Tăng cường phòng tuyến kiểm soát nội bộ, quản lý, giám sát chặt ngăn ngừa các rủi ro

Yêu cầu đối với hệ thống kiểm soát nội bộ

Thông tư yêu cầu phải đáp ứng các yêu cầu về hệ thống kiểm soát nội bộ theo quy định của Luật Các tổ chức tín dụng; Phù hợp với quy mô, điều kiện và mức độ phức tạp trong hoạt động kinh doanh của tổ chức tín dụng phi ngân hàng…

Đáng lưu ý tại Thông tư 14 yêu cầu hệ thống kiểm soát nội bộ của các tổ chức tín dụng phi ngân hàng phải có 03 tuyến bảo vệ độc lập. Cụ thể, tuyến bảo vệ thứ nhất có chức năng nhận dạng, kiểm soát và giảm thiểu rủi ro do các bộ phận sau thực hiện: Các bộ phận kinh doanh (bao gồm cả bộ phận phát triển sản phẩm), các bộ phận có chức năng tạo ra doanh thu khác; các bộ phận có chức năng thực hiện các quyết định có rủi ro; Các bộ phận có chức năng phân bổ hạn mức rủi ro, kiểm soát rủi ro, giảm thiểu rủi ro (thuộc bộ phận kinh doanh hoặc bộ phận độc lập) đối với từng loại hình giao dịch, hoạt động kinh doanh; Bộ phận nhân sự, bộ phận kế toán;

Tuyến bảo vệ thứ hai có chức năng xây dựng các nội dung liên quan đến quản lý rủi ro, quy định nội bộ về quản trị rủi ro, theo dõi rủi ro và tuân thủ quy định pháp luật do các bộ phận sau đây thực hiện: Bộ phận tuân thủ quy định tại Điều 16 Thông tư này; Bộ phận quản lý rủi ro quy định tại Điều 18 Thông tư này

Tuyến bảo vệ thứ ba có chức năng kiểm toán nội bộ do bộ phận kiểm toán nội bộ thực hiện theo quy định tại Luật Các tổ chức tín dụng và Thông tư này.

Thông tư 14 dành riêng một chương về giám sát của quản lý cấp cao. Trong đó đưa ra yêu cầu cụ thể đối với giám sát của quản lý cấp cao; Cơ cấu tổ chức giám sát của quản lý cấp cao của tổ chức tín dụng phi ngân hàng; Giám sát quản lý cấp cao đối với kiểm soát nội bộ; Giám sát của quản lý cấp cao đối với quản lý rủi ro…

Về yêu cầu của kiểm soát nội bộ được thực hiện đối với tất cả hoạt động, quy trình nghiệp vụ, các bộ phận tại tổ chức tín dụng phi ngân hàng (bao gồm trụ sở chính, chi nhánh và các đơn vị phụ thuộc khác) nhằm đảm bảo các yêu cầu sau:

a) Các hoạt động của tổ chức tín dụng phi ngân hàng tuân thủ quy định của pháp luật và quy định nội bộ;

b) Kiểm soát, ngăn chặn xung đột lợi ích, phát hiện và xử lý kịp thời các hành vi vi phạm quy định của pháp luật và quy định nội bộ của tổ chức tín dụng phi ngân hàng;

c) Nâng cao nhận thức về vai trò, trách nhiệm của cá nhân, bộ phận đối với kiểm soát nội bộ đê xây dựng, duy trì văn hóa kiểm soát của tổ chức tín dụng phi ngân hàng theo quy định tại Thông tư này…

Về hoạt động kiểm soát đối với hoạt động cấp tín dụng của tổ chức tín dụng phi ngân hàng phải tuân thủ quy định tại khoản 1 và 2 Điều 14 Thông tư này. Hoạt động cấp tín dụng phải được kiểm soát xung đột lợi ích theo nguyên tắc phân định trách nhiệm giữa các khâu thẩm định và quyết định cho vay theo quy định của Ngân hàng Nhà nước.

