Quản trị rủi ro hiện không còn là khái niệm mới tại Việt Nam ở mọi ngành và mọi lĩnh vực trong những năm gần đây. Các nhà lãnh đạo và quản lý Công nghệ thông tin (CNTT) tại các doanh nghiệp, tổ chức cũng đã có những quyết định mang tính chiến lược trong việc áp dụng quản trị rủi ro CNTT để nâng cao hiệu quả hoạt động, chất lượng dịch vụ của bộ phận CNTT cũng như giảm thiểu những thiệt hại không may xảy ra liên quan đến CNTT đối với hoạt động, sản xuất, kinh doanh và sự phát triển ổn định. Quản trị rủi ro CNTT cũng là một trong những năng lực cốt lõi và kỹ năng cần thiết của các nhà lãnh đạo và quản lý.
"Rủi ro“ theo quan điểm hiện đại thì không phải lúc nào cũng là xấu và có ảnh hưởng không tốt tới sự phát triển và tồn tại của doanh nghiệp, tổ chức. Theo Hiệp hội Giám sát và Kiểm toán các Hệ thống thông tin ISACA (Information Systems Audit and Control Association) thì "rủi ro và giá trị của nó là hai mặt của một đồng xu“ [1]. Thực tế cũng cho thấy rằng, nếu doanh nghiệp không có rủi ro thì doanh nghiệp có rất ít cơ hội để phát triển mạnh mẽ. Chỉ khi doanh nghiệp dám đương đầu với rủi ro thì mới thực sự tạo ra những bước đột phá và có cơ hội mang lại nhiều lợi ích cho chính doanh nghiệp và cho khách hàng. Do đó, Hiệp hội ISACA cũng cho rằng "doanh nghiệp cần đảm bảo không bị bỏ lỡ các cơ hội để tạo ra giá trị bằng việc cố gắng giảm thiểu rủi ro“. Vậy làm thế nào để quản trị rủi ro một cách hiệu quả nhất để doanh nghiệp đảm bảo hoạt động liên tục của doanh nghiệp, đồng thời cũng giúp cho doanh nghiệp linh hoạt và kiểm soát được những rủi ro tiềm ẩn trong khi tìm kiếm những cơ hội mới hoặc dám thay đổi để phát triển?
Tại một số doanh nghiệp hay tổ chức, quản trị rủi ro rất được chú trọng và họ có thể có riêng bộ phận chức năng chuyên về quản trị rủi ro để thu thập thông tin, dữ liệu, phân tích và đưa ra những chiến lược, kế hoạch đối phó với rủi ro. Tại những đơn vị này, họ có thể áp dụng những khung quản trị rủi ro phù hợp cho toàn bộ doanh nghiệp, tổ chức để đảm bảo tính thống nhất trong chiến lược quản trị rủi ro. Tuy nhiên, cũng có một số doanh nghiệp hay tổ chức, họ chỉ chọn ra một số bộ phận quan trọng áp dụng quản trị rủi ro để đảm bảo tính hiệu quả theo phạm vi và theo chuyên môn, năng lực của từng bộ phận khác nhau. Trên thực tế thì không có một mô hình quản trị rủi ro nào hiệu quả tuyệt đối có sẵn mà mỗi doanh nghiệp, tổ chức cần phải tìm hiểu kỹ về đặc thù hoạt động, lĩnh vực ngành nghề và quy mô hoạt động... để lựa chọn hay xây dựng mô hình quản trị rủi ro thích hợp, hiệu quả nhất.
