MA TRẬN ĐÁNH GIÁ RỦI RO CNTT
Khi thực hiện đánh giá rủi ro CNTT, người làm công tác đánh giá có thể sử dụng ma trận rủi ro. Ma trận đánh giá rủi ro cũng có thể được xây dựng và áp dụng chung cho toàn doanh nghiệp, tổ chức nhưng cũng có thể chỉ được sử dụng cho một loại rủi ro nhất định. Một ví dụ về ma trận đánh giá rủi ro đơn giản như Hình 1.
CÁC YẾU TỐ ĐÁNH GIÁ VÀ XỬ LÝ RỦI RO CNTT
Rủi ro = (Khả năng xảy ra) X (Mức độ ảnh hưởng)
-Khả năng xảy ra: ước tính số lần xảy ra trong thời gian nhất định của rủi ro.
-Mức độ ảnh hưởng: hậu quả tác động đến sự hoạt động, thành công của công việc khi rủi ro xảy ra.
-Xử lý rủi ro: Rủi ro sau khi được đánh giá và đạt mức độ ưu tiên thì cần được xử lý. Kỹ thuật xử lý rủi ro bao gồm 5 lựa chọn sau: Giảm nhẹ, Né tránh, Chuyển giao, Chấp nhận, Bỏ qua. Lựa chọn "Giảm nhẹ“ nên áp dụng trong trường hợp rủi ro không có cách nào né tránh được. Lựa chọn "Né tránh“ được áp dụng trong trường hợp dự báo rủi ro có thể xảy ra và có thể có phương án né tránh những rủi ro đó. Lựa chọn "chuyển giao“ là lựa chọn được nhiều doanh nghiệp áp dụng. Trong một số trường hợp họ có thể chi ngân sách mua bảo hiểm của một đơn vị cung cấp dịch vụ bảo hiểm cho tài sản hoặc đối tượng cần bảo vệ trước rủi ro bất khả kháng có thể xảy ra. Lựa chọn "chấp nhận“ có thể được áp dụng khi thiệt hại của rủi ro là thấp hoặc khả năng xảy ra là rất hiếm có. Lựa chọn "bỏ qua“ được áp dụng trong trường hợp nếu rủi ro xảy ra thì thiệt hại của nó gần như không có hoặc rất thấp, không gây ảnh hưởng tới các đối tượng, mục tiêu cần bảo vệ. Ngoài ra, lựa chọn này có thể áp dụng nếu rủi ro có tính tích cực và có thể mang lại giá trị hoặc bài học kinh nghiệm nào đó cho doanh nghiệp, tổ chức. Ví dụ như trong trường hợp áp dụng "phương pháp thử sai“ để nghiên cứu đối tượng trong môi trường giả lập để tìm ra nguyên căn của sự cố hay quy luật của vấn đề và có phương án đối phó với rủi ro có thể xảy ra trong tương lai trên quy mô rộng lớn cùng với thiệt hại, hậu quả nặng hơn.
Hoạt động quản trị rủi ro CNTT cần được báo cáo đột xuất hoặc định kỳ tùy thuộc vào tính chất của mỗi rủi ro hoặc theo quy định, chính sách của từng doanh nghiệp, tổ chức hoặc theo quy định của pháp luật (nếu có) ở một số quốc gia đối với một số lĩnh vực ngành nghề nhất định. Ngoài ra, việc lập báo cáo, phương thức báo cáo và cấp độ báo cáo của từng loại rủi ro cũng cần được quy định rõ ai là người báo cáo, khi nào báo cáo, hình thức báo cáo, và báo cáo cho cấp nào tương ứng với mỗi rủi ro được xác định. Với mỗi loại báo cáo sẽ bao gồm những thông tin nhất định hoặc doanh nghiệp, tổ chức có thể sử dụng biểu mẫu chung báo cáo tổng hợp cho tất cả các loại rủi ro CNTT.
BÁO CÁO QUẢN TRỊ RỦI RO
Báo cáo liên quan đến quản trị rủi ro CNTT có thể bao gồm những loại báo cáo chính, nhưng không giới hạn sau đây:
-Báo cáo rủi ro CNTT đột xuất;
-Bản đánh giá rủi ro (ITRAR - IT Risk Assessment Report);
-Kế hoạch giảm thiểu rủi ro (RMP - Risk Mitigation Plan);
-Kế hoạch hành động khắc phục rủi ro (CAP - Corrective Action Plan);
-Kế hoạch hành động phòng ngừa rủi ro tái xảy ra (PAP - Preventive Action Plan);
-Báo cáo rủi ro hàng năm của bộ phận CNTT.
