Luận văn thạc sĩ Quản trị an ninh phi truyền thông: Quản trị rủi ro công nghệ trong hoạt động của Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc

QTRR trong hoạt động của tổ chức, doanh nghiệp; tuy nhiên liên quan trực tiếp đến QTRRcông nghệ, đặc biệt là trong hoạt động của cơ quan quản lý nhà nước thì chưa thực sự có nhiều nghiên

ĐẠI HỌC QUOC GIA HÀ NỘI TRUONG QUAN TRI VÀ KINH DOANH

TRAN NGOC SON

LUAN VAN THAC Si

QUAN TRI AN NINH PHI TRUYEN THONG (MNS)

ĐẠI HỌC QUOC GIA HÀ NỘI TRUONG QUAN TRI VÀ KINH DOANH

TRAN NGOC SON

QUAN TRI RUI RO CONG NGHE TRONG HOAT DONG CUA

TRUNG TAM HA TANG THONG TIN TINH VĨNH PHÚC

LUẬN VĂN THẠC SĨ

QUAN TRI AN NINH PHI TRUYEN THONG (MNS)

NGƯỜI HUONG DAN KHOA HOC: PGS TS TRAN NGỌC CA

HA NOI - 2024

CAM KET

Tác giả cam kết rằng kết qua nghiên cứu trong luận văn là kết quả lao động của

chính tác giả thu được chủ yếu trong thời gian học, nghiên cứu và chưa được công bố

trong bất cứ một công trình nghiên cứu nào của người khác

Những kết quả nghiên cứu và tài liệu của người khác (trích dẫn, bảng biểu, côngthức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã các tác giả

LỜI CẢM ƠN

Trong quá trình học tập và làm luận văn thạc sỹ trong Chương trình đào tạo Thạc

sĩ Quản trị An ninh phi truyền thống tại Trường Quản trị và Kinh doanh, Đại học Quốc

gia Hà Nội, bên cạnh sự nỗ lực của bản thân, tôi đã nhận được sự giảng dạy và hướng dẫn

nhiệt tình của các thầy cô giáo Tôi xin gửi lời cảm ơn chân thành tới PGS.TS Trần NgọcCa đã tận tình hướng dẫn tôi trong quá trình học tập, nghiên cứu đề tôi hoàn thành đề tài

Tôi xin bày tỏ lòng biết ơn tới tất cả các giảng viên đã giảng dạy và giúp đỡ tôi

trong suốt khóa học Tôi cũng xin cảm ơn toan thể các đồng chí lãnh đạo, cán bộ nhân

viên tại Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc nhiệt tình giúp đỡ và hỗ trợ tôi trong

quá trình thực hiện luận văn.

Kết quả nghiên cứu là sự nỗ lực hết mình của tôi trong học tập và nghiên cứu, tuynhiên thời gian nghiên cứu và hiểu biết còn có hạn nên luận văn có thé có những hạn chếvà sai sót, tôi rất mong nhận được những góp từ thầy cô giáo và những nhà khoa học détiếp tục bổ sung và hoàn thiện dé tài hơn nữa

Xin chân thành cảm on!

Tác giả luận văn

3 Mục tiêu, nhiệm vụ, câu hỏi nghiên CỨU - c1 1321321181183 1 19111118 11 11811 xrrey 8

5 Pham vi nghién UU Ö3Ả - 8 6 Phuong phap nghién 0h Ố 8

7 Dự kiến kết cấu luận VAN oc ececcccccececscsececsescecsesecscsesucecsesecsesvsecscsrsesucavsucacsvsusacaesesesacsnsesecevees 10

CHƯƠNG 1 CƠ SỞ LÝ LUẬN VE QUAN TRI RỦI RO CÔNG NGHỆ 11

1.1 Khái niệm rủi ro, ban chất rủi ro và phân loại TỦ1 rO +-++-x++ssesereerrererrererree 11

LLL Kut mim 10 20 ll

1.1.2 Bản chất của rủi r0 seescessssecssssesesssssesesssneseessnseeessnmesesnneeesnnseeessnseessnneeeennnsteesnnetessaneess 12

