Quyết định 35/2006/QĐ-NHNN của Ngân hàng Nhà nước về việc ban hành Quy định về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử

Tóm tắt Nội dung VB gốc Tiếng Anh Hiệu lực VB liên quan Lược đồ Nội dung MIX Tải về
LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam
LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam
Hiệu lực: Đã biết
Tình trạng:Đã biết
QUYẾT ĐỊNH

CỦA NGÂN HÀNG NHÀ NƯỚC SỐ 35/2006/QĐ-NHNN NGÀY 31 THÁNG 7 NĂM 2006

BAN HÀNH QUY ĐỊNH VỀ CÁC NGUYÊN TẮC QUẢN LÝ RỦI RO

TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ

 

 
THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC

 

Căn cứ Luật Ngân hàng Nhà nước Việt Nam năm 1997; Luật sửa đổi, bổ sung một số điều của Luật Ngân hàng Nhà nước Việt Nam năm 2003;

Căn cứ Luật Các tổ chức tín dụng năm 1997; Luật sửa đổi, bổ sung một số điều của Luật các tổ chức tín dụng năm 2004;

Căn cứ Luật Giao dịch Điện tử năm 2005;

Căn cứ Nghị định số 52/2003/NĐ-CP ngày 19/5/2003 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Vụ trưởng Vụ Các Ngân hàng và tổ chức tín dụng phi ngân hàng,

 

 

QUYẾT ĐỊNH:

 

Điều 1. Ban hành kèm theo Quyết định này Quy định về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử.

Điều 2. Quyết định này có hiệu lực sau 15 ngày, kể từ ngày đăng Công báo.

Điều 3. Chánh Văn phòng, Vụ trưởng Vụ Các Ngân hàng và Tổ chức tín dụng phi ngân hàng, Thủ trưởng các đơn vị có liên quan thuộc Ngân hàng Nhà nước Việt Nam, Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương và Chủ tịch Hội đồng quản trị, Tổng Giám đốc (Giám đốc) tổ chức tín dụng chịu trách nhiệm thi hành Quyết định này.

 

KT. THỐNG ĐỐC

PHÓ THỐNG ĐỐC

Đặng Thanh Bình

 


QUY ĐỊNH

VỀ CÁC NGUYÊN TẮC QUẢN LÝ RỦI RO TRONG HOẠT ĐỘNG

NGÂN HÀNG ĐIỆN TỬ

(Ban hành kèm theo Quyết định số 35/2006/QĐ-NHNN

ngày 31 tháng 7 năm 2006 của Thống đốc Ngân hàng Nhà nước)

 

 

 

Chương I

NHỮNG QUY ĐỊNH CHUNG

 

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1.      Quy định này xác định các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử.

2.      Tổ chức tín dụng và chi nhánh ngân hàng nước ngoài tại Việt Nam (sau đây gọi chung là tổ chức tín dụng) có thực hiện hoạt động ngân hàng điện tử phải tuân thủ các nguyên tắc quản lý rủi ro nêu tại Quy định này.

Điều 2. Mục đích

Các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử là cơ sở cho các tổ chức tín dụng xây dựng quy định nội bộ về quản lý rủi ro trong hoạt động ngân hàng điện tử.

Điều 3. Giải thích từ ngữ

Trong Quy định này, các từ ngữ dưới đây được hiểu như sau:

1.      Hoạt động ngân hàng điện tử là hoạt động ngân hàng được thực hiện qua các kênh phân phối điện tử.

2.      Kênh phân phối điện tử là hệ thống các phương tiện điện tử và quy trình tự động xử lý giao dịch được tổ chức tín dụng sử dụng để giao tiếp với khách hàng và cung ứng các sản phẩm, dịch vụ ngân hàng cho khách hàng.

3.      Rủi ro trong hoạt động ngân hàng điện tử là khả năng xảy ra tổn thất khi thực hiện các hoạt động ngân hàng điện tử.

4.      Khách hàng là các tổ chức, cá nhân có quan hệ giao dịch với tổ chức tín dụng.

5.      Bên thứ ba là các tổ chức chuyên môn được tổ chức tín dụng thuê hoặc hợp tác với tổ chức tín dụng cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động ngân hàng điện tử.

Điều 4. Phạm vi hoạt động ngân hàng điện tử

Tổ chức tín dụng được tiến hành các hoạt động ngân hàng điện tử trong phạm vi nội dung hoạt động quy định tại Giấy phép thành lập và hoạt động và phù hợp với Điều lệ của tổ chức tín dụng.

Điều 5. Nguyên tắc chung

1.      Tổ chức tín dụng chịu trách nhiệm về an toàn và hiệu quả của hoạt động ngân hàng điện tử; bảo vệ quyền và lợi ích hợp pháp của tổ chức tín dụng, của khách hàng, lợi ích của Nhà nước và xã hội theo quy định của pháp luật.

2.      Để quản lý một cách có hiệu quả những rủi ro phát sinh trong hoạt động ngân hàng điện tử, tổ chức tín dụng cần:

a) Nhận định các rủi ro có thể phát sinh từ những hoạt động ngân hàng điện tử hiện đang thực hiện hoặc dự kiến triển khai;

b) Phân tích và xác định các tác động và hậu quả có thể phát sinh khi rủi ro xảy ra;

c) Phân nhóm các loại rủi ro; xác định phương hướng và biện pháp phòng ngừa rủi ro, đặc biệt lưu ý đến quản lý an ninh mạng và bảo vệ thông tin; xác định mức tổn thất tối đa có thể chấp nhận được trong trường hợp xảy ra rủi ro; không triển khai các loại hình hoạt động ngân hàng điện tử đòi hỏi những biện pháp phòng ngừa rủi ro vượt ngoài khả năng hiện có;

d) Thường xuyên đánh giá, kiểm tra kết quả và hiệu quả của công tác quản lý rủi ro; kiểm toán và cập nhật quy trình quản lý rủi ro.

