Quản trị ông nghệ thông tin và bài toán quản trị rủi ro

57 Trang 12 Thuật ngữ và Từ viết tắtViế ắt t t Ti ng AnhếTiếng Việt BBN Beyesian Belief Network Mạng BeyesCRM Credit Risk Management Quản lý rủi ro tín dụng FSA Financial Service Autho

LUẬN VĂN THẠC SĨ KHOA HỌC

NGÀNH: CÔNG NGHỆ THÔNG TIN

QUẢ N TR CÔNG NGH THÔNG TIN Ị Ệ

HỒ MẠNH TÀI

HÀ NỘI 2008

Lời nói đầu

Trong kỉ nguyên công nghệ thông tin ngày nay, s thành công và phát ựtriển bền vững của một doanh nghiệp hay tổ ch c có mốứ i quan hệ ắ g n kết chặt chẽ ớ v i việc sử ụ d ng công nghệ thông tin như m t công cụ ỗ ợ đắ ựộ h tr c l c Công ngh thông tin vệ ới những điểm mạnh c a mình thủ ực sự là một công cụgiúp cho doanh nghiệp tối ưu hóa quy trinh nghiệp vụ ủ c a mình, trên cơ sở đó doanh nghiệp luôn duy trì sự phát triển b n về ững đồng thời mở ộ r ng hơn n a ữnhững mục tiêu và lợi ích của mình Để công nghệ thông tin phát huy đư c ợtrọn vẹn sức mạnh c a mình thì một khung làm việc quản tr công nghủ ị ệ thông tin là một yế ố ếu t thi t yế ớu v i mỗi doanh nghi p Khung qu n tr công nghệ ệ ả ịthông tin này phải được tích hợp chặt chẽ vào khung làm việc chung c a toàn ủ

b ộdoanh nghiệ để đảm bảo quy trinh quản trịp công ngh thông tin luôn song ệhành và hỗ ợ ố tr t t nhất cho doanh nghiệp

Với mỗi một doanh nghi p thì r i ro là mệ ủ ột yế ốu t có tính ch t tấ ất yếu Mọi doanh nghiệ ềp đ u ph i đ i m t vớả ố ặ i nh ng r i ro Bản thân rủi ro cũng là ữ ủmột yế ốu t đa di n v n i t i R i ro có những tác động tiêu cựệ ề ộ ạ ủ c và nh ng tác ữ

động tích cực tới toàn bộ doanh nghi p Và như mộệ t nhu c u có tính t t yầ ấ ếu một quy trình qu n lý rả ủi ro là một yế ố ốu t t i thiết cho thành công của một doanh nghiệp Quy trình quản lý rủi ro sẽ giúp doanh nghi p gia tăng nh ng ệ ữtác động tích cực và giảm nhẹ ữ nh ng h u quậ ảtiêu cực từ ữ nh ng rủi ro.Với vai trò như vậy rõ ràng qu n lý r i ro là mả ủ ột trong nh ng nhiệữ m v hàng đ u của ụ ầquản tr công nghị ệ thông tin trong doanh nghiệp

Trong quá trình công tác tác giả nhận thấy việc thanh toán tín dụng điện

t tử ại Việt Nam còn khá mới mẻ Các hình th c thanh toán tín d ng đi n t ứ ụ ệ ửcòn chưa phổ ế bi n Nh ng nguy cơ r i ro trong lĩnh v c này còn tiữ ủ ự ểm ẩ ất n r

nhiều Dựa trên lý thuy t vế ề quản lý rủi ro tác giả đi sâu nghiên cứu về thanh toán tín dụng điệ ửn t và qu n lý r i ro trong lĩnh vực này ả ủ

Ch vì ính những lý do như ậ , tác giả đã chọ cho mình đề tài tốt v y n nghiệp:

"QUẢN TRỊ CÔNG NGHỆ THÔNG TIN VÀ BÀI TOÁN QUẢN LÝ RỦI RO"

B cố ục củ Luận văn như a sau:

Chương 1: T ổ ng quan về Qu ả n trị Công nghệ thông tin

Chương này giới thiệu mộ ốt s khái ni m v qu n tr CNTT, m c đích và ệ ề ả ị ụ

lợi ích của quản trị CNTT, giới thiệu mô hình tổng th c a qu n tr CNTT và ể ủ ả ị

một số khung làm việc phổ biến Vai trò của quản lý rủi ro trong qu n tr ả ịCNTT

Chương 2:Qu ả n lý rủi ro trong Quả n tr Công ngh Thông tin ị ệ

Chương này giới thiệu t ng quan vổ ề Quản lý rủi ro trong Quản tr Công ịnghệ Thông tin Đưa ra mộ ết ti n trình quản lý rủi ro chu n Phân tích tiến ẩ

trình quản lý rủi ro đó

Chương 3: Qu ả n lý rủi ro tín dụng

Chương giới thiệu về ự th c tr ng tình hình thanh toán tín dụng t i Viạ ạ ệt Nam Các giải pháp phát hi n gian l n trong Qu n lý rệ ậ ả ủi ro tín dụng Giới thiệu chi ti t hai gi i pháp sế ả ử ụ d ng Máy phân l p sớ ử ụ d ng Vector hỗ trợ và

Mạng Bayes Xây dựng đề xuất một mô hình quản lý rủi ro thanh toán tín dụng dựa trên mô hình qu n lý r i ro chuả ủ ẩn hoá trình bày trong chương 2

Chương 4: Xây dựng ứng dụng quản lý rủi ro tín dụng

Chương trình bày v chương trình xây dề ựng dựa trên giải pháp đưa ra đó

là dùng luậ ểt đ phát hiện gian l n và quậ ản lý r i ro tín d ng Rulesủ ụ -based system

Lời cảm ơ n

Nhân dị ày em xin bày tỏ lp n òng biế ơt đặc ệ đến bi t n thầy giáo PGS TS

-Huỳnh Quyết Thắng - B môộ n Công nghệ Phần mềm - Khoa Công nghệThông tin Đạ ọ - i h c B ách Khoa Hà N iộ , ngườ đã ại t o m i iọ đ ều kiện, h ng ướ

dẫn v giúp đỡ em tậ ình trong suố ờà n t t th i gian làm luận văn tốt nghiệp cao

học khoá 2006 2008

-Đồng th i, em xin i lờ gử ời cảm ơn sâu sắ ếc đ n các Thầy, Cô trong Khoa Công nghệ Thông tin đã d y dỗạ , truyền th ụ cho em nh ng ki n th c thi t yếu ữ ế ứ ếtrong quá trình học đại học và trong toàn bộ ờ th i gian học cao học, giúp em

đạt được k t qu hôm nay ế ả

Tôi cũng ả ơn ch n thành đến c c anh chị và các ạ ùng ớ Cao c m â á b n c l p

học CNTT Khoá 2006 2008- vì s cự ộng ác t và giúp đỡ trong su t ố thời gian học

và trong quá trình làm luận văn này

Cuối cùng tôi xin gửi lời cảm ơn đến gia đình b n bè đã độạ ng viên và giúp đỡ tôi trong su t thời gian làm luận văn ố

Hà N i ộ tháng 10 ăm 200 n 8

Lời cam đoan

Tôi – H Mồ ạnh Tài cam kế Luận văn tốt nghiệp là công trình nghiên - t cứu của bản thân tôi dưới sự ớhư ng d n cẫ ủa PGS-TS Huỳnh Quyết Th ng ắCác kết quả nêu trong Luận văn tốt nghiệp là trung thực, không phải là sao chép toàn văn của bất kỳ công trình nào khác

Hà Nội, tháng 10 năm 2008 Tác giả luận văn

H M ồ ạ nh Tài

M l ục ục

Lời nói đầu i

L ờ i cảm ơn iii

Lời cam đoan iv

M ụ c lụ v c Danh m c hình v ụ ẽ viii

Danh m ụ c bả ng bi ể u x

Thuật ngữ và T vi t t t xi ừ ế ắ Chương 1 Tổ ng quan v Qu n tr Công nghệ ề ả ị Thông ti 1 n 1.1 Khái niệm Quản trị CNTT 1