Quản trị rủi ro CNTT cũng không nằm ngoài các hoạt động quản trị rủi ro chung của một doanh nghiệp hay tổ chức. Quản trị rủi ro CNTT tại một số doanh nghiệp lớn, ví dụ như ngân hàng, hàng không, dịch vụ thương mại điện tử, thì còn đóng vai trò là yếu tố sống còn của doanh nghiệp do việc áp dụng tối ưu hóa các ứng dụng và CNTT tại mỗi quy trình, dịch vụ phục vụ khách hàng. Quản trị rủi ro CNTT khi đó còn được xem là thế mạnh cạnh tranh trên thị trường chứ không đơn thuần là những hoạt động quản trị nội bộ. Nhiều doanh nghiệp sau khi áp dụng mô hình và khung quản trị rủi ro thành công, thì không chỉ thành công về mặt quản trị mà còn là thành công trong việc nâng cao chất lượng phục vụ, đáp ứng sự mong đợi của khách hàng, mang lại nhiều giá trị hơn cho khách hàng. Sự nhận thức này đã nâng tầm quan trọng của quản trị rủi ro CNTT tại nhiều doanh nghiệp, chuyển hướng, mục đích và lợi ích cuối cùng của quản trị rủi ro CNTT sang đối tượng khách hàng bên ngoài doanh nghiệp, tổ chức.
PHÂN LOẠI RỦI RO CNTT VÀ CÁC KHÍA CẠNH LIÊN QUAN
Rủi ro CNTT có thể được phân chia thành nhiều loại khác nhau theo loại tài sản, tính chất rủi ro hay theo bộ phận quản lý chức năng. Ví dụ về phân loại rủi ro theo tài sản như: rủi ro về tài sản hữu hình, rủi ro về tài sản vô hình, hoặc phân loại theo bộ phận quản lý chức năng như rủi ro liên quan đến một ứng dụng phần mềm thuộc quản lý của Bộ phận Quản lý ứng dụng hay rủi ro về bảo mật hệ thống mạng thuộc quản lý của Bộ phận An ninh CNTT. Việc đánh giá phân loại rủi ro CNTT cũng cần phải xem xét và tham chiếu đến các tiêu chí phân loại rủi ro chung của doanh nghiệp như: rủi ro chiến lược, rủi ro liên quan đến con người, rủi ro về danh tiếng, rủi ro hoạt động... để đảm bảo rằng việc đánh giá các tác động và phân loại rủi ro được chính xác từ nhiều khía cạnh.
Để thực hiện đánh giá rủi ro CNTT một cách tổng thể, các nhà quản lý và lãnh đạo CNTT nên xem xét các quy trình và các khía cạnh nhưng không giới hạn sau đây:
-Chiến lược và mục tiêu ngắn hạn, dài hạn của toàn doanh nghiệp, tổ chức;
-Xây dựng và hoạch định chiến lược CNTT;
-Các quy trình, chính sách quản trị CNTT;
-Quản lý sự tuân thủ CNTT;
-Tuyển dụng, quản trị nhân lực CNTT;
-Quản lý tài sản CNTT;
-Quản lý cơ sở hạ tầng CNTT;
-Quản lý quy trình mua sắm, đấu thầu CNTT;
-Hoạt động của các hệ thống thông tin;
-Quản lý quan hệ với các nhà cung cấp;
-Đảm bảo an ninh, an toàn và bảo mật hệ thống, thông tin;
-Xây dựng, triển khai và bảo trì các hệ thống ứng dụng;
-Xây dựng, triển khai và quản trị cơ sở dữ liệu;
-Vận hành, quản lý và khai thác hệ thống mạng;
-Quản trị các phần mềm hệ thống, hệ điều hành;
-Bảo trì và quản lý các ứng dụng nghiệp vụ;
-Quản lý các dự án CNTT;
-Xây dựng, quản lý và vận hành trung tâm dữ liệu;
-Xây dựng, quản lý và vận hành trung tâm dữ liệu dự phòng;
-Lập kế hoạch và quản lý đảm bảo hoạt động liên tục;
-Lập kế hoạch khôi phục sau thảm họa;
-Các chuẩn và tiêu chuẩn quốc tế đã áp dụng;
-Xu hướng công nghệ và xu thế phát triển ngành.
Ngô Minh Thắng
(còn nữa)