Khung Quản Lý Rủi Ro Hoạt Động cho Ngân Hàng Tư Nhân Thụy Sĩ

Các ngân hàng tư nhân Thụy Sĩ hoạt động trong một môi trường được quản lý chặt chẽ, nơi khả năng phục hồi hoạt động là nền tảng của niềm tin từ khách hàng. Các thông tư gần đây của FINMA và các cập nhật giám sát của bang đã nhấn mạnh sự cần thiết phải có một khung quản lý rủi ro hoạt động toàn diện, hướng tới tương lai, tích hợp công nghệ, quản trị và giám sát liên tục. Trang này phác thảo một cách tiếp cận thực tiễn, phù hợp với FINMA mà các ngân hàng tư nhân Thụy Sĩ có thể áp dụng để bảo vệ chống lại các sự cố mạng, gian lận, sự cố quy trình và vi phạm quy định.

Các ngân hàng tư nhân Thụy Sĩ phải tuân thủ các hướng dẫn về Quản lý Rủi ro Hoạt động (ORM) của FINMA, Luật Ngân hàng Thụy Sĩ và các kỳ vọng giám sát của bang. Khung pháp lý được mô tả dưới đây kết hợp các yêu cầu liên bang với các sắc thái địa phương, đảm bảo rằng các chủ sở hữu rủi ro, các chủ sở hữu kiểm soát và ban quản lý cấp cao chia sẻ trách nhiệm rõ ràng. Bằng cách tích hợp việc xác định, đánh giá, giảm thiểu và báo cáo rủi ro vào các quy trình hàng ngày, các ngân hàng có thể đạt được sự tuân thủ quy định, bảo vệ tài sản của khách hàng và nâng cao khả năng phục hồi hoạt động.

Một mô hình quản trị vững chắc bắt đầu với sự giám sát ở cấp hội đồng. Hội đồng nên phê duyệt một chính sách ORM xác định khẩu vị rủi ro, ngưỡng dung nạp và các con đường leo thang. Một Giám đốc Rủi ro Hoạt động (CORO) chuyên trách báo cáo trực tiếp cho ủy ban rủi ro của hội đồng và phối hợp với Giám đốc An ninh Thông tin (CISO) và các nhân viên tuân thủ. Đường báo cáo kép này đảm bảo rằng cả rủi ro hoạt động và rủi ro mạng đều nhận được sự chú ý ngang nhau. Các cơ quan quản lý cấp bang thường yêu cầu các nhân viên rủi ro địa phương có mặt ở mỗi khu vực; do đó, các ngân hàng nên bổ nhiệm các liên lạc viên rủi ro cụ thể cho từng bang, những người sẽ cung cấp dữ liệu sự cố khu vực vào kho dữ liệu rủi ro trung tâm. Các tài liệu quản trị phải được xem xét hàng năm và sau bất kỳ sự cố quan trọng nào, như được quy định bởi Nguyên tắc Quản lý Rủi ro Vững chắc của FINMA.

Việc xác định rủi ro hiệu quả kết hợp các bảng đăng ký rủi ro từ trên xuống với báo cáo sự cố từ dưới lên. Các ngân hàng nên tiến hành Đánh giá Tự đánh giá Rủi ro và Kiểm soát (RCSA) toàn diện ít nhất hàng năm, bao gồm tất cả các dòng kinh doanh, chức năng hỗ trợ và nhà cung cấp dịch vụ bên thứ ba. RCSA nên được điều chỉnh theo bối cảnh rủi ro của Thụy Sĩ, bao gồm các nghị định về an ninh mạng của các bang và các kỳ vọng mới nhất của FINMA về việc thuê ngoài. Các kỹ thuật đánh giá định lượng, chẳng hạn như mô hình hóa tần suất sự kiện mất mát và phân tích kịch bản, cho phép các ngân hàng gán các chỉ số tài chính cho từng rủi ro. Ví dụ, một kịch bản trộm cắp mạng có thể được mô hình hóa với mức tổn thất dự kiến là 5 triệu CHF, trong khi một sự kiện thất bại quy trình có thể được định giá là 1 triệu CHF. Những chỉ số này sẽ được đưa vào tính toán phân bổ vốn và hiệu suất điều chỉnh theo rủi ro của ngân hàng.

Các biện pháp kiểm soát phải tương xứng với rủi ro đã được đánh giá và được tài liệu hóa trong một thư viện kiểm soát tập trung. Các biện pháp kiểm soát phòng ngừa bao gồm xác thực đa yếu tố, phân tách nhiệm vụ và giám sát giao dịch tự động. Các biện pháp kiểm soát phát hiện liên quan đến phân tích nhật ký theo thời gian thực, phát hiện bất thường dựa trên AI và kiểm toán nội bộ định kỳ. Các quy định của bang có thể yêu cầu các biện pháp định vị dữ liệu cụ thể cho thông tin khách hàng; do đó, các ngân hàng nên triển khai các chính sách mã hóa và kiểm soát truy cập đáp ứng cả quy tắc bảo mật dữ liệu của FINMA và quy tắc bảo mật dữ liệu của bang. Các chủ sở hữu kiểm soát có trách nhiệm duy trì bằng chứng về hiệu quả, điều này nên được lưu trữ trong một hệ thống an toàn, có thể kiểm toán và có thể truy cập được cho cả các giám sát viên liên bang và bang.