 

Chương II

CÁC NGUYÊN TẮC QUẢN LÝ RỦI RO TRONG HOẠT ĐỘNG

NGÂN HÀNG ĐIỆN TỬ

 

Mục 1

QUẢN LÝ RỦI RO TRONG NỘI BỘ TỔ CHỨC TÍN DỤNG

 

Điều 6. Xây dựng phương án hoạt động ngân hàng điện tử

Trước khi triển khai hoạt động ngân hàng điện tử, tổ chức tín dụng cần xây dựng phương án hoạt động đảm bảo những nội dung cơ bản sau:

1.      Cơ sở để quyết định thực hiện hoạt động ngân hàng điện tử như: nhu cầu của thị trường; chiến lược phát triển của tổ chức tín dụng; khả năng đáp ứng của tổ chức tín dụng về vốn, công nghệ, kỹ thuật, khả năng quản trị, kiểm soát rủi ro và nguồn nhân lực.

2.      Mục tiêu cụ thể của tổ chức tín dụng khi thực hiện hoạt động ngân hàng điện tử.

3.      Những rủi ro có thể phát sinh khi thực hiện hoạt động ngân hàng điện tử và biện pháp quản lý rủi ro tương ứng.

4.      Kế hoạch đánh giá định kỳ, tối thiểu một năm một lần, hiệu quả của hoạt động ngân hàng điện tử thông qua các tiêu chí cơ bản như: thu nhập và chi phí từ hoạt động ngân hàng điện tử; số lượng khách hàng thường xuyên sử dụng các dịch vụ, sản phẩm ngân hàng điện tử; tổng số giao dịch ngân hàng điện tử đã thực hiện và chi phí bình quân cho mỗi giao dịch; các tiêu chí khác phù hợp với thực tế hoạt động của tổ chức tín dụng.

Điều 7. Chính sách quản lý rủi ro

1.      Xác định mức độ rủi ro tối đa mà tổ chức tín dụng có thể chấp nhận được;

2.      Trách nhiệm cụ thể của từng phòng, ban tham gia hoạt động ngân hàng điện tử;

3.      Quy định chế độ báo cáo định kỳ và báo cáo đột xuất khi xảy ra sự cố;

4.      Có biện pháp quản lý từng loại rủi ro cụ thể phát sinh trong quá trình cung ứng sản phẩm, dịch vụ ngân hàng điện tử; đồng thời yêu cầu bên thứ ba phải áp dụng các biện pháp tương tự;

5.      Nghiên cứu, đánh giá mức độ rủi ro và khả năng kiểm soát rủi ro, triển khai thử nghiệm các sản phẩm mới trước khi cung ứng ra thị trường.

Điều 8. Phân định phạm vi trách nhiệm, quyền hạn

Tổ chức tín dụng phải phân định rõ phạm vi trách nhiệm, quyền hạn của từng bộ phận, từng nhân viên tham gia vào một quy trình của hoạt động ngân hàng điện tử:

1.      Xem xét lại và sửa đổi, bổ sung (nếu cần thiết) chế độ phân cấp quyền hạn, trách nhiệm đang áp dụng tại tổ chức tín dụng, đảm bảo phù hợp với đặc điểm và yêu cầu của hoạt động ngân hàng điện tử.

2.      Phân định phạm vi trách nhiệm giữa nhân viên nhập dữ liệu và nhân viên kiểm tra dữ liệu.

3.      Phân định phạm vi trách nhiệm giữa bộ phận xây dựng hệ thống và bộ phận quản trị hệ thống ngân hàng điện tử.

4.      Thường xuyên kiểm tra việc tuân thủ yêu cầu phân cấp trách nhiệm, quyền hạn trong hoạt động ngân hàng điện tử.

Điều 9. Bảo vệ dữ liệu

1.      Tổ chức tín dụng phải có các biện pháp thích hợp để đảm bảo dữ liệu của mọi giao dịch ngân hàng điện tử được lưu trữ an toàn, đầy đủ, toàn vẹn và chính xác theo nguyên tắc:

a) Tất cả các dữ liệu, cơ sở dữ liệu của giao dịch ngân hàng điện tử đều được lưu trữ, trong đó cần lưu ý đối với việc mở hoặc đóng tài khoản của khách hàng; giao dịch có liên quan đến kết quả tài chính; sự thay đổi về thẩm quyền truy cập, phạm vi truy cập và giới hạn được phép giao dịch của từng cá nhân trong tổ chức tín dụng và khách hàng.

b) Quy định về việc cấp, đăng ký và bảo mật đối với quyền truy cập của từng nhân viên, cán bộ của tổ chức tín dụng và khách hàng trong hoạt động ngân hàng điện tử.

c) Mọi trường hợp bổ sung, xoá bỏ hoặc thay đổi cơ sở dữ liệu của một tổ chức, cá nhân hoặc hệ thống phải do một đầu mối có thẩm quyền thực hiện. Thông tin về thời điểm xoá bỏ, thay đổi cơ sở dữ liệu và người thực hiện việc xoá bỏ, thay đổi đó phải được lưu lại để phục vụ công tác kiểm tra, kiểm soát.

