1.  KháiquátRủiro, RRtrongTMĐT

1)KháiquátRủiro

•   Rủirolàgì?

•   PhânbiệtRRvớikhôngchắcchắn

•   CácthuậtngữliênquanđếnRR

–   Xácsuất

–   Hiểm họa

–   Mốinguy

2)RủirotrongTMĐT

•   NguồngốcRRtrongTMĐT

•   PhânloạiRRtrongTMĐT

1)KháiquátRR

•   Rủiro(Risk):làsựcốdẫntớimộthậuquảbấtlợixảy

rakhônglườngtrước.

•   Rủirolàkhảnănggặpnguyhiểmcóthể  phátsinhtừmộtvàitiếntrìnhhaytừmộtvàisựkiện.

•   Rủirocóthểđượcđịnhnghĩanhưlàkhảnăngcóthểmộtđiềugìđósẽxảyra  tácđộng/ảnhhưởngtớimục tiêucủanó(TheoAS/NZS4360).

•   Rủirolàmộtsựcốtiềmẩnvớikếtquảbấtlợi/tổnthấtcóthểxảyra.Nócũngcóthểcókếtquảcólợi(thuyếtmayrủi).

1)KháiquátRR

•   Đólàmốiquanhệgiữahaiyếutố:khảnăngxảyravàhậuquả/tácđộngtổnthấthoặcmất mát.

Phânbiệtrủi rovớikhôngchắcchắn

RRchỉphátsinhkhicómộtsựkhôngchắcchắn*vềmấtmátsẽxảyra (uncertaintyabouttheoccurrenceofaloss).

Nếuxácđịnhđượcchính

xáckhảnăngxảy  ra(p=

0hoặcp=1)thìkhôngđượcxemlàcórủi ro.

•   Vídụ,nếumộtngườinhảytừtòanhàcaotầng xuốngmặtđấthoặctrượt ngãtừ trênđỉnhnúicao xuốngvựcsâuthìhậuquả:chết100%.ĐâykophảilàRRvìhậuquảđã thấytrước

•   Tuynhiên,nếumộtdiễnviênxiếcnhảytừnhàcaotầngxuốngđấtbằngdùthìngườinàycóthểchếthaykhôngchết.Trongtrườnghợpnàycósựkhôngchắcchắnvềhậuquả,tứclàcóRRtronghànhđộngcủahọ.

Rủi ro và khả năng xảy ra (Probability)

• Khả năng xảy  ra (xác

suất)

• Xác suất khách quan:

tung đồng xu (50:50)

• Xác suất chủ quan là ước

tính của từng cá nhân đối

với khả năng xảy  ra mất

mát*. Ví dụ đánh xổ số

Rủi ro, Hiểm họa và Mối nguy

• Hiểm họa (peril) được

hiểu như là nguyên nhân

dẫn đến mất mát.

• Mối nguy (hazard) được

xem  là tác nhân làm tăng

khả năng xảy  ra mất mát.

– Mối nguy vật chất

(physical hazard),

– Mối nguy đạo đức (moral

hazard) và

– Mối nguy tinh thần

(morale hazard).

2) Rủi ro trong TMĐT

Nguồn gốc RR trong TMĐT

• Các mối đe dọa vật lý

• Các mối đe dọa dữ liệu

• Lỗi do người dùng

• Lỗi kỹ thuật: phần mềm, phần cứng, máy chủ phục vụ,

thiết bị bên ngoài

• Lỗi hạ tầng: mạng, băng  thông đường truyền

• Gian lận thanh toán bằng  thẻ tín dụng

• Hacker tấn công

• Các tấn công  từ bên trong doanh nghiệp

• Khác: mất điện,

Từ con

người

Hackers

Ex-employees

Intruders

Từ môi

trường

(Environme

ntal)

Hỏa hoạn (Fires)

Vi rút (Viruses)

Power Outages

Tự nhiên

Natural

 Lũ lụt (Floods)

Động đất (Earthquakes)

Sóng thần (Tornadoes)

Phân loại RR trong TMĐT

+ Theo cách thức xử lý RR có 3 loại:

 RR cố hữu (Inherent Risk): còn gọi  là RR vốn có; khả

năng và hậu quả của kết tinh RR trước khi những hành

động giảm bớt đã được đưa ra

 RR còn lại (Residual Risk): khả năng và hậu quả của

kết tinh RR sau khi những hành động giảm bớt đã được

đưa ra

 RR vẫn có (Retained Risk): Mức RR thường chấp nhận

bởi tổ chức, tương tự như RR còn lại. Đôi khi giảm RR

(chuyển giao RR) bằng bảo hiểm (nhưng chỉ là hậu quả) 