1.1.1 Định nghĩa 1

1.1.2 Những lĩnh vực trong quả ị n tr CNTT 4

1.2 Mục đích và lợi ích của quả ị n tr CNTT 7

1.2.1 Mục đích của quả ị n tr CNTT 7

1.2.2 Những lợi ích từ quản trị CNTT 8

1.3 Mô hình tổng thể ủ c a qu n tr CNTT và mả ị ộ ốt s khung làm việc phổ biến 12

1.3.1 Các thành phần cơ bản cấu thành khung qu n trả ị CNTT 12

1.3.2 Thiế ật l p cho khung làm việc quản trị CNTT 13

1.3.3 Nh ng khung làm viữ ệc phổ ụ d ng cho qu n trả ịCNTT 15

1.3.4 Giới thiệu về khung làm vi c Cobit 21ệ 1.4 Vai trò của quản lý rủi ro trong quản tr công nghị ệ thông tin 27

1.5 Kết chương 29

2.1 Tổng quan về quản lý rủi ro 30

2.1.1 Định nghĩa rủi ro 30

2.1.2 Quản lý rủi ro 31

2.2 Tiến trình qu n lý r i ro chuẩn 37ả ủ 2.2.1 Thiế ật l p ng c nh 44ữ ả 2.2.2 Nhận biết rủi ro 49

2.2.3 Phân tích rủi ro 54

2.2.4 Ước lượng, định giá r i ro ủ 62

2.2.5 Đối phó với những rủi ro 63

2.2.6 Giám sát và xem xét đánh giá 67

2.3 Kết chương: 68

Chương 3 Quả n lý r i ro tín dụng 69 ủ 3.1 Thực trạng của hoạ ột đ ng thanh toán tín dụng tại Việt Nam 69

3.1.1 Lượng ti n m t lưu thông còn cao 69ề ặ 3.1.2 Số tài khoản cá nhân ngày càng tăng 71

3.1.3 Mở ộ r ng đ i tượng tham gia cung ứng dịch vụ thanh toán 72ố 3.1.4 Sự phát triển của th ị trường thanh toán thẻ 73

3.1.5 Liên minh th ngân hàngẻ 74

3.2 Các giải pháp phát hi n gian l n trong qu n lý rệ ậ ả ủi ro tín dụng 77

3.2.1 Các lo gian lại ận trong giao d ch tín dị ụng 77

3.2.2 M t sộ ố ấ v n đ i v i vi c phát hi n giao d ch gian lận: 78ề đố ớ ệ ệ ị 3.2.3 Các phương pháp phát hiện giao dịch gian lận 79

3.2.4 Máy phân l p sớ ử dụng Vector hỗ trợ 84

3.2.5 Mạng Bayes 93

3.2.6 So sánh hai phương pháp SVM và BBN 98

3.3 Quy trình quản lý rủi ro thanh toán tín dụng 99

3.3.1 Quy trình thanh toán tín dụng 99

3.3.2 Quy trình quản lý rủi ro thanh toán tín dụng 103

3.4 Kết chương 105

Chương 4 Xây dự ng ng d ng qu n lý r i ro tín dụng 106 ứ ụ ả ủ 4.1 Kiến trúc ph n m m RISK IDS 106ầ ề 4.2 Cơ sở ữ ệ d li u 110

4.3 Chương trình ứng dụng 112

4.4 Kết chương 114

K ế t luậ 115 n Tài liệu tham khảo .118

Danh mục h ình ẽ v

Hình 1.1 Những lĩnh vực chính trong qu n trả ị công nghệ thông tin 4

Hình 1.2 Khung làm việc Cobit tổng quan 21

Hình 1.3 Nh ng thành phữ ần c a khung làm viủ ệc Cobit trong mối tác động tương hỗ 21

Hình 1.4 Sự chuyển hóa t nh ng m c tiêu thành những tiến trình th c thi có ừ ữ ụ ự tính chất dẫn hướng 25

Hình 2.1 Rủi ro được phân lo i theo nguạ ồn g c và lĩnh vực liên quan 33ố Hình 2.2 Tiến trình quản lý rủi ro 38

Hình 2.3 Quy trình qu n lý rả ủi ro 39

Hình 2.4 Doanh nghiệp và những nhân tố tác động lên doanh nghi p 43ệ Hình 2.5 Minh họa cấ ộ ủp đ r i ro s d ng biể ồử ụ u đ 59

Hình 3.1 Tỷ trọng tiền mặt so v i tổng phương tiện thanh toán 70ớ Hình 3.2 S ố lượng tài kho n cá nhân giai đoạn 2000-ả 2007 72

Hình 3.3 Lượng giao d ch/ngày thông qua hị ệ thống chuyển mạch Banknetvn 76

Hình 3.3.4 Mạng Nơron nhân tạo điển hình 80

Hình 3.3.5 Phân chia tuyến tính d liệu 81ữ Hình 3.3.6 Phân bố ầ t n số ủ c a d liệu theo ROS 82ữ Hình 3.3.7 Ví dụ v mề ạng BBN 83

Hình 3.8: Phân l p bớ ằng siêu phẳng 85

Hình 3.9: Perceptron 85

Hình 3.10: L cề ủa siêu phẳng phân lớp 90

Hình 3.11: Một mạng Bayes đơn giản 95

Hình 3.12: Quy trình mua hàng 101

Hình 3.13: Quy trình than toán 102

Hình 3.14: Quy trình quản lý rủi ro thanh toán tín dụng 103 Hình 4.1 Kiến trúc phần mềm Risk IDS 107 Hình 4.2 Sơ đồ quan h cơ s d li u 111ệ ở ữ ệ Hình 4.3 Tài khoản khách hàng 112 Hình 4.4 Tài khoản tín dụng và các giao dịch 113 Hình 4.5 Xây dựng lu t phát hiậ ện các giao dịch gian lận 114

Danh mục b ảng biểu

Bảng 1.1 Những khung làm việc phổ biến trong quản trị CNTT 15

Bảng 1.2 Bảng Ánh x gi a nh ng tính năng c a khung làm việc Cobit với ạ ữ ữ ủ những lĩnh vự ức ng d ng trong qu n trị công nghệ thông tin 24ụ ả Bảng 2.1 Tiêu chuẩn rủi ro 48

Bảng 2.2 Phân tích Swot 53

Bảng 2.3 Cấ ộ ủp đ r i ro 57

Bảng 3.1 Một vài số liệu thống kê 74

Thuật ngữ và Từ viết tắt

BBN Beyesian Belief Network Mạng Beyes

CRM Credit Risk Management Quản lý rủi ro tín dụng

FSA Financial Service Authority

ITG Information Technology

Governance

Quản trị Công nghệ thông tin

SVM Support Vector Machines Máy phân lớp sử ụ d ng véctơ hỗ

trợ

Stakeholders : Toàn bộ những người tham gia trực tiếp hay gián tiếp trong quy trình nghi p vệ ụ ủ c a doanh nghi p và tệ ổ ch c ứ

Chương 1

T ổ ng quan về Qu ả n trị ông nghệ T C hông tin

1.1 Khái niệm Qu ả n trị CNTT

1.1.1 Định nghĩa

Việc sử ụ d ng công nghệ thông tin trong vi c h tr chuyên môn nghiệp ệ ỗ ợ

v ụ là mộ ềt đi u cấp bách cho tất cả các công ty hoạ ột đ ng trên tất cả các lĩnh

vực và thực sự ứng dụng CNTT trong doanh nghiệp đóng vai trò là m t độ ộng

cơ thúc đẩy m nh m giúp c i thi n hoạ ẽ ả ệ ạt động nghiệp vụ ủ c a doanh nghiệp trên nhiều phương di n như truyềệ n thông (truy n thông nề ội b và truy n ộ ềthông với đối tác nhằm tăng hiệu qu thương m i) cũng như nâng cao hiệu ả ạquả và l i ích nói chung mà doanh nghiệp thu đựợ oc Để đả m bảo sao cho sự

đầu tư cho CNTT t đư c hi u qu cao nh t thì đạ ợ ệ ả ấ CNTT phải song hành với chiến lư c và địợ nh hướng trong kinh doanh, các rủi ro chính yếu ph i đươc ảphát hiện và điều khiển,điều tiết Tính đúng đắn củ ự ếa s k t hợp đó đã được chứng minh và sự ra đ i của quảờ n trị công ngh thông tin là tệ ất yếu để giải

Những nội dung chính của chương:

• Khái niệm quản trị công nghệ thông tin

• Mục đích và lợi ích của quản trị công nghệ thông tin

• Những thành phần cơ bản,phương pháp thiết lập quản trị

công nghệ thông tin và một số khung làm việc phổ biến để

áp dụng quản trị công nghệ thông tin

• Vai trò của bài toán quản lý rủi ro trong quản trị công nghệ

thông tin

quyết bài toán về ệ hi u qu áp d ng CNTT v i m c đích h tr ho t đ ng c a ả ụ ớ ụ ỗ ợ ạ ộ ủdoanh nghiệp một cách tốt nhất Quản trị CNTT thự ực s đang th hi n rõ nhất ể ệvai trò và vị trí quan trọng c a nó mủ ột cách thuyết phục và đi u đó đồng nghĩa ề

với sự quan tâm và đ u tư cầ ủa doanh nghi p và tổ ứệ ch c cho quản trị công nghệ thông tin v i mục đích sao cho CNTTớ h ỗ ợtr doanh nghi p tốệ t nh t th c ấ ự

s ự trở thành một khuynh hướng t t yếu ấ

Quản tr công nghị ệ thông tin (Information Technology Governance) là một tập hợp những nguyên tắc của qu n trả ị ế k t hợp (Corporate Governance) trong đó hướng s t p trung vào vai trò trợự ậ giúp c a hệ ốủ th ng CNTT, hiệu năng hoạ ột đ ng củ ệa h thống cũng như quản lý r i ro Sự quan tâm được dành ủcho quản tr CNTT ngày m t tăng liên quan t i s nh n th c rõ ràng của ị ộ ớ ự ậ ứnhững tổ ứ ch c và doanh nghiệp về ầ t m quan trọng cũng như về những lợi ích thiết thực thu nhận được từ ệ vi c sử ụ d ng CNTT hỗ ợ ệ tr hi u quả cho toàn b ộhoạ ột đ ng của doanh nghiệp