Giám sát liên tục là rất cần thiết để phát hiện sớm các vi phạm hoạt động. Một bảng điều khiển rủi ro tích hợp nên tổng hợp các chỉ số rủi ro chính (KRI) như số lần đăng nhập không thành công, tỷ lệ ngoại lệ giao dịch và thời gian ngừng hoạt động của dịch vụ bên thứ ba. Các thuật toán AI có thể đánh dấu các sai lệch so với hành vi cơ bản, kích hoạt các cảnh báo tự động đến CORO và các đơn vị kinh doanh liên quan. Tần suất báo cáo khác nhau tùy theo mức độ nghiêm trọng của rủi ro: các rủi ro có tác động cao yêu cầu báo cáo hàng ngày cho ban quản lý cấp cao, trong khi các rủi ro có tác động thấp hơn có thể được báo cáo hàng tháng. Tất cả các sự cố, bất kể quy mô, phải được ghi lại trong hệ thống quản lý sự cố và báo cáo cho FINMA trong khoảng thời gian 72 giờ theo quy định nếu chúng gây ra rủi ro hệ thống. Các giám sát viên cấp bang nhận được các tóm tắt hàng quý được điều chỉnh theo các rủi ro khu vực.

FINMA mong đợi các ngân hàng thực hiện các bài kiểm tra căng thẳng hoạt động định kỳ mô phỏng các sự kiện cực đoan nhưng có thể xảy ra. Các kịch bản có thể bao gồm một cuộc tấn công ransomware phối hợp vào các hệ thống ngân hàng cốt lõi, một sự mất mát đột ngột của một nhà cung cấp dịch vụ bên thứ ba lớn, hoặc một thay đổi quy định làm thắt chặt yêu cầu về vốn cho rủi ro hoạt động. Các ngân hàng nên định lượng tác động đến thanh khoản, khả năng đáp ứng vốn và mức độ dịch vụ khách hàng. Kết quả sẽ thông báo cho việc lập kế hoạch ứng phó, bao gồm các sắp xếp liên tục kinh doanh, kích hoạt trung tâm dữ liệu dự phòng và các giao thức giao tiếp với khách hàng và các cơ quan quản lý. Các cơ quan cấp tỉnh có thể yêu cầu kết quả kiểm tra căng thẳng địa phương cho các chi nhánh hoạt động tại các khu vực có rủi ro cao.

Các khung quản lý rủi ro hoạt động hiện đại tận dụng công nghệ để cải thiện độ chính xác và hiệu quả. Các nền tảng giám sát dựa trên AI có thể xử lý hàng triệu hồ sơ giao dịch trong thời gian thực, xác định các mẫu chỉ ra gian lận hoặc lạm dụng hệ thống. Blockchain có thể được sử dụng để tạo ra các dấu vết kiểm toán không thể thay đổi cho các hoạt động kiểm soát quan trọng, đáp ứng cả yêu cầu về tính minh bạch của FINMA và tiêu chuẩn về tính toàn vẹn dữ liệu của các bang. Các giải pháp quản lý rủi ro dựa trên đám mây phải tuân thủ Luật Bảo vệ Dữ liệu Thụy Sĩ và các yêu cầu về lưu trữ dữ liệu của các bang, đảm bảo rằng dữ liệu nhạy cảm của khách hàng vẫn nằm trong các khu vực pháp lý được phê duyệt. Các đánh giá công nghệ định kỳ đảm bảo rằng các công cụ mới nổi phù hợp với khẩu vị rủi ro của ngân hàng và các nghĩa vụ quy định.

Quản lý rủi ro hoạt động không nên là một chức năng tách biệt; nó phải được tích hợp vào quá trình ra quyết định chiến lược. Khi ra mắt các sản phẩm mới, chẳng hạn như các nền tảng quản lý tài sản kỹ thuật số, các ngân hàng phải tiến hành đánh giá tác động rủi ro hoạt động để đánh giá các phụ thuộc công nghệ, quy trình tiếp nhận khách hàng và tuân thủ quy định. Các phát hiện này sẽ được đưa vào quy trình phê duyệt sản phẩm, đảm bảo rằng các yếu tố rủi ro định hình sự phát triển kinh doanh. Các cơ quan quản lý cấp bang thường xem xét kỹ lưỡng các sản phẩm ra mắt ảnh hưởng đến thị trường địa phương, khiến việc tích hợp rủi ro sớm trở nên quan trọng để có được các phê duyệt kịp thời.

Một văn hóa cải tiến liên tục là rất quan trọng cho sự bền vững lâu dài. Các đánh giá sau sự cố phải ghi lại phân tích nguyên nhân gốc, bài học rút ra và kế hoạch hành động khắc phục. Những hiểu biết này được đưa trở lại vào chu trình RCSA, cập nhật thư viện kiểm soát và các chương trình đào tạo nhân viên. Các buổi đào tạo thường xuyên, được điều chỉnh phù hợp với cả kỳ vọng quy định của liên bang và bang, giúp nhân viên nhận thức về các mối đe dọa hoạt động mới nổi. So sánh với các tổ chức đồng nghiệp và tham gia vào các diễn đàn ngành của FINMA càng nâng cao tư thế rủi ro của ngân hàng.