Theo ủy viên Ủy ban Chính sách Tài chính (FPC) thuộc Ngân hàng Trung ương Anh (BoE) Liz Oakes, ổn định tài chính trong kỷ nguyên số không thể chỉ dựa vào bộ đệm vốn. Nó còn phụ thuộc vào khả năng của hệ thống trong việc chống chịu và phục hồi sau những cú sốc vận hành. Thông điệp này không chỉ mang ý nghĩa đối với Vương quốc Anh mà còn đưa ra nhiều hàm ý chính sách cho các ngân hàng trung ương và cơ quan quản lý toàn cầu, trong bối cảnh rủi ro mạng, sự phụ thuộc công nghệ và tính dễ tổn thương mang tính hệ thống ngày càng gia tăng.
Ảnh minh họa (Nguồn: Internet)
Khả năng chống chịu vận hành - trụ cột cốt lõi của ổn định
Từ sau khủng hoảng tài chính toàn cầu, FPC tập trung chủ yếu vào củng cố vốn ngân hàng và kiểm soát tăng trưởng tín dụng. Phát biểu tại Hội nghị Nhóm Tăng cường Khả năng chống chịu hoạt động Liên thị trường (CMORG), ngày 18/9/2025, bà Liz Oakes nhấn mạnh, khả năng chống chịu vận hành nay đã trở thành trung tâm trong nhiệm vụ của ủy ban. Lý do rất dễ hiểu: Một hệ thống tài chính có thể trông vững vàng về vốn, nhưng lại cực kỳ mong manh trước một cuộc tấn công mạng, một sự cố hạ tầng bên thứ ba, hay sự gián đoạn trong hệ thống thanh toán.
Khung chính sách của BoE hiện yêu cầu các tổ chức tài chính phải xác định “ngưỡng chịu đựng tác động” (impact tolerance) cho các dịch vụ thiết yếu - chẳng hạn, tiền lương phải được thanh toán đúng hạn ngay cả trong kịch bản gián đoạn nghiêm trọng. Đây là bước đi vượt xa logic giám sát vi mô truyền thống vốn chỉ bảo vệ từng tổ chức riêng lẻ. Nó phản ánh cách tiếp cận vĩ mô, đó là đảm bảo các dịch vụ tài chính trọng yếu cho nền kinh tế thực tiếp tục vận hành quan trọng không kém việc đảm bảo ngân hàng có thể chống đỡ thua lỗ tín dụng.
Đối với các nhà hoạch định chính sách khác, đây là một sự dịch chuyển đáng chú ý. Lâu nay, giám sát chủ yếu tập trung vào bảng cân đối và thanh khoản. Cách tiếp cận mới của Anh cho thấy các ngân hàng trung ương cần tích hợp rủi ro công nghệ và vận hành vào khung ổn định tài chính tổng thể.
Nhìn nhận rủi ro vận hành dưới lăng kính vĩ mô
Một trong những luận điểm mạnh mẽ nhất mà bà Liz Oakes đưa ra là, năng lực chống chịu ở cấp độ doanh nghiệp tuy cần thiết nhưng chưa đủ. Các lỗ hổng cấu trúc – như sự phụ thuộc chung vào một nhà cung cấp dịch vụ điện toán đám mây, hoặc điểm yếu phổ biến trong quản lý thay đổi hệ thống – có thể khuếch đại cú sốc vượt xa tác động ban đầu.
Nguy cơ này không còn mang tính giả định. Các sự cố mạng trong lĩnh vực tài chính đã tăng mạnh. Một nghiên cứu cho thấy, trong năm 2023, có tới 25% doanh nghiệp tài chính niêm yết trải qua sự cố mạng, so với chỉ 4% ở toàn bộ các doanh nghiệp thuộc các nền kinh tế phát triển. Trong hệ thống liên kết chặt chẽ hiện nay, ngay cả một sự cố nhỏ cũng có thể lan nhanh, làm xói mòn niềm tin và kích hoạt các phản ứng bất ổn như rút vốn hàng loạt.
Do đó, cách tiếp cận vĩ mô của FPC nhằm “lấp đầy khoảng trống” mà giám sát vi mô bỏ sót. Việc thiết lập ngưỡng chịu đựng tác động cho các khoản thanh toán thiết yếu là một ví dụ. Với các quốc gia khác, bài học là: Cơ quan giám sát không chỉ dừng lại ở yêu cầu lập kế hoạch ứng phó ở cấp độ doanh nghiệp, mà cần phân tích cả những kênh khuếch đại và các mối liên hệ mang tính hệ thống.
Công nghệ - con dao hai lưỡi
Trí tuệ nhân tạo (AI) có thể giúp bản đồ hóa hệ thống công nghệ thông tin phức tạp, nhận diện các điểm yếu tiềm ẩn và mô hình hóa rủi ro vận hành hiệu quả hơn. Song chính công nghệ này cũng nâng cao khả năng của kẻ tấn công, làm các vụ tấn công mạng trở nên tinh vi và khó lường hơn (Liz Oakes, 2025).