Một quan điểm chung trong những cuộc th o luả ận về CNTT đó là CNTT không được là một chi c h p đen Phương thứế ộ c truy n th ng trong qu n tr ề ố ả ịCNTT là trách nhiệm chỉ thuộc về ữ nh ng chuyên gia CNTT, những người có kinh nghiệm và kiến thức về kĩ thuật và công ngh trong CNTT Quệ ản trịcông nghệ thông tin đưa vào một mô hình mới trong đó toàn bộ stakeholders gồm ban qu n trả ị, khách hàng và nh ng bên liên quan như bộ phận tài chính ữ

đều có mộ ựt s đóng góp nh t đ nh trong đ u vào c a ti n trình ra quy t đ nh ấ ị ầ ủ ế ế ịMột tác dụng của mô hình này là khi một quy t đ nh đ oc đưa ra không được ế ị ựtốt thì không một stakeholder nào (như là bộ phận CNTT) ph i ch u toàn bộ ả ịtrách nhiệm Hướng ti p cế ận này còn giúp cho người sử ụ d ng không than phiền khi không hài lòng về nh ng hoạ độữ t ng của hệ thống so với nh ng kì ữ

vọng của họ vì bản thân họ tham gia hoạch định nh ng chiếữ n lư c và phương ợ

Một ban quản tr ph i n m b t đư c c u trúc t ng th c a nh ng ng ị ả ắ ắ ợ ấ ổ ể ủ ữ ứdụng CNTT trong công ty của mình Ban quản trị ả ph i nắm bắt được sự quản

lý và những nguồn thông tin cũng như vai trò của chúng trong vi c t o ra giá ệ ạtrị Có nhiều đ nh nghĩa đư c đưa ra dành cho quị ợ ản trị công nghệ thông tin Trong đó mỗi đ nh nghĩa nhấị n mạnh và ti p cế ận ở ộ m t khía cạnh Weill và Ross tập trung vào khía cạnh “ Đưa ra nhữ ng quy t đ nh đúng đ n và ế ị ắ khung làm việ c đ m bả ể đả o nh ng hành vi mong mu n trong việc sử ụ ữ ố d ng CNTT” Với một hướng tiếp cận độc lậ ừ ệp t Vi n Qu n Tr Công Nghê Thông ả ịTin (IT Governance Institute) mở ộ r ng đ nh nghĩa để bao hàm nh ng cị ữ ơ cấu

có tính ch t nấ ề ản t ng “những cấu trúc tổ ứ ch c và quả n lý cũng như nh ng ữ tiến trình nhằ m đ m bảo b ả ộ phận CNTT củ ổa t ch c giữ ữ ứ v ng và mở ộ r ng

đư ợ c chi n lư c,m c đích và l ế ợ ụ ợ i ích thu đư ợ c c a tổ ủ ch cứ ” Quy luật của

quản trị công ngh thông tin k t h p t s qu n trệ ế ợ ừ ự ả ị ế k t hợp và gi i quyả ết m i ốquan hệ ữ ự ậ gi a s t p trung cho nghiệp vụ và quản lý công nghệ thông tin trong

một tổ chức Quản trị công nghệ thông tin nh n mạấ nh vào s quan tr ng của ự ọnhững gi i pháp tả ối ưu hóa ho t đạ ộng của doanh nghiệp liên quan tới công nghệ thông tin và gợi mở một hướng ti p cế ận trong đó những quyế ịt đnh của công nghệ thông tin phải được thông qua một ban qu n lý k t hả ế ợp hơn là đơn thuần chỉ có giám đốc qu n lý công ngh thông tin c a t ch c hay những nhà ả ệ ủ ổ ứquản lý công nghệ thông tin thuần túy đảm trách

Tất cả những bản phân tích hiện nay đều thống nhấ ởt mộ ểt đi m là r i ro ủlớn nhất và liên quan tới những kĩ năng qu n lý hàng đả ầu hiện nay đều tập trung vào việc hòa h p công ngh thông tin v i nh ng yêu c u th c t trong ợ ệ ớ ữ ầ ự ếnghiệp vụ ủ c a tổ chức Vì công ngh thông tin có thệ ể có mộ ảt nh hư ng c c ở ự

kì lớn tới tính hi u quệ ả và tính c nh tranh trong kinh doanh vì vạ ậy s thấ ại ự t btrong vi qu ệc ản trị công nghệthông tin hi u quảệ có kh năng gây ra m t ảnh ả ộ

ng sâu s c trên quy mô r ng lớ ớn t i toàn bộ công việc kinh doanh c a tổ

chức Qu n lý tổng hợp đang ngày càng chiả ếm m t vị thếộ quan trọng hơn Rõ ràng công nghệ thông tin đóng m t vai trò chộ ủ chốt trong cải thiện th c tiự ễn quản trị ổ t ng h p vì nh ng tiến trình kinh doanh chủ ốợ ữ ch t thư ng đượ ựờ c t

động hóa và vi c đ nh hư ng ra quy t đ nh thư ng d a vào thông tin được ệ ị ớ ế ị ờ ựcung cấp bởi các hệ ố th ng công nghệ thông tin trợ giúp Với sự tăng cường trong liên kết trực tiếp giữa các doanh nghiệp, các tổ chức với nh ng nhà ữcung cấp cũng như các khách hàng và ngày càng tập trung vào vi c làm sao ệ

để công ngh thông tin được sử ụệ d ng một cách hi u qu và mang lại những ệ ảlợi ích thiết thực cho chiến lược kinh doanh của cht ổ ức, nhu c u quầ ản lý hữu hiệu các nguồn tài nguyên công nghệ thông tin, tránh được tình trạng hiệu năng thấp, t t cả ữấ nh ng nhu c u đó thự ựầ c s là h t sế ức cấp bách

N guồn : http://www CNTT governance.co.uk

Nh ữ ng thuật ngữ được sử ụ d ng trong hình vẽ trên :

• Strategic Alignment : Sự căn ch nh ,đi u ti t ỉ ề ế

• Value Delivery : Sự ự th c thi nh ng l i ích ữ ợ

• Risk Management : Quả n lý r i ro ủ

• Resources Management : Qu ả n lý nguồ ực n l

• Performance Management : Quản lý hiệu năng

• IT Governance Domains : Nhữ ng lĩnh v ự c của quản tr công ngh ị ệ thông tin

• S ự căn chỉ nh và hòa hợp

Lĩnh vực chuyên sâu này tập trung vào việc đảm bả ự ếo s k t n i cố ủa những kế ạ ho ch CNTT và những k ế ạho ch kinh doanh Những công việc trong quá trình căn chỉnh gi a nghi p vụ ủ ổ ứữ ệ c a t ch c và nh ng k hoạch ữ ếCNTT có mục đích xác định, duy trì những l i ích CNợ TT đem về cho tổchức và thực hiện song hành đồng bộ những hoạt động CNTT và những hoạt động kinh doanh và nghiệp vụ ủ ổ ứ c a t ch c, cung cấp đ nh hưị ớng chiến lược cho t ổchức

• S th ự ự c thi những lợi ích

Đó là việc th c thi và thu được nh ng lự ữ ợi ích và giá trị ề v cho doanh nghiệp thông qua vòng đời triển khai đảm bả ổ ứo t ch c thực sự thu đư c ợnhững lợi ích đượ ứ ẹc h a h n trước đó thông qua chi n lưế ợc và tập trung vào việc tối ưu hóa chi phí phả ỏi b ra và chứng minh được giá tr b n ch t và ị ả ấ

cốt yếu của CNTT Đảm b o có mộả t cơ cấu t ch c sao cho sổ ứ ự phố ết i k

hợp giữa công nghệ thông tin và chuyên môn nghiệp vụ giúp thu đư c lợi ợích lớn nhất trong hoạ ột đ ng kinh doanh

• Quản lý nguồ ự n l c :