2.      Tổ chức tín dụng phải xây dựng quy trình kiểm soát an toàn dữ liệu trong hoạt động ngân hàng điện tử.

a) Áp dụng các biện pháp kỹ thuật, công nghệ cần thiết để ngăn chặn những trường hợp truy cập trái phép vào các ứng dụng và cơ sở dữ liệu của hoạt động ngân hàng điện tử;

b) Thường xuyên xem xét và kiểm định lại hiệu quả của các biện pháp quản lý an toàn dữ liệu để có những điều chỉnh kịp thời nếu cần thiết.

3.      Tổ chức tín dụng phải áp dụng các biện pháp cần thiết nhằm đảm bảo bí mật thông tin hoạt động ngân hàng điện tử. Từng biện pháp cụ thể phải phù hợp với mức độ quan trọng của thông tin được truyền đi hay lưu trữ trong cơ sở dữ liệu.

a) Chỉ những cá nhân có thẩm quyền mới được phép tiếp cận đến dữ liệu mật của tổ chức tín dụng;

b) Mọi thông tin bí mật của tổ chức tín dụng phải được lưu trữ một cách an toàn và phải được bảo vệ khỏi mọi nguy cơ bị sửa đổi, truy cập trái phép hoặc rò rỉ trong quá trình truyền dữ liệu qua các mạng nội bộ hoặc mạng công cộng;

c) Trường hợp được quyền tiếp cận đến những thông tin mật của tổ chức tín dụng, bên thứ ba cũng phải tuân thủ mọi tiêu chuẩn và chế độ kiểm tra, kiểm soát do tổ chức tín dụng quy định;

d) Tổ chức tín dụng phải thực hiện các biện pháp kỹ thuật để lưu trữ từng lượt truy cập thông tin mật và bảo đảm thông tin lưu trữ này không bị sửa đổi.

Điều 10. Kiểm tra, kiểm soát, kiểm toán nội bộ

1.      Tổ chức tín dụng phải xây dựng, điều chỉnh quy trình kiểm tra, kiểm soát, kiểm toán nội bộ phù hợp với đặc điểm của hoạt động ngân hàng điện tử.

2.      Hệ thống ngân hàng điện tử được kiểm tra, đánh giá thường xuyên và được kiểm soát, kiểm toán nội bộ định kỳ hoặc đột xuất nhằm phát hiện, ngăn ngừa các hành vi truy cập bất hợp pháp hoặc vượt thẩm quyền.

3.      Cần lưu ý đến vấn đề bản quyền đối với các phần mềm và ứng dụng sử dụng trong hệ thống ngân hàng điện tử.

4.      Dữ liệu liên quan đến một giao dịch ngân hàng điện tử phải được lưu giữ đầy đủ phục vụ công tác kiểm tra, kiểm soát, kiểm toán nội bộ của tổ chức tín dụng. Thời gian lưu trữ chứng từ giao dịch điện tử được thực hiện theo quy định của pháp luật về lưu trữ.

 

Mục 2

QUẢN LÝ RỦI RO TRONG GIAO DỊCH VỚI KHÁCH HÀNG

 

Điều 11. Nguyên tắc giao dịch

1.      Bảo mật và bảo đảm tính toàn vẹn và chính xác của những thông tin, dữ liệu, cơ sở dữ liệu của các số liệu giao dịch trong hoạt động ngân hàng điện tử.

2.      Phân loại giao dịch, những giao dịch quan trọng phải được người có thẩm quyền tại từng bộ phận kiểm tra, giám sát và phải được kiểm tra, giám sát giữa các bộ phận chức năng trong nội bộ tổ chức tín dụng.

3.      Bảo đảm cung cấp cho khách hàng những thông tin chính xác, giúp khách hàng trước khi giao dịch với tổ chức tín dụng có được sự hiểu biết, đánh giá đúng về khả năng và thực trạng của tổ chức tín dụng, về các quyền lợi và nghĩa vụ của mình.

Điều 12. Các nguyên tắc trong quan hệ với khách hàng

1.      Tổ chức tín dụng phải quy định cụ thể về trình tự, thủ tục thiết lập quan hệ, tiếp nhận và xử lý giao dịch ngân hàng điện tử với khách hàng.

2.      Đảm bảo xác minh nhân dạng, quyền tiếp cận thông tin, tài khoản, phạm vi và giới hạn được phép giao dịch của khách hàng.

3.      Xác lập và công bố rõ ràng nghĩa vụ, trách nhiệm và quyền hạn của khách hàng khi đưa ra đề nghị giao dịch; đảm bảo ngăn ngừa việc phủ nhận hoặc thoái thác giao dịch từ phía khách hàng.

4.      Khi ký hợp đồng cung cấp dịch vụ ngân hàng điện tử cho khách hàng và/hoặc trong lần đầu tiên sử dụng dịch vụ ngân hàng điện tử của khách hàng, ngân hàng phải có trách nhiệm công khai và giải thích rõ ràng, đầy đủ những rủi ro khách hàng có thể gặp phải khi sử dụng những dịch vụ này.

5.      Ngăn ngừa, phát hiện kịp thời bất kỳ sự giả mạo, sửa đổi những thông tin, dữ liệu kế toán, tài chính và các cam kết liên quan đến quyền lợi, nghĩa vụ của tổ chức tín dụng và khách hàng.

 

Mục 3

QUẢN LÝ RỦI RO ĐỐI VỚI BÊN THỨ BA

 

Điều 13. Đánh giá bên thứ ba

Trong trường hợp thuê hoặc hợp tác với bên thứ ba để cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động ngân hàng điện tử, tổ chức tín dụng phải:

1.      Đánh giá thận trọng và đầy đủ những rủi ro có thể phát sinh; có kế hoạch dự phòng trường hợp dịch vụ do bên thứ ba cung cấp bị gián đoạn.