NHỮNG BÀI HỌC RÚT RA ĐỂ QUẢN TRỊ RỦI RO CNTT HIỆU QUẢ
Qua thực tế, nhiều doanh nghiệp sau khi triển khai mô hình quản trị rủi ro CNTT một thời gian nhưng không đạt hiệu quả cao và những hoạt động đánh giá rủi ro chỉ mang tính hình thức nên không mang lại giá trị như kỳ vọng, mục tiêu ban đầu. Dưới đây là những bài học rút ra từ thực tế nghiên cứu, xây dựng mô hình, triển khai và đánh giá hiệu quả, giá trị mang lại của quản trị rủi ro CNTT từ nhiều góc độ và khía cạnh để các nhà lãnh đạo, quản lý có thể tham khảo, xem xét trước khi đi đến quyết định triển khai quản trị rủi ro CNTT:
-Chiến lược quản trị rủi ro CNTT rõ ràng và được truyền thông nội bộ tốt;
-Yêu cầu phân tích rủi ro thấu đáo và có sự chia sẻ thông tin trong tổ chức;
-Báo cáo nhanh chóng khi phát hiện mối nguy hại, các thắc mắc liên quan rủi ro;
-Đưa vấn đề rủi ro vào nội dung của các cuộc họp nội bộ;
-Khuyến khích làm đúng và ý thức về sự phát triển chung của tổ chức;
-Đóng góp các ý kiến có tính xây dựng và cải tiến liên tục trong tổ chức;
-Phân công trách nhiệm trong công tác quản trị rủi ro;
-Có người chịu trách nhiệm về đánh giá rủi ro tại mỗi đơn vị quản lý CNTT cấp thấp nhất của doanh nghiệp, tổ chức;
-Xây dựng các quy trình, chính sách, biểu mẫu chuẩn áp dụng cho quản trị rủi ro CNTT;
-Xây dựng và áp dụng khung quản lý sự thay đổi hiệu quả trước khi áp dụng quản trị rủi ro;
-Xây dựng văn hóa và ý thức về quản trị rủi ro trong công việc cho Bộ phận CNTT và người sử dụng;
-Thường xuyên tổ chức các khóa đào tạo liên quan đến nhận thức, đánh giá, quản trị rủi ro trong doanh nghiệp, tổ chức;
-Xây dựng chính sách khen thưởng, động viên đối với những cá nhân, tập thể xuất sắc trong công tác quản trị rủi ro.
Nhìn chung, công tác quản trị rủi ro CNTT của các doanh nghiệp, tổ chức lớn tại Việt Nam đã có nhiều chú trọng và quan tâm từ cấp lãnh đạo và quản lý cấp cao. Tuy nhiên, mức độ áp dụng và triển khai ở mỗi doanh nghiệp, tổ chức rất khác nhau do nhiều yếu tố như lĩnh vực ngành nghề, loại hình doanh nghiệp, năng lực quản trị, yêu cầu nghiệp vụ và các hệ thống CNTT khác nhau. Các nhà lãnh đạo và quản lý CNTT ở mỗi doanh nghiệp, tổ chức có thể lựa chọn những khung chuẩn, tiêu chuẩn về quản trị rủi ro để xây dựng và áp dụng mô hình quản trị rủi ro CNTT phù hợp. Một số khung và tiêu chuẩn liên quan đến quản trị rủi ro có thể lựa chọn để nghiên cứu, áp dụng như: ISO 31000:2009, COBrr, Val rr, ISO/IEC 27005, COSO, Basel II, Sarbanes Oxley, EuroSox, J-SOX, ITIL, PMP... tùy thuộc vào từng loại hình, lĩnh vực, ngành nghề, mục tiêu và chiến lược của mỗi doanh nghiệp, tổ chức. Đối với các doanh nghiệp nhỏ thì việc triển khai, áp dụng các khung làm việc hoặc tiêu chuẩn liên quan đến quản trị rủi ro có nhiều thách thức và không dễ dàng do nhiều yếu tố chủ quan, khách quan nhưng lãnh đạo, quản lý CNTT ở các doanh nghiệp nhỏ cũng có thể nghiên cứu và tự xây dựng những mô hình quản trị rủi ro CNTT phù hợp, hiệu quả dựa trên việc tối ưu hóa và cân bằng các nguồn lực.
Tài liệu tham khảo
[1]. http://www.isaca.org/Knowledge-Center/Risk-rNT-Risk- Management/Pages/Risk-ITLaspx.
[2].http://www.deloitte.com/view/enJJS/us/Services/audit- enterprise-risk-services/governance-regulatory-risk-strategies/ Enterprise-Risk-Management/.
[3].http://www.deloitte.com/view/en_US/us/Services/audit- enterprise-risk-services/.
[4].http://www.deloitte.com/assets/Dcom-UnitedStates/ Local Assets/Documents/IMOs/Governance and Risk Management/us_grm_running_riem_121510.pdf.
Ngô Minh Thắng