Đó là việ ốc t i ưu hóa đ u tư cho nguầ ồn lực và quản lý những nguồn lực quan trọng của doanh nghiệp như thông tin, những ứng dụng, nh ng ữnền tảng và nguồn nhân l c(đây là nguồ ựự n l c đóng vai trò quan trọng nhất) Những vấ ề ợn đ đư c coi như then chốt chính là sự ố t i ưu hóa trong s d ng ử ụnền tảng tri thức sẵn có trong doanh nghi p và tệ ổ ch c Đ c biệt quan tâm ứ ặtới tới việc cung cấp mộ ịt đ nh hướng c p đ cao trong việc xây dựng và ở ấ ộ

s dử ụng nguồn nhân lực Phả ải đ m bảo chắc chắn rằng nền tảng và khả năng của h th ng CNTT m nh cho việ ỗệ ố đủ ạ c h trợ ữ nh ng yêu cầu về kinh doanh được kì vọng cho hi n tệ ại và tương lai

• Qu ả n lý rủi ro :

Yêu cầu sự nhận thức về ủ r i ro của những nhân viên có thâm niên trong tổ ứ ch c, sự ậ nh n biết rõ ràng về ự th c trạng những rủi ro trong tổ chưc, nắm b t đư c những yêu cầu phải thựắ ợ c thi để đố i phó hiệu qu v i ả ớnhững rủi ro, s minh bự ạch của những rủi ro quan trọng đối vớ ổ ứi t ch c và những trách nhiệm về quản lý rủi ro được tích h p vào trong h th ng ợ ệ ố

• Qu ả n lý hiệu năng :

Theo dõi và giám sát việc thực thi những chiến lược, s hoàn thành ự

của những dự án, việc sử ụng nguồn lự d c, đảm bảo triển khai và thực hiện

được hiệu năng và dịch v , một minh họụ a đó là việ ử ục s d ng nh ng miếng ữbìa ghi chú nhiệm vụ (Score Cards) v i mục đích chuyể ảớ n t i nh ng chiữ ến lược thành nh ng nhi m v c th và chi ti t hóa để làm cho những mục ữ ệ ụ ụ ể ế

1.2 Mục đích và lợi ích củ a qu n trị ả CNTT

1.2.1 Mục đích của quản trị CNTT

Quản tr công nghị ệ thông tin thực sự có những lợi ích hết sức thiết thực

và thuyết phụ ố ớc đ i v i nh ng doanh nghiệữ p và t ch c Th c t ổ ứ ự ế này đư c ợminh chứng hế ứt s c rõ ràng đặc biệt là trong những năm g n đây Vầ i c sử ệdụng một khung làm việc quản trị công ngh ệthông tin n đ nh trong hệ ốổ ị th ng giúp cho doanh nghiệp và tổ ứ ch c luôn nắm bắt được những rủi ro tiềm năng khi có những biến động có khả năng nh hưả ởng tới tổ ứ ừ ch c t môi trư ng bên ờngoài cũng như trong nội bộ của doanh nghi p hay t ch c đó ệ ổ ứ

• Biết cách cải thiện nh ng ti n trình qu n lý trong công nghệ ữ ế ả thông tin

để qu n lý đư c nh ng r i ro trong quá trình hoạt độả ợ ữ ủ ng c a doanh ủnghiệp Ý tuởng và phương pháp luận chính yếu trong qu n tr công ả ịnghệ thông tin là kế ợp sự giữa nhậ ịt h n đnh và tri thức từ đồng thời khía cạnh nghi p vệ ụ và khía c nh công nghệạ thông tin Đ có đư c sự ể ợ

kết hợp hiệu quả này công nghệ thông tin phải có được nhậ ịn đ nh sát thực hơn và đưa ra được những gi i pháp trả ợ giúp th c sư hiệu quả ựBản chất của quá trình chính là cải ti n nhế ững quy trình qu n lý v i sả ớ ự

ứng d ng và h trợ hiệụ ỗ u qu t công ngh thông tin ả ừ ệ

• Đảm b o qu n lý đư c các mốả ả ợ i quan h v i các nhà cung cấp và các ệ ớkhách hàng trong hoạ ột đ ng kinh doanh là một bài toán dành cho mọi doanh nghiệp và tổ ch c Mộ ểứ t đi m cốt yếu cho thành công trong hoạt

động c a t ch c là đ m b o m t s truyềủ ổ ứ ả ả ộ ự n thông t t trong n i bộ cũng ố ộnhư đối với môi trường tác nghi p Trong mốệ i quan h t ng hòa v i ệ ổ ớmôi trư ng đó chính là nhờ ững mối quan h gi a doanh nghiệp và tổ ệ ữchức và đối với những người sử ụ d ng cuối cũng như những nhà cung

cấp Quản trị công nghệ thông tin giúp đ m bảả o có sự truyền thông dễ dàng và minh b ch giạ ữa ho t đ ng công ngh thông tin v i nh ng ti n ạ ộ ệ ớ ữ ếtrình quản lý nhằm thoả mãn ban lãnh đao và toàn bộ stakeholders về khía cạnh lợi ích thu đư c cũng nhượ tầm nhìn chiến lược dài lâu

• Quản tr công ngh thông tin là m t lĩnh vự ộị ệ ộ c r ng l n và bao trùm rất ớnhiều khía cạnh và bản thân qu n trả ị thông tin có một cơ chế ở ừ m t văn hoá, tổ ch c, chính sách cho đứ ến th c tiự ễn Đi u này có nghĩa là quảề n trị công nghệ thông tin có kh năng thay đả ổi linh hoạ ể t đ đáp ng đưứ ợc

những thay đổi tới từ ững nhân tố bên trong hay những tác động bên nhngoài Qu n trả ị công ngh thông tin là mệ ột lĩnh vực chuyên sâu trong

một lĩnh vực lớn hơn là quản trị ổ t ng h p (Corporate Governance) với ợnhững đ c trưng và mặ ục tiêu chuyên bi t tệ ập trung vào công nghệ thông tin nhằm phát huy tối đa thế mạnh c a công nghệủ thông tin L i ợích của việc quản lý rủi ro, sự giám sát và thông tin rõ ràng trong quản trị công nghệ thông tin không ch giúp giỉ ảm giá thành và hạ ấ th p những nguy cơ từ các s c mà còn mang đến sựự ố tin c y l n hơn ( s tin c y ậ ớ ự ậ

lớn hơn có được do những cơ chếvà quy trình trong quản tr công nghị ệthông tin đã đảm b o kh ả ả năng đối ứng hết sức linh ho t và hiệạ u qu ả

của hệ thống

1.2.2 Những lợi ích từ quản trị CNTT

Trên cơ sởnhững mục đích đư c hượ ớng tới như một kim ch nam trong ỉquá trình th c thi qự uản trị công ngh thông tin trong tổ ứệ ch c và doanh nghiệp

đã được đề ậ ỏ c p trên những lợi ích thu nhận đượ ễc d dàng nhận thấy là:

• Cải thiện theo hướng hạ thấp những chi phí được dành cho công nghệ thông tin, các tiến trình công nghệ thông tin, những danh mụ ầc đ u tư dành cho công ngh thông tin (các dệ ự án và các d ch vụị …) Để làm

được điều này nhiệm vụ ủ c a quản tr công nghị ệ thông tin là tối ưu hóa quy trình hoạ ột đ ng của doanh nghi p và t ch c Đi u này đ ng nghĩa ệ ổ ứ ề ồ

với sự giảm chi phí dành cho những tiến trình nghiệp vụ cũng như chi phí cho hoạ ột đ ng củ ộ ậa b ph n công nghệ thông tin nói riêng trong lúc

vẫn giữ nguyên và tăng cường nh ng l i ích thu nhữ ợ ận được

• Giải trình v trách nhi m ra quyế ịề ệ t đ nh m t cách rõ ràng và đ nh nghĩa ộ ị

mối quan hệ ới nhà cung cấ và khách hàng Trong một khung làm v p việc công nghệ thông tin thì những tiến trình công việc(tiến trình

nghiệp vụ) được coi như những lu ng công việc Trong mộ ồ t lu ng ồcông việc xác định nh ng nhi m v đã đượữ ệ ụ c chi ti t hóa V i mỗ ộế ớ i m t công việc thì những thông tin về cá nhân(hay t p thểậ ) ch u trách nhiệm ịcũng như hướng d n th c hi n nghi p vụ ầẫ ự ệ ệ , đ u vào hợp lệ và đ u ra ầmong muố ền đ u đư c xác đ nh Chính đi u này đóng vai trò như mợ ị ề ột

s dự ẫn hướng rấ ốt t t cho hoạ ột đ ng nghiệp vụ ằ nh m đ m b o s hi u ả ả ự ệquả Điều này giúp cho những nhiệm vụ đư c phân công một cách ợminh bạch và rõ ràng Một quy trình công việc rõ ràng nhưng linh động (do hệ thống có cơ chế ở m ) chính là mộ ợt l i ích nổ ậi b t trong việc áp dụng quản trị công ngh thông tin cho hoệ ạ ột đ ng của doanh nghiệp và

t ổchức

• Kết quả đạt được từ hoạ ột đ ng đ u tư chính là ầ những lợi ích của các stakeholders Trên cơ sở ự ố s t i ưu và minh bạch hóa trong quy trinh hoạt động của tổ ứ ch c thì mục đích cu i cùng là tăng l i ích thu đưố ợ ợc của những stakeholders Sự tăng trưởng đáng kì v ng này đ t đưọ ạ ợc thông qua:

Giảm chi phí của hoạt động nghiệp vụ ự d a trên sự ố t i ưu hóa trong vận hành của h ệthống công nghệ thông tin và hoạ ột đ ng c a toàn ủ

t ổchức nói chung Tối ưu hoấquy trình hoạ ột đ ng đ ng nghĩa vớồ i gi m ảthiểu chi phí dành cho những hoạt động do vậy tỷ ố s giữa lợi ích thu được và nh ng chi phí ph i bữ ả ỏ ra s là cao nhất ẽ

Những stakeholders được phép biết thông tin về các rủi ro và cùng nhau xem xét góp ý đưa ra một gi i pháp hi u qu nh t Nh ng ả ệ ả ấ ữ

rủi ro được truyề thông sâu rộng trong tn ổ chức giúp cho tổ ch c luôn ứchủ độ ng và có những phương sách đối ứng hi u quảệ và ch ng v i ủ độ ớnhững rủi ro trong quá trình v n hành và ho t đ ng c a mình ậ ạ ộ ủ

• Định hư ng đớ ể nh n di n nh ng cơ h i còn chưa nh n đưậ ệ ữ ộ ậ ợc quan tâm thích đáng và trách nhiệm c a ngư i chịủ ờ u trách nhi m chính C i thiệ ả ện

và bảo vệ danh ti ng cũng như hình ế ảnh củ ổa t ch c Trong quá trình ứhoạt động của mình quản trị công ngh thông tin giúp cho tổ ứệ ch c nhận biết và quản lý r i ro hiủ ệu quả Quản lý rủi ro là một trong những lĩnh vực chuyên sâu thu được nhi u sự quan tâm nhất tề ừ phía những nhà công nghệ thông tin trong quá trình khai phá lĩnh vực qu n tr công ả ịnghệ thông tin ản lý rQu ủi ro giúp cho doanh nghi p dệ ự báo, đối phó

với những rủi ro chính những tác d ng nà, ụ y giúp cho tổ ứ ch c tránh khỏi hay hạn chế ớ t i mứ ốc t i thi u nh ng thiể ữ ệt hại đáng tiếc

• Cơ hội và s c ng tác Qu n tr công ngh thông tin giúp cho n n t ng ự ộ ả ị ệ ề ảtruyền thông trong n i b cũng như đ i v i khách hàng và nhà cung ộ ộ ố ớcấp của doanh nghiệp có những cải thiện đáng k Đi u đó giúp cho cơ ể ề

hội và sự ộng tác của doanh nghiệp và tổ chứ c c tăng lên về chất cũng như v lưề ợng Gi m nh s mạả ẹ ự o hi m trong mối liên kế ớể t v i các công

ty khác Tạo điều ki n thu n l i cho các m i quan h mang tính chất ệ ậ ợ ố ệkinh doanh tác nghiệp với các đối tác công nghệ thông tin (nhà cung cấp hay nhà phân phối)

• Quản lý r i ro đư c thư ng tr c trong hoạ ộủ ợ ờ ự t đ ng và được tích h p vào ợtrong khung làm việc của tổ ứ ch c Quản lý rủi ro được chú trọng và thường tr c trong tự ổ ch c giúp cho những tác hạ ủa rủứ i c i ro được hạn chế ớ t i mứ ảc nh hư ng t i thiểu và tăng cưở ố ờng những tác động có tính chất tích cự ủc c a rủi ro Cơ chế đố i phó và x vử lý i r i ro luôn hết sức ớ ủlinh hoạt (với nhiều sự ự l a chọn như tránh rủi ro,chuyể ủn r i ro hay giảm nhẹ ủ r i ro) giúp cho tổ ch c đứ ối phó với r i ro hiủ ệu quả

• Cho phép công nghệ thông tin tham gia vào các chiến lược kinh doanh

của tổ chức Đi u này có đưề ợc do sự căn chỉnh giữa những chiến lược

và những hoạch định c a CNTT sao cho CNTT h tr t t nh t cho ủ ỗ ợ ố ấdoanh nghiệp trong việc duy trì và mở ộ r ng nh ng giá tr thu đư c ữ ị ợChính sự căn chỉnh hợp lý trong chiến lược ho t đ ng nghiệp vụ và ạ ộchiến lược công nghệ thông tin giúp cho tổ chức có được một đường l i ốphát triển đúng đắn trong đó công nghệ thông tin h trợ ốỗ t t nhất cho hiệu quả kinh doanh của doanh nghi p và tệ ổ ch c ứ

• Quản tr công ngh thông tin giúp c i thi n kh năng đáp ng đ i phó ị ệ ả ệ ả ứ ốnhanh v i nhớ ững tình huống, s n sàng đón nhẵ ận sự thay đổi cũng như những vận hội Đó chính là tác dụng có được thông qua chiến lư c ợquản lý sự thay đổi trong quả ịn tr công ngh thông tin Qu n lý s thay ệ ả ự

đổi là m t lĩnh vự ẹộ c h p trong qu n trịả công ngh thông tin Qu n tr s ệ ả ị ựthay đổi có mục đích giúp cho những t ch c và doanh nghi p luôn chổ ứ ệ ủ

động Quy trình hoạ ột đ ng quản lý thay đổi giúp cho tổ ch c và doanh ứnghiệp giảm thiểu tối đa nh hưả ởng của những thay đổi có tính chất tiêu cực và tăng cướng ảnh hưởng của những thay đổi mang tính chất tích cực Bên cạnh đó những chiến lược trong quá trình xử lý và đ i ố

phó với những thay đổi cũng mang tới cho t ch c mộ ị ế ế ứổ ứ t v th h t s c chủ độ ng trong đ i phó với nhữố ng thay đổi

• Quản tr công nghị ệthông tin giúp cải thiện hiệu năng của tổ chức thông qua một loạt cơ chế

Nhận định xem mộ ịt d ch v hay m t d án công ngh thông tin ụ ộ ự ệchỉ ỗ ợ h tr cho nh ng nhu cầu mang tính chất hi n thữ ệ ờ ủi c a công ty hay phải đáp ứng nh ng mữ ục đích trong tương lai S ự nhậ ịnh này giúp n đcho nh ng d án công nghữ ự ệ thông tin đi đúng hướng

S ự tăng cường tính minh bạch làm tăng hiệu suất trong th c thiự

Tránh những phí tổn không c n thi t: nh ng phí t n ph i kh p ầ ế ữ ổ ả ớ

và thực sự ầ c n thiết với những mục tiêu kinh doanh và nghiệp vụ ầ c n

đạt được

• Tăng cường kh năng đạả t chu n B n thân quản lý công nghệ thông tin ẩ ả

s ẽđưa ra một quy trình hoạt động có tính chất chuẩn hóa Đó là một khung làm việc với nh ng lu ng công viữ ồ ệc được chi tiết hóa giúp cho khả năng chu n hóa là rất cao ẩ

• Cho phép một hướng ti p c n giúp cho doanh nghi p và t ch c đáp ế ậ ệ ổ ứ

ứng được tính h p pháp và sợ ự đi u tiế ủề t c a môi trường thông qua sự linh động trong quản trị công ngh thông tinệ

1.3 Mô hình t ổ ng thể ủ c a qu n tr ả ị CNTT và m t s ộ ố khung làm vi c ph ệ ổ biến

1.3.1 Các thành phần cơ bản cấu thành khung quản trị CNTT

Để qu n tr công ngh thông tin cho m t t ch c hay m t doanh nghi p ả ị ệ ộ ổ ứ ộ ệthì điều đầu tiên là phải thi t l p đư c một khung quản trị công nghệ thông tin ế ậ ợ

• Các cấu trúc quản tr : Nh ng c u trúc qu n tr là m t khái niệm tổng ị ữ ấ ả ị ộ

hợp Để thiết lập được mộ ất c u trúc quản trị ta ph i xác đ nh đư c ả ị ợnhững vị trí quản trị và n m đư c mốắ ợ i quan hệ tác đ ng qua lại giữa ộnhững vị trí qu n trả ịnày

• Các quy trình quản tr : Trong một khung làm việc thì những quy trình ịluôn hết sức quan trọng Xác l p quy trình trong một khung làm việc ậquản trị công nghệ thông tin của mộ ổ ứt t ch c không h đơn gi n Vì đ ề ả ểquy trình hoạ ột đ ng được hiệu qu thì quy trình phả ải tương hợp với quy trình nghiệp vụ chung của doanh nghiệp và tổ ứ ch c