2.      Thẩm định kỹ năng lực kỹ thuật, khả năng tài chính của các bên đối tác. Các bên đối tác phải có đủ năng lực tài chính, uy tín và tiềm năng để chịu trách nhiệm pháp lý và trách nhiệm tài chính có thể phát sinh liên quan đến phần dịch vụ do các bên này cung cấp.

3.      Lưu ý đến các vấn đề về an ninh, bảo mật khi nhân viên của bên thứ ba được phép tiếp cận với hệ thống ngân hàng điện tử.

4.      Xác định rõ trách nhiệm, quyền hạn và nghĩa vụ của các bên trong hợp đồng thuê, hợp đồng hợp tác; đảm bảo tổ chức tín dụng có quyền kiểm tra, giám sát định kỳ hoặc đột xuất đối với hoạt động cung cấp dịch vụ hỗ trợ kỹ thuật của bên thứ ba và có quyền yêu cầu bên thứ ba thực hiện kiểm toán độc lập khi cần thiết.

5.      Thường xuyên đánh giá các vướng mắc, sự cố, các vấn đề tiềm ẩn trong quan hệ với bên thứ ba trong hoạt động ngân hàng điện tử để có biện pháp quản lý rủi ro thích hợp.

Điều 14. Dữ liệu

Trong trường hợp bên thứ ba chịu trách nhiệm quản lý hệ thống xử lý và lưu trữ dữ liệu, tổ chức tín dụng cần đảm bảo:

1.      Trong hợp đồng ký kết với bên thứ ba phải quy định rõ việc tổ chức tín dụng có quyền tiếp cận đến những dữ liệu cần thiết;

2.      Mọi dữ liệu do bên thứ ba lưu trữ đều phải đáp ứng các tiêu chuẩn và yêu cầu về bảo mật của tổ chức tín dụng.

 

Mục 4

QUẢN LÝ RỦI RO TRONG CÁC TRƯỜNG HỢP XẢY RA SỰ CỐ

 

 

Điều 15. Phòng ngừa sự cố

1.      Xây dựng hệ thống lưu trữ cơ sở dữ liệu và từng bước xây dựng hệ thống dự phòng xử lý giao dịch ngân hàng điện tử.

2.      Thực hiện kiểm tra định kỳ và đột xuất để đánh giá: khả năng hoạt động liên tục của hệ thống ngân hàng điện tử; nguồn lực hiện tại và khả năng nâng cấp trong tương lai trên cơ sở có tính đến các yếu tố thị trường đối với thương mại điện tử và tỷ lệ khách hàng dự kiến chấp thuận các dịch vụ và sản phẩm ngân hàng điện tử.

3.      Xây dựng các kế hoạch phản ứng khi xảy ra sự cố để có thể kiểm soát, khoanh vùng và giảm thiểu rắc rối phát sinh từ những sự kiện bất ngờ, bao gồm các sự cố phát sinh từ bên ngoài và bên trong hệ thống, trong và ngoài giờ làm việc, tác động vào hệ thống ngân hàng điện tử làm ảnh hưởng đến việc cung cấp các dịch vụ ngân hàng điện tử.

4.      Xây dựng quy trình kiểm soát sự cố, xác định người có trách nhiệm nhận thông tin và xử lý thông tin khi hoạt động ngân hàng điện tử phát sinh sự cố. Xác định trước nhân sự của nhóm xử lý sự cố để đề phòng phát sinh những sự cố nghiêm trọng cần phải xử lý ngay. Tổ chức tín dụng có thể thoả thuận trước với bên thứ ba về việc trưng dụng nhân sự vào nhóm xử lý sự cố khi phát sinh những sự cố nghiêm trọng.

5.      Có văn bản quy định rõ phạm vi trách nhiệm của tổ chức tín dụng, bên thứ ba trong trường hợp xảy ra sự cố. Văn bản này phải được cung cấp đầy đủ cho bên thứ ba ngay khi ký kết hợp đồng. Trong trường hợp văn bản nói trên có những nội dung liên quan đến quyền lợi và trách nhiệm của khách hàng trong trường hợp xảy ra sự cố thì những nội dung này phải được công bố cho khách hàng biết khi khách hàng ký kết hợp đồng sử dụng dịch vụ hoặc trong lần đầu tiên khách hàng sử dụng dịch vụ ngân hàng điện tử.

Điều 16. Kiểm soát và khắc phục sự cố

Trong trường hợp hệ thống ngân hàng điện tử xảy ra sự cố, tổ chức tín dụng cần áp dụng các biện pháp sau :

1.      Triển khai các biện pháp xử lý sự cố theo quy trình kiểm soát sự cố và phương án xử lý sự cố đã xây dựng.

2.      Xác định điểm xảy ra sự cố, nguyên nhân sự cố là do lỗi kỹ thuật hay do yếu tố con người. Khoanh vùng ảnh hưởng và xác định nhóm khách hàng có thể bị ảnh hưởng.

3.      Kịp thời có biện pháp tuyên truyền, giải thích cho dân chúng, khách hàng và các đối tượng có liên quan về những sự cố phát sinh đối với hệ thống ngân hàng điện tử.

4.      Thu thập, bảo toàn chứng cứ pháp lý để phục vụ việc kiểm tra, xử lý các sự cố đối với hệ thống ngân hàng điện tử và có biện pháp xử lý đối với những tổ chức, cá nhân vi phạm pháp luật.