Tại Thông tư 14/2023/TT-NHNN yêu cầu hệ thống kiểm soát nội bộ của các tổ chức tín dụng phi ngân hàng phải có 03 tuyến bảo vệ độc lập

Quản lý rủi ro tín dụng, nhận diện kiểm soát rủi ro hoạt động

Về bộ phận quản lý rủi ro ùy theo quy mô, điều kiện và mức độ phức tạp của hoạt động kinh doanh, tổ chức tín dụng phi ngân hàng quyết định cơ cấu tổ chức của Bộ phận quản lý rủi ro đảm bảo thực hiện tối thiểu các chức năng sau: Giúp Tổng giám đốc (Giám đốc) trong việc đề xuất, tham mưu các nội dung quy định khoản 2 Điều 14 tại Thông tư này; phối hợp với tuyến bảo vệ thứ nhất để nhận dạng đầy đủ và theo dõi các rủi ro phát sinh; Phân tích, đưa ra những cảnh báo về mức độ an toàn của tổ chức tín dụng phi ngân hàng trước những nguy cơ, tiềm ẩn rủi ro có thể ảnh hưởng và đề xuất các biện pháp phòng ngừa đối với các rủi ro này trong ngăn hạn, dài hạn…

Tổ chức tín dụng phi ngân hàng phải xây dựng chiến lược quản lý rủi ro tín dụng tối thiểu bao gồm các nội dung sau đây: Tỷ lệ nợ xấu mục tiêu, tỷ lệ cấp tín dụng xấu mục tiêu; Nguyên tắc xác định chi phí bù đắp rủi ro tín dụng trong phương pháp tính lãi suất, định giá sản phẩm tín dụng (pricing) theo mức độ rủi ro tín dụng của khách hàng; Nguyên tắc áp dụng các biện pháp giảm thiểu rủi ro tín dụng (bao gồm cả thẩm quyền phê duyệt các biện pháp giảm thiểu rủi ro tín dụng).

Tổ chức tín dụng phi ngân hàng phải ban hành hạn mức rủi ro tín dụng đảm bảo tuân thủ các quy định về các hạn chế để bảo đảm an toàn trong hoạt động của tổ chức tín dụng phi ngân hàng tại Luật Các tổ chức tín dụng và quy định của NHNN. Hạn mức rủi ro tín dụng tối thiểu bao gồm các hạn mức:

a) Hạn mức cấp tín dụng đối với đối tượng khách hàng trên cơ sở khả năng trả nợ của khách hàng;

b) Hạn mức cấp tín dụng theo sản phẩm.

Hạn mức rủi ro tín dụng phải được rà soát, đánh giá lại (điều chỉnh nếu cần thiết) tối thiểu 01 năm một lần theo quy định nội bộ của tổ chức tín dụng phi ngân hàng.

Tổ chức tín dụng phi ngân hàng phải theo dõi, kiểm soát rủi ro tín dụng đối với từng khoản cấp tín dụng và toàn bộ danh mục cấp tín dụng và có biện pháp xử lý khi chất lượng tín dụng bị suy giảm, tối thiểu đảm bảo các yêu cầu sau:

a) Theo dõi kết quả phân loại nợ của khoản cấp tín dụng;

b) Đánh giá mức độ đầy đủ của dự phòng rủi ro theo quy định của Ngân hàng Nhà nước.

Tổ chức tín dụng phi ngân hàng thực hiện quản lý tín dụng đáp ứng các yêu cầu sau:

a) Quy định cụ thể trách nhiệm, thẩm quyền của cá nhân, bộ phận trong việc lập, lưu trữ hồ sơ tín dụng bảo đảm các hồ sơ tín dụng đầy đủ theo quy định của pháp luật;

b) Giải ngân phù hợp với mục đích sử dụng vốn, loại hình cấp tín dụng;

c) Giám sát khoản cấp tín dụng sau khi được giải ngân phải đảm bảo nguyên tắc: Kiểm tra việc sử dụng vốn vay và thực hiện các điều khoản khác trong hợp đồng cấp tín dụng của khách hàng; Đánh giá các yếu tố ảnh hưởng đến khả năng trả nợ của khách hàng; Theo dõi lịch trả nợ, nhắc nhở khách hàng thực hiện nghĩa vụ trả nợ khi đến hạn, báo cáo kịp thời cho các cấp có thẩm quyền khi khách hàng có nguy cơ không thực hiện hoặc chậm thực hiện nghĩa vụ trả nợ;

d) Quy định rõ tiêu chí, phương pháp xác định khoản cấp tín dụng có vấn đề, quản lý khoản cấp tín dụng có vấn đề để có biện pháp xử lý kịp thời...