• Các liên lạc quản trị: Sự liên l c trong tạ ổ ch c đóng vai trò thi t yếu ứ ếtrong việ ảc đ m bảo một môi trường truyền thông d dàng và hi u qễ ệ ủa

vốn là thế ạ m nh c a qu n trịủ ả công ngh thông tin V phương diện công ệ ềnghệ ữ nh ng liên lạc trong khung quản trị công nghệ thông tin thường

đựơc t o ra dưạ ới d ng m t c ng giao dạ ộ ổ ịch điện tử (portal) Cổng giao

dịch điện tử này sẽ là đầu não tập trung lưu trữ và x lý thông tin cho ửtoàn bộ hoạt động quản trị công ngh thông tin trong t ch c và doanh ệ ổ ứ

Khảo sát c u trúcấ : Trả ờ l i cho những câu hỏi như cấu trúc tổ ứ ch c c a tủ ổchức được khảo sát để ứ ng d ng quụ ản tr công nghị ệthông tin là gì? Những vị

Khảo sát quy trình hoạ ột đ ng : D a trên quy trình nghi p vự ệ ụ ủ c a tổ ch c ứhay doanh nghiệp Mộ ểt đi m lưu ý ở đây là bên c nh quy trình nghi p vạ ệ ụ còn phải chú ý tới những th ủ ụ t c, nhữ ng l ệ trong t ổ chức vì chúng có ảnh hưởng tới những tiến trình công việc về sau trong quá trình hoàn thiện khung làm việc

Khảo sát sự truyền thông: M t trong những lộ ợi ích lớn nhất của quản trị công nghệ thông tin c i thiện khả năng truyềả n thông c a t ch c (trên phương ủ ổ ứdiện nội bộ cũng như trong quan hệ truyền thông v i nh ng đối tác bên ngoài) ớ ữ

2.Xác định vị trí c a tổ ứ ủ ch c trong mố i quan h t ng hòa v i môi ệ ổ ớ trườ ng xung quanh

Một doanh nghiệp hay một tổ ứ ch c luôn nằm trong một môi trường v n ậhành và tương tác Quy trình của doanh nghiệp hay tổ ứ ch c do vậy cũng phụthuộc vào môi trường Việc xác định vị trí và nh ng mối quan hệữ tương h ỗ

của tổ chức trong môi trường vì v y h t sức quan trọng ậ ế

3.K ếhoach hành động cho quản trị CNTT

Quy trình quản lý công nghệ thông tin là một quy trình với khở ầi đ u là xác định nh ng m c tiêu phả ạữ ụ i đ t được Trên cơ sở đó đưa ra nh ng k ho ch ữ ế ạhành động để hiện th c hóa nh ng m c tiêu đ t ra M t kế ạự ữ ụ ặ ộ ho ch hành động

t t ố giữ vai trò hết sức quan tr ng trong thành công cọ ủa mộ ổ ứt t ch c nói chung cũng như của hoạt động quản trị công ngh thông tin nói riêng M t số ẫệ ộ d n hướng quan trọng đượ ổc t ng k t thông qua quá trình thực thi là: ế

• Xác lập một khung t ch c ổ ứ

• Căn chỉnh chiến lược và k ế hoạch quản trị công nghệ thông tin sao cho những kế ạ ho ch hành động thự ự ữc s h u ích vớ ếi ti n trình qu n trị ảcông ngh thông tin.ệ

• Hiểu và nh n th c đ y đ v nh ng r i ro ậ ứ ầ ủ ề ữ ủ

• Xác định nh ng ph m vi ữ ạ

• Đo lường những k t qu thu nhế ả ận được

• Phát triển những chiến lượ ổc đ i mới

• Phân đích thực tr ng và kh c ph c nhạ ắ ụ ững khuyết thi u ế

1.3.3 Những khung làm việc phổ dụng cho quản trị CNTT

Tuy có th i gian phát triờ ển chưa lâu song quản trị công nghệ thông tin

đặc bi t thu hút s quan tâm của cộệ ự ng đồng phát triển công ngh thông tin vì ệvậy có khá nhiều nh ng khung làm việc phổ ụữ d ng cho qu n trả ị công nghệ thông tin Sau đây s ẽtrình bày một s nét khái quát cố ủa những khung làm việc tiêu bi u trong sể ố nh ng khung quản tr công ngh thông tin phữ ị ệ ổ ụ d ng hiện hành:

Bảng 1.1 Những khung làm việc phổ biến trong quản trị CNTT

Tic kIT IT Service CMM IT Balanced Scorecard

ISO 27001 Six Sigma AS 8015-2005

ISO/IEC 20000 eSCM-SP v2 CobiT

M_o_R GFIM BiSL

ISPL ITIL ASL

MSP PRINCE2 PMBOK

eTOM OPM3

Cobit (Control objectives for information and related technology)

Cobit là một khung làm vi c đi u khi n nh ng m c tiêu v thông tin và ệ ề ể ữ ụ ềnhững công nghệ có liên quan Cobit đư đánh giá là mợc ột khung làm việc

hội tụ ừ những thực tiễn tốt nhất với một tập hợp nh t ững phương thức, những phương tiện ch báo, và những tiến trình đượỉ c ch p nhậấ n m t cách rộng rãi ộChính nh ng yữ ếu t này giúp cho nhố ững nhà quản lý, những kiểm toán viên

và những người sử ụ d ng công ngh thông tin ệ tối ưu hóa l i ích thu đượ ợc từviệc sử ụ d ng công ngh thông tin và phát triệ ển qu n trả ị công ngh thông tin và ệnhững điều khiển một một cách h p lý trong mộ ổ ứợ t t ch c

M_o_R (Management of risk)

M_o_R một phương pháp lu n đậ ảm bảo điều khiển hiệu quả ủ r i ro Ban đầu M_o_R được phát tri n bể ởi cơ quan quản lý b thương mại Anh (OGC) ộTrên bình di n quệ ốc t khung làm việc này được sử ụế d ng trên đ ng th i ồ ờnhững lĩnh vực công và tư M_o_R có khả năng được sử ụ d ng b i nhở ững tổ

ch c ứ ở đủ m i quy mô ọ để nhận biết, qu n lý, giả ảm nhẹ và loại trừ ủ r i ro M_o_R được phát hành và ti p c n tớ ộế ậ i c ng đ ng nh ng nhà phát tri n công ồ ữ ểnghệ thông tin thông qua một tài li u đư c xu t b n đ i trà v i n i dung trình ệ ợ ấ ả ạ ớ ộbày v ề những thự tiễn tốt nhấc t đư c đúc rút tợ ừ quá trình quản lý công nghệ thông tin M t phiên bộ ản với những cập nhật mới nh t c a phương pháp lu n ấ ủ ậM_o_R được hoàn thiện vào tháng ba năm 2007 Phiên bản mới của phương pháp luận này tđã ạo đư c điợ ểm nhấn trong một số lĩnh v c như quự ản trị ế k t hợp hay những điều khi n n i bể ộ ộ Bên c nh đó nh ng ti n trình trong M_o_R ạ ữ ếđược c p nhật và mở ộậ r ng đ nh ng ngyên lý vềể ữ phương pháp lu n trong ậM_o_R phản ánh được nh ng yêu c u cữ ầ ủa qu n trị ếả k t hợp và điều khi n n i ể ộ

b ộ

Calder Moir

Đây là một siêu khung làm việc vì khung làm việc này kết h p tợ ấ ảt c

một tổ chức tối ưu hóa những lợi ích thu đượ ừ ệ ử ục t vi c s d ng khung làm vi c ệnày

Tick IT

Đây là một khung làm việc mang tính chuyên sâu được s dử ụng để qu n ảtrị ấ ch t lượng phần m m Trung tâm của TickIT gề ồm những lĩn ực như phát h vtriển phần mềm, bảo trì, và những dịch vụ Đây là một sự th hiể ện quan trọng của chuẩn ISO 9001, chuẩn này đã chi tiết hóa những yêu cầu của mộ ệt h thống quản lý chất lượng Mục đích của TickIT là c i ti n chả ế ất lượng ph n ầmềm và triển khai nh ng ti n trình n i b hi u qu hơn do v y gi m đi nguy ữ ế ộ ộ ệ ả ậ ả

cơ chi phí vượt quá h n đ nh và ngăn chặạ ị n nh ng h ng hóc củ ảữ ỏ a s n phẩm TickIT cũng cung cấp mộ ẫt d n hư ng cho nh ng t ch c sao cho họ có được ớ ữ ổ ứ

một hệ thống quản lý chấ ợt lư ng được công nhận bởi chuẩ ISO 9001 do một n bên thứ ba cấ phép và chứng nhận p