5.      Nhanh chóng khắc phục sự cố, giải quyết các tranh chấp phát sinh có liên quan đến sự cố và bồi thường các thiệt hại thuộc trách nhiệm của mình để tránh các rủi ro có thể xảy ra đối với uy tín của tổ chức tín dụng.

 

 

Chương III

ĐIỀU KHOẢN THI HÀNH

 

Điều 17. Quy định nội bộ của tổ chức tín dụng

1.      Căn cứ vào tính chất và đặc điểm của kênh phân phối điện tử có liên quan đến hoạt động ngân hàng điện tử, tổ chức tín dụng có trách nhiệm ban hành quy định nội bộ về quản lý rủi ro trong hoạt động ngân hàng điện tử trên cơ sở phù hợp với pháp luật hiện hành và các nguyên tắc nêu tại Quy định này.

2.      Trong thời hạn 06 tháng kể từ ngày Quy định này có hiệu lực thi hành, tổ chức tín dụng đã thực hiện hoạt động ngân hàng điện tử phải xây dựng và gửi quy định nội bộ về quản lý rủi ro trong hoạt động ngân hàng điện tử cho Ngân hàng Nhà nước Việt Nam (Thanh tra Ngân hàng Nhà nước, Vụ Các Ngân hàng, Cục Công nghệ tin học ngân hàng, Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương nơi tổ chức tín dụng cổ phần đặt trụ sở chính) để phục vụ công tác kiểm tra, giám sát.

3.      Trong trường hợp tổ chức tín dụng thay đổi các nội dung tại quy định nội bộ nói trên thì phải thông báo cho Ngân hàng Nhà nước Việt Nam (Thanh tra Ngân hàng Nhà nước, Vụ Các Ngân hàng, Cục Công nghệ tin học ngân hàng, Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương nơi tổ chức tín dụng cổ phần đặt trụ sở chính) về những nội dung thay đổi đó.

Điều 18. Báo cáo

1.      Chậm nhất vào ngày 20 tháng 01 và ngày 20 tháng 7 hàng năm, tổ chức tín dụng phải gửi báo cáo đến Ngân hàng Nhà nước Việt Nam (Thanh tra Ngân hàng Nhà nước, Vụ Các Ngân hàng, Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương nơi tổ chức tín dụng cổ phần đặt trụ sở chính) về hoạt động ngân hàng điện tử và đánh giá về kết quả kiểm soát, xử lý rủi ro đối với hoạt động ngân hàng điện tử trong 06 tháng đầu năm và cả năm.

2.      Báo cáo cần phải đảm bảo những nội dung sau:

a) Các sản phẩm, dịch vụ ngân hàng điện tử hiện đang cung ứng;

b) Các bên thứ ba được thuê hoặc cùng hợp tác thực hiện hoạt động ngân hàng điện tử; các hoạt động ngân hàng điện tử có sự tham gia của bên thứ ba và hình thức tham gia của các bên thứ ba này;

c) Số lượng khách hàng sử dụng dịch vụ ngân hàng điện tử và tỷ lệ tăng trưởng khách hàng so với cùng kỳ năm trước;

d) Doanh số hoạt động ngân hàng điện tử;

đ) Những sự cố đã phát sinh trong kỳ. Sự cố được báo cáo theo 04 nhóm rủi ro như quy định tại Chương II Quy định này, các thiệt hại và biện pháp xử lý đã áp dụng.

Điều 19. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

1.      Thanh tra Ngân hàng Nhà nước:

a) Thực hiện thanh tra, giám sát việc tuân thủ các nguyên tắc về quản lý rủi ro trong hoạt động ngân hàng điện tử của tổ chức tín dụng theo thẩm quyền.

b) Xử lý theo thẩm quyền và kiến nghị Thống đốc Ngân hàng Nhà nước xử lý các trường hợp vi phạm Quy định này và các quy định khác của pháp luật hiện hành.

2.      Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương:

Thực hiện thanh tra, kiểm tra việc tuân thủ các nguyên tắc về quản lý rủi ro trong hoạt động ngân hàng điện tử của tổ chức tín dụng cổ phần trên địa bàn và xử lý các trường hợp vi phạm theo thẩm quyền.

3.      Vụ Các Ngân hàng và tổ chức tín dụng phi ngân hàng:

a) Nghiên cứu, trình Thống đốc Ngân hàng Nhà nước xem xét, sửa đổi bổ sung những quy định về quản lý rủi ro trong hoạt động ngân hàng điện tử tại Quy định này.

b) Phối hợp với Thanh tra Ngân hàng Nhà nước giám sát việc tuân thủ các quy định về quản lý rủi ro trong hoạt động ngân hàng điện tử của các tổ chức tín dụng.

4.      Cục Công nghệ tin học ngân hàng:

Phối hợp với Thanh tra Ngân hàng Nhà nước để kiểm tra việc tuân thủ các quy định về quản lý rủi ro trong hoạt động ngân hàng điện tử của các tổ chức tín dụng.

KT. THỐNG ĐỐC

PHÓ THỐNG ĐỐC

Đặng Thanh Bình

Thuộc tính văn bản
Quyết định 35/2006/QĐ-NHNN của Ngân hàng Nhà nước về việc ban hành Quy định về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử
Cơ quan ban hành: Ngân hàng Nhà nước Việt Nam Số công báo: Đã biết
Số hiệu: 35/2006/QĐ-NHNN Ngày đăng công báo: Đã biết
Loại văn bản: Quyết định Người ký: Đặng Thanh Bình
Ngày ban hành: 31/07/2006 Ngày hết hiệu lực: Đang cập nhật
Áp dụng: Đã biết Tình trạng hiệu lực: Đã biết
Lĩnh vực: Tài chính-Ngân hàng
Tóm tắt văn bản
Nội dung văn bản đang được cập nhật, Quý khách vui lòng quay lại sau!
Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem VB liên quan.
Nếu chưa có tài khoản Quý khách đăng ký tại đây!
Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Hiệu lực.
Nếu chưa có tài khoản Quý khách đăng ký tại đây!