Đối với quản lý rủi ro hoạt động tối thiểu bao gồm các nội dung: Xây dựng nguyên tắc thực hiện quản lý rủi ro hoạt động; Xây dựng nguyên tắc sử dụng hoạt động thuê ngoài, mua bảo hiểm, ứng dụng công nghệ; Xây dựng kế hoạch duy trì hoạt động liên tục, tối thiểu đối với các trường hợp mất tài liệu quan trọng, hệ thống công nghệ thông tin bị sự cố và các sự kiện bất khả kháng theo quy định của pháp luật…

Tại Thông tư 14 yêu cầu các Tổ chức tín dụng phi ngân hàng phải nhận dạng đầy đủ rủi ro hoạt động trong các hoạt động kinh doanh, quy trình nghiệp vụ, hệ thống công nghệ thông tin và các hệ thống quản lý khác. Việc nhận dạng rủi ro hoạt động được thực hiện đối với các trường hợp như sau: Gian lận nội bộ do hành vi lừa đảo, chiếm đoạt tài sản, vi phạm các chiến lược, chính sách và quy định nội bộ liên quan đến ít nhất một cá nhân của tổ chức tín dụng phi ngân hàng (bao gồm cả hành vi không đúng chức trách, nhiệm vụ, hành vi vượt thẩm quyền, trộm cắp, lợi dụng thông tin nội bộ để trục lợi); Gian lận bên ngoài do các hành vi lừa đảo, chiếm đoạt tài sản do đối tượng bên ngoài gây nên mà không có sự trợ giúp, cấu kết của cá nhân, bộ phận của tổ chức tín dụng phi ngân hàng (bao gồm cả hành vi trộm cắp, cướp, giả mạo thẻ, chứng từ, xâm nhập hệ thống công nghệ thông tin để chiếm đoạt dữ liệu)...

Tại Thông tư 14 yêu cầu hoạt động quản lý ứng dụng công nghệ phải tuân thủ quy định của Ngân hàng Nhà nước về giao dịch điện tử trong ngành ngân hàng; an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến và quy định có liên quan của pháp luật. Quản lý ứng dụng công nghệ tối thiểu bao gồm các nội dung:

a) Phạm vi quản lý ứng dụng công nghệ tối thiểu đối với hệ thống công nghệ thông tin và cơ sở dữ liệu;

b) Nhiệm vụ, trách nhiệm, quyền hạn của các cá nhân, bộ phận thực hiện quản lý ứng dụng công nghệ;

c) Hệ thống xác thực đảm bảo bảo mật thông tin của khách hàng, an toàn giao dịch và hệ thống công nghệ thông tin.

Tổ chức tín dụng phi ngân hàng quản lý rủi ro hoạt động trong ứng dụng giao dịch điện tử, giao dịch trực tuyến, giao dịch tự động, giao dịch di động và các công nghệ khác (sau đây gọi tắt là ứng dụng công nghệ) thông qua:

a) Quản lý ứng dụng công nghệ theo quy định tại khoản 1 Điều này;

b) Nhận dạng, theo dõi và kiểm soát rủi ro hoạt động phát sinh trong ứng dụng công nghệ theo quy định tại Điều 26 Thông tư này tối thiểu đảm bảo: Nhận dạng nguy cơ phát sinh rủi ro hoạt động liên quan hệ thống mạng kết nối nội bộ và bên ngoài, phần cứng, phần mềm, ứng dụng, giao diện giao dịch, vận hành và yếu tố con người; Theo dõi, đánh giá khả năng duy trì hoạt động ổn định trước nguy cơ phát sinh rủi ro hoạt động trong ứng dụng công nghệ; Kiểm soát, có các biện pháp giảm thiểu rủi ro hoạt động (nếu cần thiết) trong hoạt động ứng dụng công nghệ...

Thông tư 14 gồm có 6 Chương và 39 Điều. Thông tư này có hiệu lực từ ngày 1/10/2024.