ISO 27001 Chuẩn ITSM

ISO 20000 là một chuẩn quốc tế trong đó chi tiết hóa nh ng yêu cữ ầu cho việc thiết l p và bậ ảo trì mộ ệ ốt h th ng qu n tr an toàn thông tin (ISMS- ả ịInformation SecurCNTTy Management Systems) ISMS là một hướng ti p ếcận có tổ ứ ch c và đ qu n lý tính an toàn ể ả của thông tin trong tổ ch c Một hệ ứthống quản trị an toàn thông tin là mộ ệ ốt h th ng đa di n g m có con người, ệ ồtiến trình và những hệ th ng công ngh thông tin (cố ệ ả phầ ứn c ng và phần

mềm)

ISO 27001 thư ng đườ ợc s d ng k t h p v i ISO 27002 là chuẩn cung ử ụ ế ợ ớcấp mộ ẫt d n hư ng th c thi cho nh ng đi u khi n trong t ch c Đ chu n ớ ự ữ ề ể ổ ứ ể ẩhóa tổ ứ ch c của mình theo chu n này thì phẩ ải có những công cụ đáp ng m c ứ ụđích và có những tài nguyên hỗ trợ cho s ực thi của ISO 27001 ựth

ISO/IEC 20000 Chuẩn ITSM

ISO 20000 là một chu n qu c t thi t l p nh ng đ c trưng cho vi c th c ẩ ố ế ế ậ ữ ặ ệ ựthi tiến trình với thực tiễn tốt nh t cho quấ ản tr d ch v công ngh thông tin ị ị ụ ệKhung làm việc này còn bao trùm lên khía cạnh b o trì nhả ững tiến trình và

dẫn hư ng để đảớ m b o khung làm viả ệc này sẽ mang tới nh ng c i thiữ ả ện thực

sự Đây là một chuẩn cho phép tổ ứ ch c xây d ng và tri n khai hiệu quả ữự ể nh ng

dịch vụ công nghệ thông tin để đáp ứng nh ng yêu c u cữ ầ ủa doanh nghi p ệ

thông tin

Là một thang đánh giá v i năm c p đ giúp đo lướ ấ ộ ờng ợlư ng hóa ch t ấlượng tri n khai dể ịch vụ công nghệ thông tin c a t ủ ổ chứ Khung làm việc này ccũng chi tiết hóa và hướng dẫn làm sao để ả c i thiện chất lượng c a d ch v ủ ị ụcông ngh thông tin.ệ Mỗi một thang độ trong khung sẽ đưa ra một quy trình

với những đặc tả đầ ủy đ v ềnhững bước phải hoàn thiện trong khi những tiến trình đó được th c hi n Vì vậy khi mộ ổ ứự ệ t t ch c th c thi nh ng ti n trình th c ự ữ ế ựtiễn tốt nhất này, t ổ chức sẽ chuyển sang một c p đ cao hơn trong trong ấ ộnhững thang độ của khung làm việc này

Công việc đánh giá thang độ thu n th c c a mộ ổ ứầ ụ ủ t t ch c thư ng do sự ờkhảo sát đánh giá của m t bên thứộ ba Khi th c hi n đánh giá s có r t nhiều ự ệ ẽ ấphương thức để ự l a ch n tuy vậọ y do tính ch t tương đ ng giấ ồ ữa mô hình đánh giá thu n thầ ục CMMI và IT Service CMM do vậy một phương pháp đánh giá

có thể áp d ng chung cho đồụ ng th i hai đánh giá này ờ

Six Sigma Cải thi n ti n trình và ch ệ ế ấ t lư ợ ng

Sig Sigma là một phương pháp luận c i thi n tiến trình và chấả ệ t lượng dựa vào những độ đo v kh năng đáp ng có thể ợề ả ứ đư c sử ụ d ng đ tri n khai ể ểnhững dịch vụ công nghệ thông tin có chất lượng cao Six Sigma cũng đưa ra

một cấu trúc trong đó tổchức sẽ ải tiến nhữ g tiến trình công nghệ thông tin c n

thường ngày m t cách b n vững và liên tụộ ề c, tránh nh ng khuyế ểữ t đi m, tránh những sự lãng phí và ngăn chặn việc gia tăng chi phí cho ho t đạ ộng vận hành thông qua đó tăng cường chất lượng củ ịa d ch v cũng như s th a mãn c a ụ ự ỏ ủkhách hàng Mục đích chính của Six Sigma là giảm giảm đi s ựkhác biệt trong những tiến trình để đạt được mục đích này

thông tin

IBS là một cơ cấ ựu d a vào đ đo đư c s d ng v i m c đích giúp cho ộ ợ ử ụ ớ ụcông nghệ thông tin đ t đư c hiệu năng cao hơn đồng thờạ ợ i cho phép đồng b ộnhững mục đích tổng quan của doanh nghi p v i nh ng mụệ ớ ữ c đích của công nghệ thông tin IBS cung cấp cho nhà quản trị ữ nh ng đ đo hi u năng d n t i ộ ệ ẫ ớthành công Trong quá trình thực thi IBS có rất nhiều điểm phải xem xét Cơ

cấu cân bằng về ụ m c tiêu b n thân nó đư c phát tri n vả ợ ể ới quy mô ng dứ ụng ở mức toàn doanh nghiệp bởi Robert Kaplan và David Norton Trong những công trình nghiên cứu của mình họ ch ra làm th ỉ ếnào những công ty ngày nay

có thể tránh đư c s ợ ự không chắc chắ trong việ ạn c đ t được các giá trị thông qua s ự điều phối của doanh nghiệp và qua cơ cấu cân b ng mục tiêu ằ

AS 8015-2005

AS 8015-2005 là một chu n cẩ ủa chính phủ Australia dành cho qu n trả ịcông ngh thông tin Chệ uẩn này cung cấp những nguyên lý đ nh hưị ớng cho cán bộ ả qu n lý cấp cao như nh ng giám đữ ốc, nh ng chủ ở ữữ s h u doanh nghi p, ệtrưởng phòng có th s d ng đ vi c s d ng công ngh thông tin và nh ng ể ử ụ ể ệ ử ụ ệ ữcông nghệ ỗ ợ h tr truyền thông được hiệu qu trong tả ổ ch c c a h Như v y ứ ủ ọ ậđây là một khung làm việc theo hướng hư ng đ i tư ng đó là nh ng đớ ố ợ ữ ối tượng là nh ng nhân sự ấữ c p cao của những cơ quan quan trọng trong chính phủ và nh ng tổ ứữ ch c quan trọng của Australia

Generic Framework for Information Management (Khung làm việc chung quản lý thông tin)

Khung làm việc chung quản lý thông tin là một mô hình quản lý thông tin được áp d ng cho b t kì mộ ổ ứụ ấ t t ch c nào đ căn ch nh t t hơn gi a công ể ỉ ố ữnghệ thông tin và những mục tiêu chiến lượ ủc c a tổ ứ ch c Khung làm việc này thường ợđư c áp d ng cho nh ng t ch c có quy mô lớn Chứụ ữ ổ ứ c năng chính yếu của khung làm việc này là phân tích ở ấ ộ c p đ cao những vấ ề ề ổ ứn đ v t ch c và trách nhiệm Khung làm việc chung dành cho quản lý thông tin giúp xác định

một ánh xạ cho toàn bộ ệ h th ng quả ý thông tin với mục đích định vị ố n lnhững vấn đề ề v quản lý thông tin đang đươc đưa ra thảo luận trong tổ ứ ch c

và gán trách nhi m Khung làmệ việc này đóng vai trò như một công cụ ẩ ch n đoán những vấn đề ổ ứ ặ t ch c g p ph i trong vi c qu n lý thông tin trong tổ ả ệ ả

ch c.ứ

Để có đư c mộợ t nhìn nh n rõ hơn v m t khung làm vi c cho qu n trậ ề ộ ệ ả ịcông nghệ thông tin phần sau sẽ trình bày nh ng đ c đi m của mộữ ặ ể t khung làm việc hết sức phổ ụ d ng đó là khung làm vi c Cobit ệ

1.3.4 Giới thiệu về khung làm việc Cobit

Hình 1.2 Khung làm việc Cobit tổng quan

Hình 1.3 Những thành phần của khung làm việc Cobit trong mối tác

động tương hỗ

Hình vẽ này được trích dẫn từ nguồn : //www.isaca.org/ Chú giải

• IT Resources : Nguồn lực công nghệ thông tin

• Effectiveness : Tính hiệu quả

• Efficiency : Hiệu năng

• Confidentiality : Tính bả o m t ậ

• Intergrity : Tính toàn vẹn

• Availability : Tính sẵn dùng,tính đáp ứng sẵn sàng

• Compliance : Tính đáp ứ ng yêu cầu

• Reliability : Tính tin cậy

• Business Requir ement : Nhữ ng yêu c ầ u nghiệp vụ

• IT Processive : nh ữ ng tiế n trình công ngh ệ thông tin

Khung làm việc Cobit t ổ ng quan

Hình 1.2 và 1.3 đã thể ệhi n được một góc nhìn tổng quan và cơ bản v ềkhung làm việc Cobit