THE STATE BANK
-------
SOCIALIST REPUBLIC OF VIET NAM
Independence - Freedom - Happiness
----------
No: 35/2006/QD-NHNN
Hanoi, July 31, 2006

 
DECISION
PROMULGATING THE REGULATION ON RISK MANAGEMENT PRINCIPLES FOR E-BANKING ACTIVITIES
THE GOVERNOR OF THE STATE BANK
Pursuant to the 1997 Law on the State Bank of Vietnam and the 2003 Law Amending and Supplementing a Number of Articles of the Law on the State Bank of Vietnam;
Pursuant to the 1997 Law on Credit Institutions and the 2004 Law Amending and Supplementing a Number of Articles of the Law on Credit Institutions;
Pursuant to the 2005 Law on Electronic Transactions;
Pursuant to the Government's Decree No. 52/2003/ND-CP of May 19, 2003, defining the functions, tasks, powers and organizational structure of the State Bank of Vietnam;
At the proposal of the director of the Department of Banks and Non-Bank Credit Institutions,
DECIDES:
Article 1.- To promulgate together with this Decision the Regulation on risk management principles for e-banking activities.
Article 2.- This Decision shall take effect 15 days after its publication in "CONG BAO."
Article 3.- The director of the Office, the director of the Department of Banks and Non-Bank Credit Institutions, heads of concerned units under the State Bank of Vietnam, directors of State Bank branches in provinces and centrally run cities, and chairmen of the Management Boards and general directors (directors) of credit institutions shall have to implement this Decision.
 