Đáng lo ngại hơn là thách thức từ máy tính lượng tử. Khi năng lực phá vỡ các chuẩn mật mã hiện hành trở thành hiện thực, khối lượng lớn dữ liệu tài chính có thể bị phơi bày. Việc chuyển sang mật mã hậu lượng tử (post-quantum cryptography) không còn là lựa chọn riêng lẻ của từng doanh nghiệp, mà là yêu cầu bắt buộc mang tính toàn ngành. Theo khuyến nghị từ Nhóm CMORG, các tổ chức cần lập danh mục tài sản mật mã, đánh giá mức độ dễ tổn thương, ưu tiên các lĩnh vực rủi ro cao và tuân thủ chuẩn quốc tế. Theo đó, cơ quan quản lý không chỉ tập trung vào rủi ro hiện tại, mà còn phải chuẩn bị cho những gián đoạn do công nghệ gây ra trong nhiều năm tới. Việc phối hợp toàn ngành về chuẩn mật mã, các biện pháp an toàn AI và nâng cấp hệ thống quan trọng không kém kiểm định sức chịu đựng vốn hay thanh khoản.
Hành động tập thể - nền tảng cốt lõi
Hệ thống tài chính liên kết quá chặt chẽ để khả năng chống chịu có thể được đảm bảo một cách đơn lẻ. Các sáng kiến như những bài tập mô phỏng toàn ngành (SIMEX) do CMORG tổ chức cho thấy cách phản ứng ở cấp độ doanh nghiệp khi cộng gộp lại có thể tạo nên kết quả hệ thống.
Khung Ứng phó Toàn ngành (SRF) của Anh giúp điều phối nhanh chóng trong các sự cố thực tế, có thể quyết định giữa một sự gián đoạn hạn chế và bất ổn hệ thống. Sau sự cố, Khung Tái kết nối (Reconnection Framework) giúp khôi phục niềm tin và giảm nguy cơ lây lan. Song song, các cuộc kiểm thử chung với Trung tâm An ninh mạng Quốc gia (NCSC) và FCA mở rộng bộ công cụ giám sát vượt ra ngoài vốn và thanh khoản.
Đối với các ngân hàng trung ương khác, bài học là rút ra là, nhiệm vụ quản lý không nên chỉ dừng ở việc đặt ra chuẩn mực cho doanh nghiệp. Cơ quan chức năng phải chủ động tập hợp ngành, xây dựng các kịch bản chung và ban hành quy trình phối hợp ứng phó. Khả năng chống chịu là lợi ích chung, chỉ có thể đạt được thông qua nỗ lực tập thể.
Mở rộng bộ công cụ giám sát
BoE cũng đang đưa khả năng chống chịu vào giám sát thường xuyên thông qua các chương trình kiểm định mới. Các bài kiểm tra sức chịu đựng về an ninh mạng và vận hành giúp xác định cách sự cố có thể lan truyền trong thanh toán và bù trừ. Chương trình CBEST (một mô hình kiểm thử an ninh mạng của Anh dựa trên kịch bản tấn công thực tế) giúp nhận diện lỗ hổng, rút ra bài học chung cho toàn ngành và chia sẻ các thông lệ tốt. Trong năm nay, BoE và Cơ quan Quản lý thận trọng (PRA) sẽ tham vấn chính sách mới về quản trị rủi ro công nghệ thông tin và an ninh mạng (Oakes, 2025). Đây cũng là điểm tham khảo cho các cơ quan khác: Kiểm tra sức chịu đựng vốn truyền thống thường tập trung vào kịch bản kinh tế vĩ mô. Việc mở rộng sang kịch bản vận hành (tấn công mạng, mất dữ liệu, gián đoạn bên thứ ba) giúp lượng hóa các điểm yếu và tăng cường mức độ sẵn sàng.
Hàm ý chính sách
Từ cách tiếp cận của BoE, có thể rút ra một số hàm ý chính sách sau: Một là, đặt khả năng chống chịu vận hành ngang tầm ưu tiên với vốn và thanh khoản trong khung ổn định tài chính. Hai là, áp dụng lăng kính vĩ mô, đánh giá phụ thuộc hệ thống và các kênh khuếch đại, thay vì chỉ tập trung vào từng doanh nghiệp. Ba là, chuẩn bị cho gián đoạn công nghệ, bao gồm chuyển đổi sang mật mã hậu lượng tử và quản lý rủi ro hai mặt của AI. Bốn là, thể chế hóa hành động tập thể thông qua diễn tập toàn ngành, khung ứng phó chung và phối hợp sau sự cố. Năm là, mở rộng bộ công cụ giám sát, đưa kiểm định vận hành và an ninh mạng thành một phần trọng yếu.
Tài liệu tham khảo:
1. Bank of England (2025), Financial Stability in Focus: Artificial intelligence in the financial system.
2. Bank of England (2024), Financial Stability in Focus: The FPC’s macroprudential approach to operational resilience.
3. A systemic risk perspective on operational resilience - speech by Liz Oakes given at the Cross Market Operational Resilience Group (CMORG) conference on 18/9/2025.
Hiền Mai