Nguồn tài nguyên công nghệ thông tin bao gồm :

• Trình ứng d ng ụ

• Thông tin

• Cơ sở ạ ầ h t ng

• Con người

Đơn vị quan tr ng nhất trong khung làm việc Cobit là nh ng ti n trình ọ ữ ế

và những tiến trình trong khung làm việc Cobit được phân định theo những hạng mục chính sau:

• Phạm vi ( Domain )

• Hoạ ột đ ng ( Activities )

Những yêu c u v m t ầ ề ặ kinh doanh :

Bảng 1.2 Bảng Ánh xạ giữa những tính năng của khung làm việc Cobit với những lĩnh vực ứng dụng trong quản trị công nghệ thông tin

Những mục đích

Những độđo

Thực tiễn Những mô

hình thuần thục

P : Primary Enabler  cơ chế cho phép ưu tiên chính yế u

S : Secondary Enabler  cơ chế cho phép ưu tiên thứ ấ c p

Cobit thư ng đườ ợc s dử ụng ở ức độ ả m qu n lý cao nhất cung cấp một khung làm vi c mang tính ch t tệ ấ ổng quan chung và đồng bộ ự d a vào mô hình tiến trình công nghệ thông tin đ có thể đáp ng đưể ứ ợc yêu cầu cho mọi doanh nghiệp hoạt động trên nhiều lĩnh vực khác nhau Những thực tiễn và chuẩn

xác định bao trùm lên những lĩnh vực riêng bi t có thệ ể ánh x vào trong ạkhung làm việc Cobit, mang t i mớ ột nhìn nh n mang tính chất phân cấp ậCobit được xây dựng dựa trên sự hòa h p và phân tích các chuẩn công nghệ ợthông tin hiện tại và những th ự ễn tốt nh t tuân theo nh ng nguyên tc ti ấ ữ ắc quản trị chung đư c ch p nh n mộợ ấ ậ t cách ph d ng ổ ụ Cobit đư c xây dựng ợphục vụ cho qu n trả ị ở ứ m c đ cao và nó th c sự bao trùm mộ ầộ ự t t m v c r ng ự ộ

lớn những h ạ ộo t đ ng công nghệ thông tin và Cobit p trung tr l i cho câu tậ ả ờhỏi phả ại đ t được cái gì nhiều hơn là cho câu hỏi làm thế nào đ quể ản trị và điều ch nh cho hi u quỉ ệ ả Đi u này giúp cho Cobit ề giữ được tính t ng quan ổphải có được ở ấ c p độ ả qu n lý cao nh t nàyấ Một điểm rất hay của Cobit là Cobit được thi t kế sao cho có khả năng mở và tương thích giúp cho Cobit dễ ếdàng hòa h p và bợ ổ sung cho nhưng chuẩn và th c ti n tốt nhất khác ự ế

Hình 1.4 Sự chuyển hóa từ những mục tiêu thành những tiến trình thực

thi có tính chất dẫn hướng

Hình vẽ này được trích dẫn từ : http://www.isaca.org

Chú giải :

Compare : So sánh

Process : Tiến trình

Norms Standards Objectives :Những mục tiêu chuẩn hóa

Các điều khi n đượ ịể c đ nh nghĩa như các chính sách, các thực ti n và các ễcấu trúc tổ ứ ch c đư c thi t k để đảợ ế ế m b o v ả ềtính logic r ng các mục tiêu kinh ằdoanh sẽ đạ t đư c và các sự ệợ ki n không mong muốn sẽ ợ đư c ngăn ng a hoặc ừphát hiện và chỉnh sửa

Quản lý công nghệ thông tinlà trách nhiệm của an ản ị và an iám b qu tr b g

đốc bao g m kh năng lãnh đao, c u trúc tổ ứồ ả ấ ch c và các tiến trình để đả m bảo rằng công nghệ thông tin c a tủ ổ chức thực hiện duy trì và mở ộ r ng chi n lược ế

và lợi ích ủa tổ ứ c ch c COSO là m t khung làm việc cho qu n trộ ả ị doanh nghiệp nói chung và có rất nhiều nh ng lĩnh vựữ c qu n trịả nói riêng v i qu n ớ ảtrị công nghệ thông tin là một trong s đó và quản lý rủi ro ố

Các nguồ ự n l c công ngh thông tin ệ bao gồ : m

Đầu tư cho công nghệ thông tin hiệu quả

Đảm b o th c thi đư c giá tr ả ự ợ ị

Có các độ đo phù hợp

Nhiệm vụ ủ c a khung làm việc Cobit:

• Tạo mộ ự ế ố ớt s k t n i t i các yêu cầu kinh doanh

• T ổ chức các hoạ ột đ ng công nghệ thông tin trong một mô hình tiến trình chung được thông qua

• Xác định các ngu n l c ồ ự công nghệ thông tin chính để thúc đẩ những y hoạ ột đ ng kinh doanh của tổ ứ ch c

• Định nghĩa các mục tiêu c th trong điều khiển và quản lý ụ ể

Nhìn chung thì nhiệm v c a khung làm vi c Cobit là cung c p thông tin ụ ủ ệ ấ

mà doanh nghi p cệ ần để đạ t đư c các mụợ c tiêu và để làm đư c như vợ ậy thì các nguồn lực công nghệ thông tin phải được qu n lý b i mộ ậ ợả ở t t p h p các tiến trình được phân nhóm m t cách t ộ ựnhiên

1.4 Vai trò của quản lý rủi ro trong quản trị công ngh ệ thông tin

Quản lý r i ro là ph n trung tâm trong chiủ ầ ến lược hoạ ột đ ng của mọ ổi t

định nh ng rữ ủi ro g n vắ ới nh ng hoữ ạ ột đ ng của mình v i mớ ục đích duy trì và

m rở ộng những mục tiêu và l i ích mà doanh nghiợ ệp thu được trong từng hoạt

động riêng lẻ cũng như trong toàn bộ hoạ ột đ ng c a h th ng nói chung Qu n ủ ệ ố ả

lý r i ro tủ ố ẽ đặ ự ật s t s t p trung vào việc nh n bi t và đ i phó v i nh ng r i ro ậ ế ố ớ ữ ủ

Mục đích c a nó là tăng cưủ ờng tối đa những giá trị thu đư c cho toàn b ho t ợ ộ ạ

động c a t ch c và cho toàn thể stakeholders Quản lý r i ro s xem xét tủ ổ ứ ủ ẽ ất

c ả những yếu tố có khả năng tác động lên doanh nghiệp và tăng cường khảnăng thành công và giảm thiểu nguy cơ thất bại do nh ng yế ố ềữ u t ti m tàng đó tác động lên tổ ch c, giảứ m đi sự không chắc ch n trong việ ạắ c đ t được nh ng ữmục tiêu của tổ ứ ch c

Quản lý rủi ro là mộ ết ti n trình liên tục và thông su t trong chiố ến lược

của tổ chức và sự thực thi của chiến lư c đóợ Quản lý rủi ro xác định tất cả những rủi ro xung quanh những hoạ ột đ ng của tổ chức trong quá kh , hiứ ệ ạn t i

và trong tương lai Tiến trình quản lý r i ro phủ ải được tích hợp vào trong khung làm việc và văn hóa chung của tổ ứ ch c với một chính sách hiệu quả và

một chương trình được chỉ đạ ở o b i nh ng lãnh đữ ạo ở ấ c p độ cao nhất của doanh nghi p Quệ ản lý rủi ro ph i đư c chuyế ảả ợ n t i thành nh ng m c tiêu ữ ụmang tính chiến lược và những mục tiêu mang tính vận hành, g n k t trách ắ ếnhiệm quản lý rủi ro trong toàn tổ ứ ch c cho nh ng nhà qu n lý, những nhân ữ ảviên chịu trách nhi m qu n lý r i ro Đ ng th i qu n lý r i ro còn h trợ tính ệ ả ủ ồ ờ ả ủ ỗgiải trình trách nhi m do trong tiệ ến trình quản lý rủi ro, mỗ ủi r i ro đư c gán ợcho một nhân vật, nhân v t này sậ ẽ có trách nhi m cao nhấ ốệ t đ i v i r i ro mình ớ ủ

có nhiệm vụ giám sát đồng th i trong quá trình th c thi mọờ ự i nhi m v u ệ ụ đề

được phân định h t sứế c rõ ràng, đo lường hi u năng cũng như nh ng l i ích ệ ữ ợkhác Tổng quan là qu n lý rả ủi ro sẽ ỗ h trợ tích c c cho tính hiự ệu quả trong hoạ ột đ ng của tổ chức