Rủi ro thương mại điện tử

+ Theo Holmes Miller: có 3 loại RR chính trong TMĐT là:

 RR thông tin (Information Risk)

 RR công nghệ (Technology Risk)

 RR kinh doanh  (Business Risk)

+ Phân loại RR trong TMĐT và các RR chính trong TMĐT

sẽ được nghiên cứu trong chương 2: Nhận dạng RR

trong TMĐT

2. Quản trị RR trong TMĐT

Ý nghĩa QTRR trong TMĐT: nhằm phát hiện RR trong

TMĐT đưa các RR này vào trong tầm kiểm soát và cuối

cùng là tối thiểu hóa nó.

Khái niệm QTRR: Quản trị rủi ro là quá trình bao gồm

nhiều giai đoạn, từ việc xây dựng/lập kế hoạch quản trị

rủi ro tổng thể đến việc xác định, nhận dạng các rủi ro có

thể xảy ra đối với đối tượng/hệ thống/công việc/doanh

nghiệp cụ thể, phân tích và lựa chọn các xử lý rủi ro,

theo dõi sự thay đổi của rủi ro cũng như đưa ra các đối

phó hoặc kế hoạch phòng ngừa RR hiệu quả.

2. Quản trị RR trong TMĐT

• Khái niệm QTRR trong TMĐT: Quản trị rủi ro trong

TMĐT là quá trình bao gồm nhiều giai đoạn, từ việc xây

dựng/lập kế hoạch quản trị rủi ro tổng thể đến việc xác

định, nhận dạng các rủi ro trong TMĐT có thể xảy ra đối

với đối tượng/hệ thống/công việc/doanh nghiệp cụ thể,

phân tích và lựa chọn các xử lý rủi ro, theo dõi sự thay

đổi của rủi ro cũng như đưa ra các đối phó hoặc kế

hoạch phòng ngừa RR hiệu quả.

Khung QTRR trong TMĐT

Lập KH

QTRR

Nhận dạng

RR trong

TMĐT

Phân tích

và xếp hạng

RR

Xử lý RR

Theo dõi

RR

Lập KH QTRR trong TMĐT

• Là giai đoạn đầu tiên trong quá trình QTRR, thực hiện

chức năng “thinking” trước khi tiến hành các hoạt động

QTRR cụ thể “doing”.

• Xác định các mục tiêu quản trị rủi ro (trong đó có mục

tiêu kinh doanh).

• Là quá trình phát triển và lập hồ sơ chiến lược trong tổ

chức, thực thi và tương tác và các pp để nhận dạng và

theo dõi các lĩnh vực rủi ro, phát triển các kế hoạch xử lý

rủi ro, thực hiện đánh giá rủi ro liên tục để xác định cách

thức các rủi ro thay đổi và xác định các nguồn lực đầy

đủ cho triển khai kế hoạch quản trị RR của tổ chức.

Lập KH QTRR trong TMĐT

• Lập kế hoạch RR là quá trình phát triển và đưa ra một

chiến lược có tính tổ chức, toàn diện và tương tác và

các phương pháp cho việc xác định và  theo dõi các khu

vực RR, phát triển các kế hoạch xử  lí RR, thực hiện

đánh giá RR liên tục để xác định cách các rủi ro đã thay

đổi và xác định các nguồn lực đầy đủ

Đánh giá RR trong TMĐT

• Đánh giá RR là quá trình xác định và phân tích các khu

vực dự án và những rủi ro quy trình kỹ thuật quan trọng

để tăng khả năng đáp ứng chi phí, lịch trình, và mục tiêu

thực hiện. Nhận dạng RR là quá trình kiểm tra các khu

vực dự án và mỗi quy trình kỹ thuật quan trọng để xác

định và đưa ra tài liệu các RR liên quan.

Đánh giá RR

• Nhận dạng các rủi ro (sự cố tác động - ảnh hưởng): có

thể xảy ra đối với DN.

• Xắp xếp thứ tự rủi ro: Cao, Trung bình, Thấp

• Xác định nguyên nhân xảy ra rủi ro: Từ con người, Tự

nhiên, Môi trường.