 
FOR THE STATE BANK GOVERNOR
DEPUTY GOVERNOR




Dang Thanh Binh

 
REGULATION
ON RISK MANAGEMENT PRINCIPLES FOR E-BANKING ACTIVITIES
(Promulgated together with the State Bank Governor's Decision No. 35/2006/QD-NHNN of July 31, 2006)
Chapter I
GENERAL PROVISIONS
Article 1.- Scope of regulation and subjects of application
1. This Regulation establishes risk management principles for e-banking activities.
2. Credit institutions and foreign bank branches in Vietnam (hereinafter collectively referred to as credit institutions) which are engaged in e-banking activities shall have to adhere to the risk management principles laid down in this Regulation.
Article 2.- Purpose
Risk management principles for e-banking activities shall serve as the basis for credit institutions to formulate their internal rules on risk management for e-banking.
Article 3.- Interpretation of terms
In this Decision, the terms below shall be construed as follows:
1. E-banking activities means banking activities conducted via electronic distribution channels.
2. Electronic distribution channel means a system of electronic equipment and automated processes to handle transactions, which is used by credit institutions for communication with customers and provision of banking products and services to customers.
3. E-banking risk means potential occurrence of losses in e-banking activities.
4. Customers mean organizations and individuals having transactions with credit institutions.
4. Third parties means professional organizations hired by or cooperating with credit institutions to provide technical services in support of e-banking activities.
Article 4.- Scope of e-banking activities
Credit institutions may conduct e-banking activities within the scope of their activities defined in their establishment and operation licenses and in compliance with their charters.
Article 5.- General principles
1. Credit institutions shall take responsibility for ensuring safe and sound e-banking activities; protecting legitimate rights and interests of credit institutions and customers as well as interests of the State and society in accordance with the provisions of law.
2. In order to effectively manage risks associated with e-banking activities, credit institutions should:
a/ Identify risks that may arise from current or planned e-banking activities;
b/ Analyze and identify impacts and consequences that may arise from the occurrence of risks;
c/ Categorize risks; decide on orientations and measures to prevent risks, paying special attention to the management of network security and the protection of information; determine the maximum acceptable loss in case of occurrence of losses; refrain from carrying out types of e-banking activities which require risk prevention measures beyond their capability;
d/ Regularly assess and supervise the results and effectiveness of risk management work; audit and update risk management processes.
Chapter II
RISK MANAGEMENT PRINCIPLES FOR E-BANKING ACTIVITIES
Section 1. MANAGEMENT OF RISKS WITHIN CREDIT INSTITUTIONS
Article 6.- Making of plans on e-banking activities
Before starting e-banking activities, a credit institution should make a plan thereon with the following basic contents:
1. Grounds for deciding to conduct e-banking activities, such as market demand; the credit institution's development strategy and its capabilities in terms of capital, technology, technique, business management, risk control and human resources.
2. Specific objectives set by the credit institution for e-banking activities.
3. Risks that may occur in e-banking activities and relevant risk management measures.
4. Plan on regular assessments, at least on a yearly basis, of the effectiveness of e-banking activities according to such fundamental criteria as income and cost of e-banking activities; number of customers frequently using e-banking services and products; total number of e-banking transactions already conducted and average cost per transaction; other criteria suitable to the practical activities of the credit institution.
Article 7.- Risk management policies
1. Determining the maximum level of risk acceptable to the credit institution;
2. Defining specific duties of each section or board involved in e-banking activities;
3. Regulations on regular reporting and irregular reporting when an incident occurs;
4. Adopting measures to manage each particular type of risks that may occur in the course of provision of e-banking products and services; at the same time requesting third parties to apply similar measures;
5. Studying and assessing the degree of risks and the risk control capability, testing new products before marketing them.
Article 8.- Assignment of duties and powers
Credit institutions shall clearly define the scope of duties and powers of each section and employee involved in an e-banking process:
1. Reviewing, revising and supplementing (if necessary) the regime of delegation of powers and duties currently applied at the credit institution to ensure its compatibility with the characteristics and requirements of e-banking activities.
2. Defining the scope of duties between employees entering data and those checking data.
3. Defining the scope of duties between the section establishing and the section administrating the e-banking system.
4. Regularly supervising the compliance with the requirement on delegation of duties and powers in e-banking activities.
Article 9.- Data protection
1. Credit institutions shall adopt appropriate measures to ensure safety, completeness, integrity and accuracy of stored data on all e-banking transactions on the following principles:
a/ All data and databases on e-banking transactions shall be stored, with particular attention paid to the opening or closing of customers' accounts; transactions related to financial results; change of access authority and scope, and the permitted transaction limit of each individual within the credit institution and of each customer.
b/ Regulations on the grant, registration and confidentiality of access rights of each employee of the credit institution and each customer in e-banking activities shall be promulgated.
c/ Any addition, deletion or change of the database of an organization, individual or system must be effected by a sole competent person. Information on the time of deletion or change of a database and on the persons who have effected such deletion or change shall be stored to facilitate inspection and control work.
2. Credit institutions shall have to formulate data safety control processes in e-banking activities.
a/ Applying necessary technical and technological measures to prevent illegal accesses to applications and databases of e-banking activities;
b/ Regularly reviewing and testing the effectiveness of data safety management measures so as to make timely adjustments when necessary.
3. Credit institutions shall apply necessary measures to ensure the confidentiality of e-banking information. Every specific measure should be commensurate with the materiality of information being transmitted and/or stored in databases.
a/ Only duly authorized persons may have access to confidential data of credit institutions;
b/ All confidential information of credit institutions must be securely stored and protected against all risks of illegal modification, access or leakage during transmission over internal or public networks;
c/ When having the right to access confidential information of a credit institution, third parties must meet all standards and comply with the inspection and control regime required by the credit institution;
d/ Credit institutions must take technical measures to log every access to confidential information and ensure that access logs are resistant to tampering.
Article 10.- Internal supervision, control and audit
1. Credit institutions shall formulate and adapt their internal supervision, control and audit processes in accordance with the characteristics of e-banking activities.
2. The e-banking systems shall be regularly inspected and assessed and regularly or unexpectedly internally controlled and audited in order to detect and prevent illegal or unauthorized access.
3. It is necessary to take into consideration the issue of copyright to software and applications used in the e-banking system.
4. Data related to every e-banking transaction must be fully stored to facilitate credit institutions' internal supervision, control and audit work. The duration of archive of electronic transaction documents shall comply with the provisions of law on archive.
Section 2. MANAGEMENT OF RISKS IN TRANSACTIONS WITH CUSTOMERS
Article 11.- Principles of transactions
1. To keep confidential and ensure the integrity and accuracy of information, data and databases of transaction figures in e-banking activities.
2. To classify transactions; important transactions shall be inspected and supervised by authorized persons in each section and be supervised and monitored by functional sections within a credit institution.
3. To ensure that accurate information is provided to customers to help them have a correct understanding and assessment of the actual capability and status of the credit institution as well as of their interests and obligations before they enter into transactions with credit institutions.
Article 12.- Principles on relationships with customers
1. Credit institutions shall have to promulgate specific regulations on the order and procedures for establishing relations, receiving and processing e-banking transactions with customers.
