Quản trị rủi ro bên thứ ba trong hoạt động của các ngân hàng

Cùng với xu hướng chuyển đổi số hiện nay, ngày càng nhiều ngân hàng sử dụng dịch vụ của bên thứ ba nhằm phục vụ các nhu cầu vận hành. Trong số các dịch vụ phổ biến mà bên thứ ba cung cấp cho các tổ chức tài chính, có thể kể đến dịch vụ trung gian thanh toán, quản lý khách hàng thân thiết, quản lý hành chính v.v.

Xu hướng sử dụng dịch vụ của bên thứ ba không chỉ giúp tiết giảm chi phí mà quan trọng hơn, đây là một cách tiếp cận công nghệ hay kinh nghiệm chuyên sâu mà nhiều ngân hàng chưa có khả năng tự xây dựng hay duy trì nội bộ.

Mặc dù không thể phủ nhận lợi ích của việc sử dụng dịch vụ của bên thứ ba, ngân hàng cũng nên lưu ý đến các rủi ro tương ứng. Vài năm trước, thông tin sao kê tài khoản của hàng trăm khách hàng tại một ngân hàng ở Singapore đã bị đánh cắp, sau khi tin tặc truy cập được vào máy chủ của nhà cung cấp dịch vụ in ấn sao kê của ngân hàng này. Đầu năm 2019 tại Hoa Kỳ, một công ty quản lý và phân tích dữ liệu phục vụ cho nhiều tập đoàn tài chính lớn nhất của nước này đã bị rò rỉ hàng triệu thông tin tài chính cá nhân khi không thể đảm bảo an toàn dữ liệu.

Trong bối cảnh các mối đe dọa về rủi ro an toàn thông tin đang hiện diện, các quy định liên quan có chiều hướng ngày càng gia tăng ở các nền kinh tế trên thế giới. Tại Việt Nam, Ngân hàng Nhà nước đã ban hành Thông tư 18/2018/TT-NHNN ngày 21/8/2018, quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng. Tuy nhiên, phần lớn các ngân hàng vẫn gặp nhiều khó khăn trong việc triển khai và tuân thủ các yêu cầu liên quan tới quá trình chuyển đổi số, đặc biệt là vấn đề quản lý sử dụng dịch vụ CNTT của bên thứ ba.

Đội ngũ chuyên gia của PwC đã trình bày các xu hướng chuyển đổi số trong lĩnh vực tài chính, phân tích các rủi ro liên quan và những lưu ý quan trọng, đặc biệt là các biện pháp quản trị rủi ro dưới tác động của các quy định trong Thông tư 18. Các chuyên gia đã giới thiệu tổng quan về các chuẩn mực thông dụng nhất hiện nay về đảm bảo rủi ro và an toàn bảo mật dành cho bên thứ ba, như ISAE 3402/SOC 1, ISAE 3000/SOC 2 và ISRS 4400/AUP.

Theo bà Nguyễn Phi Lan - Phó Tổng Giám đốc, Lãnh đạo Dịch vụ quản lý rủi ro của PwC Việt Nam: “Sự tiện dụng của các dịch vụ tài chính dựa trên nền tảng công nghệ ngày càng thúc đẩy sự phát triển về quy mô cũng như mức độ phức tạp của hệ sinh thái ngân hàng, fintech và các nhà cung cấp dịch vụ. Việc áp dụng các chuẩn mực, thông lệ quốc tế giúp ngân hàng gia tăng hiệu quả của các biện pháp quản trị rủi ro, bao gồm rủi ro từ bên thứ ba”.

Ông Yu Loong Goh - Giám đốc Dịch vụ quản lý rủi ro CNTT, PwC Việt Nam cho rằng các ngân hàng thực hiện tốt quản trị rủi ro trong khu vực đều chú trọng đến hai nhiệm vụ cơ bản. Đó là đánh giá hiện trạng chương trình quản lý rủi ro an toàn thông tin và lập báo cáo chứng thực về bên thứ ba. Đây là cơ sở để đưa ra những biện pháp phòng vệ và khắc phục thiếu sót, giúp bảo vệ khách hàng và bảo vệ chính doanh nghiệp.

Đồng tình với nhận định này, ông Phó Đức Giang - Giám đốc Dịch vụ An ninh mạng, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam cho biết: “Việc chứng thực an toàn bảo mật bên thứ ba mang lại rất nhiều lợi ích cho doanh nghiệp, như tạo dựng niềm tin của các bên có quyền lợi liên quan, tăng cường sự tin cậy đối với bản thân hoạt động của tổ chức, giảm thiểu các chi phí xử lý rủi ro, hướng tới phát triển hệ sinh thái các dịch vụ tài chính bền vững hơn khi chuyển đổi số.”

Dự kiến VNBA sẽ tiếp tục phối hợp với Công ty PwC Việt Nam và Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam để tổ chức khóa đào tạo tương tự cho các tổ chức tài chính và công ty Fintech tại khu vực miền Nam trong thời gian tới.