUẢN LÝ RỦI RO TÍN DỤNG
Mục 2: QUẢN LÝ RỦI RO HOẠT ĐỘNG
CHƯƠNG 5: KIỂM TOÁN NỘI BỘ
CHƯƠNG 6: ĐIỀU KHOẢN THI HÀNH
MỤC LỤC VĂN BẢN
HIỂN THỊ DANH SÁCH