2. To ensure the verification of customer's identity, access right, accounts, permitted scope and limit of transactions.
3. To establish and clearly announce the obligations, responsibilities and powers of customers seeking to initiate transactions; to ensure the prevention of customers' denial or repudiation of transactions.
4. When signing contracts on provision of e-banking services to customers and/or when customers use for the first time e-banking services, banks shall have to inform customers of risks that customers may face when using these services and provide them with explicit and full explanations thereon.
5. To prevent and detect in time any tampering with and modification of accounting and financial information and data as well as commitments related to credit institutions' and customers' interests and obligations.
Section 3. MANAGEMENT OF RISKS RELATED TO THIRD PARTIES
Article 13.- Assessment of third parties
In case of hiring or cooperating with a third party to provide technical services in support of e-banking activities, a credit institution shall:
1. Prudently and adequately assess potential risks; make a contingency plan to deal with disruptions in the provision of services by third parties.
2. Thoroughly evaluate the technical competence and financial capability of their counterparts. Counterparties must have full financial capability, reputation and potential to bear legal and financial liabilities associated with services provided by themselves.
3. To take into consideration security and confidentiality issues when third-party employees are permitted to access the e-banking system.
4. To clearly define duties, powers and obligations of parties in the hiring or cooperation contract; to ensure that the credit institution has the right to regularly and irregularly supervise and oversee the provision of technical support services by third parties and have the right to request third parties to conduct independent audit when necessary.
5. To regularly assess difficulties, incidents and potential problems in the relationships with third parties in e-banking activities so as to work out appropriate risk management measures.
Article 14.- Data
In case the third party is responsible for managing the data processing and storage system, the credit institution should ensure that:
1. It is clearly stipulated in the contract signed with the third party that the credit institution has the right to access necessary data;
2. All data stored by the third party shall meet confidentiality standards and requirements set by the credit institution.
Section 4. MANAGEMENT OF RISKS UPON OCCURRENCE OF INCIDENTS
Article 15.- Prevention of incidents
1. To build a data storage system and step by step build a standby system for dealing with e-banking transactions.
2. To conduct regular and unexpected supervisions to assess the e-banking system's operational continuity; existing resources and future scalability on the basis of taking into consideration market elements related to e-commerce and the projected rate of customer acceptance of e-banking services and products.
3. To develop incident response plans in order to control, contain and minimize problems arising from by unexpected events occurring inside and outside the system and during and after working hours to the e-banking systems, which may affect the provision of e-banking services.
4. To develop processes of controlling incidents, identify persons responsible for receiving and processing information on incidents occurring in e-banking activities. To pre-determine members of incident response teams to promptly deal with serious incidents when they occur. Credit institutions may reach agreement with third parties on the mobilization of the latter's personnel to join incident response teams to deal with serious incidents.
5. To issue regulatory documents clearly defining the responsibilities of credit institutions and third parties when incidents occur. These documents shall be fully supplied to third parties right at the time of signing of contracts. In case such a document has some contents related to customers' interests and responsibilities when incidents occur, these contents shall be made known to customers when customers sign contracts on the use of e-banking services or when customers use such services for the first time.
Article 16.- Incident control and response
In case incidents occur in the e-banking system, credit institutions should apply the following measures:
1. To deploy incident response measures according to incident response processes and plans already developed.
2. To locate incidents and their causes due to technical failures or human factors. To determine the affected area and identify customers' groups likely to be affected.
3. To take timely measures to disseminate and explain to the public, customers and related subjects on incidents occurring in the e-banking system.
4. To collect and preserve legal evidences to facilitate the investigation into and handling of incidents in the e-banking system and apply measures to handle law-violating organizations and individuals.
5. To quickly respond to incidents and settle disputes related thereto and pay damages falling within the scope of their responsibility so as to prevent reputation risks for credit institutions.
Chapter III
IMPLEMENTATION PROVISIONS
Article 17.- Internal rules of credit institutions
1. Depending on the nature and characteristics of electronic distribution channels related to e-banking activities, credit institutions shall have to issue internal rules on management of risks in e-banking activities in accordance with current laws and the principles laid down in this Regulation.
2. Within 6 months after the effective date of this Decision, credit institutions which have carried out e-banking activities shall have to formulate and send their internal rules on management of risks in e-banking activities to the State Bank of Vietnam (the State Bank Inspectorate, the Department of Banks and Non-Bank Credit Institutions, the Department of Banking Informatic Technology and State Bank branches of the provinces or centrally run cities where joint-stock credit institutions are headquartered) to facilitate the latter's inspection and supervision work.
3. In case credit institutions make amendments to their internal rules, they shall have to notify them to the State Bank of Vietnam (the State Bank Inspectorate, the Department of Banks and Non-Bank Credit Institutions, the Department of Banking Informatic Technology and State Bank branches of the provinces or centrally run cities where joint-stock credit institutions are headquartered).
Article 18.- Reporting
1. No later than January 20 and July 20 every year, credit institutions shall send reports on e-banking activities and assessment of the results of control and handling of risks in e-banking activities in the first six months and the whole year to the State Bank of Vietnam (the State Bank Inspectorate, the Departments of Banks and Non-Bank Credit Institutions, the Department of Banking Informatic Technology and State Bank branches of the provinces or centrally run cities where joint-stock credit institutions are headquartered).
2. A report shall contain the following details:
a/ E-banking products and/or services currently provided;
b/ Third parties involved in e-banking activities on a hiring or cooperation basis; e-banking activities with the participation of third parties and forms of participation;
c/ Number of customers using e-banking services and the rate of increase in the number of customers compared with the same period of the previous year;
d/ Turnover of e-banking activities;
e/ Incidents having occurred in the period, reported according to the four categories of risks defined in Chapter II of this Regulation, inflicted damage and applied response measures.
Article 19.- Responsibilities of State Bank units
1. The State Bank Inspectorate:
a/ To inspect and supervise according to its competence credit institutions' adherence to the risk management principles for e-banking activities.
b/ To handle according to its competence and propose the State Bank Governor to handle violations of this Regulation and other provisions of law.
2. State Bank branches of provinces and centrally run cities:
To inspect and supervise local joint-stock credit institutions' adherence to the risk management principles for e-banking activities and handle violations according to their competence.
3. The Department of Banks and Non-Bank Credit Institutions:
a/ To study and submit to the State Bank Governor for consideration amendments and supplements to the provisions of this Regulation on management of risks in e-banking activities.
b/ To coordinate with the State Bank Governor in supervising credit institutions' adherence to the risk management principles for e-banking activities.
4. The Department of Banking Informatic Technology:
To coordinate with the State Bank Inspectorate in supervising credit institutions' adherence to the risk management principles for e-banking activities.
 
Vui lòng Đăng nhập tài khoản gói Nâng cao để xem đầy đủ bản dịch. Nếu chưa có tài khoản Quý khách đăng ký tại đây.
Văn bản tiếng Anh
Bản dịch tham khảo
* Lưu ý: Để đọc được văn bản tải trên Luatvietnam.vn, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.
Văn bản này chưa có chỉ dẫn thay đổi
Để được giải đáp thắc mắc, vui lòng gọi
1900.6192 hoặc gửi câu hỏi tại đây

Tải ứng dụng LuatVietnam Miễn phí trên

Văn bản cùng lĩnh vực
Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Lược đồ.
Nếu chưa có tài khoản Quý khách đăng ký tại đây!