• Xác định các kiểm soát tiềm tàng (Identify potential

controls)

• Xác định khả năng xảy ra (Ascertain whether they are in

operation)

• Lựa chọn, ra quyết định: ví dụ lựa chọn PP đánh giá RR

nào?,

PP đánh giá rủi ro dựa trên xác suất

• Để xác định rủi ro cho mỗi hành động có thể, cần tính

toán:

– Dự tính xác suất của mỗi kết quả xảy  ra P(O)

– Dự tính tổn thất mỗi kết quả xảy  ra L(O)

– Kết quả dự tính = P(O) x L(O)

– Tính tổng mức độ rủi ro ∑PL

– So sánh mức độ rủi ro ∑PL

• Đòn bẩy  rủi ro (risk leverage) = (Mức độ rủi ro trước khi

giảm bớt – Mức độ rủi ro sau khi giảm bớt)/Chi phí của

giảm rủi ro

• Mức độ rủi ro (risk exposure) =

Phân tích RR trong TMĐT

Phân tích rủi ro là quá trình kiểm tra từng lĩnh vực rủi ro

được xác định hoặc quá trình tinh chỉnh mô tả của rủi ro, cô

lập các nguyên nhân, và xác định những tác động. Nó bao

gồm các đánh giá rủi ro và ưu tiên RR trong đó các sự kiện

rủi ro được xác định theo xác suất xảy  ra, mức độ nghiêm

trọng của hậu quả / tác động, và mối quan hệ đến các khu

vực rủi ro khác hoặc các quy  trình khác.

Xử lí rủi ro

Là quá trình xác định, đánh giá, lựa chọn và giải quyết

rủi ro ở mức độ có thể chấp nhận

Xử lý RR trong TMĐT

• Xử lý rủi ro là quá trình xác định, đánh giá, chọn, và thực

hiện các tùy chọn để thiết lập RR ở mức chấp nhận

được đưa ra những hạn chế nhất định dự án và mục

tiêu. Điều này bao gồm các chi tiết cụ thể về những gì

nên được thực hiện, khi nào cần được thực hiện, ai là

người có trách nhiệm, và lịch trình và chi phí liên quan.

Các chiến lược thích hợp nhất sẽ được chọn từ các tùy

chọn này xử  lý. Ở đây, xử  lý rủi ro là một thuật ngữ bao

gồm tất cả-trong khi đó giảm thiểu rủi ro là một tập hợp

con của xử  lý rủi ro.

Theo dõi RR trong TMĐT

• Giám sát rủi ro là quá trình mà có hệ thống theo dõi và

đánh giá hiệu suất của các rủi ro xử lý các hành động

chống lại các số liệu được thành lập  trong suốt quá trình

mua lại và nguy cơ phát triển hơn nữa xử lý tùy chọn,

nếu thích hợp. Nó cấp dữ liệu thông tin về các hoạt động

quản lý rủi ro khác của quy hoạch, đánh giá, và xử  lý

như trong hình 1.

Tài liệu QTRR trong TMĐT

Tài liệu rủi ro là các bản ghi chép, theo dõi, và báo cáo

đánh giá, phân tích xử  lý và các kế hoạch, và kết quả

giám sát. Nó bao gồm tất cả các kế hoạch, báo cáo cho

PD / PM và những người có quyền quyết định, và các

hình thức báo cáo nội bộ có thể cho PD/PM.

Quản trị RR trong TMĐT

• Quản trị RR trong TMĐT là việc bảo vệ các hệ thống và

các hoạt động TMĐT từ các rủi ro có thể xảy ra đối với

nó cũng như việc nhận dạng cơ hội, thách thức khi

chúng xảy ra.

• Quản trị RR trong TMĐT là cách thức trong đó những

tác động ngược từ rủi ro được quản lý và các cơ hội

tiềm năng được thực hiện. Vì vậy, quản trị RR đề cập

tới:

– Tối thiểu hóa những thứ có thể tác động phủ định

trên một doanh nghiệp

– Nhận dạng và khai thác những thứ có thể giúp đạt

được các mục tiêu của một doanh nghiệp.

Nguyên tắc quản trị rủi ro

• Chấp nhận rủi ro không phải là không cần thiết (Accept

No Unnecessary Risk).

• Lựa chọn rủi ro ở mức phù hợp (Make Risk Decisions at

the Appropriate Level):

• Chấp nhận rủi ro khi lợi ích cao hơn chi phí (Accept Risk

When Benefits Outweigh the Cost):

• Dự phòng và quản trị rủi ro theo kế hoạch (Anticipate

and Manage Risk by Planning):

Các hạn chế của quản trị rủi ro

Làm giảm/ảnh hưởng ra các quyết định kinh doanh

Không bảo đảm các sự cố sẽ không xảy  ra

Không  loại trừ tất cả các rủi ro

Không bao quát tổng thể và toàn diện