1.1.3 Phân oat rt rO - ¿+ 1E 2211111213011 1111993111190 111g 1n KH cư 13 1.2 Khái niệm công nghệ, rủi ro công nghỆ 6 c2 S3 11 211239 1 81 511 1 vn gi nưệp 13

1.2.1 6 000 2i cOng nghé occ 434 ,Ô 13

1.2.2 Năng lực công ng Ệ «6 k9 93 111191 1 HT TH TT Hà HT HH rà 15 1.2.3 Quan tri CONG NHE 01 Ả 18

1.2.4 An ninh phi truyền thống và an ninh công Ngh@ cccccecsessesssessessesssessesssessesseessessecseeeses 201.2.5 6v 07 22 1.3 Quản trị rủi ro công nghỆ - c1 3221211121121 1 2111111111 1111711111111 11 T1 H1 TH ng nưy 22

1.3.1 Quản tri rủi ro và các khái niệm liÊn Quan - 5< 5 S22 *++++kE+eEseseereereeeersee 22 1.3.2 Quan tri ri ro v01 7 ồ ^.^®.Ầ 23 1.4 Quy trình quan tri rủi ro công ng hỆ c2 2+ 31321121311 251 1111111111111 re 24

1.4.1 Nhận dạng và xác định rủi rO - +2 2132132112 11111111111 1111711 11111 ng re 25

1.4.2 Phân tich rủi TO + <2 1112111111253 1111 9311111109311 1T ng re 27

1.4.3 Đánh giá và xếp hang rủi TO - - :- s©x+SE9SE£EEEEEEEEEEESEEEE12112111121121111 1.1.1.1 xe 28

1.4.4 XU LY 6 30 1.4.5 Theo dõi và giám sắt CAC TỦI TO k1 TH TT HH HT Hàn ngà 31

1.5 Ứng dụng phương trình quản trị an ninh phi truyền thống vào quản trị rủi ro công nghệ

trong hoạt động sản xuất kinh doanh ¿2° ® SE EE£EE£EE£EE+EE+EESEESEEEEEEEEEEEZEEEErEerkerreeg 32KET LUẬN CHƯNG l - 2-5252 EEEEEEEEEXEE1E1111111111111111211 1111111111111 34CHƯƠNG 2 THỰC TRẠNG QUẢN TRỊ RỦI RO CÔNG NGHỆ TRONG HOẠT ĐỘNG

CUA TRUNG TÂM HA TANG THONG TIN TINH VINH PHÚC - 35

2.1 Giới thiệu chung về Trung tâm Ha tang thông tin tinh Vĩnh Phúc 2-2-5: 35

2.1.1 Thong tin ChUN 7 35

2.1.2 Báo cáo kết quả hoạt dONg ccescceccecsesssessecssessecsesssessesssessecsesssessessusssessesssessecsesssetsecseeeees 382.1.3 Thực trạng công nghệ của Trung tâm Ha tang thông tin tỉnh Vĩnh Phúc - 412.1.3.1 Hệ thống công nghệ của Trung tâm Ha tang thông tin tinh Vinh Phúc 4I2.1.3.2 Năng lực công nghệ của Trung tâm Hạ tang thông tin tỉnh Vĩnh Phúc 432.2 Thực trạng quản trị rủi ro công nghệ trong hoạt động của Trung tâm Hạ tầng Thông tin

tinh Vinh 10800) 00 45 2.2.1 Nhận diện và xác định rỦI TO - - - - 21 E11 2211111 223111111223 111118311 1n vn re 45 2.2.2 Phan 90i i0 0 ÖỔƠỔ 46

2.2.3 Đánh giá và xếp hạng rủi 10 ccsssesssesssesssecssessseessessvesssesssessusssssssecssecssesssecssecssecssecsseesees 51

224A XU LY PU LO 53 2.2.5 Theo dõi và giám sắt CAC TỦI TO G6 s1 S9 99T ng nh ng nh nh 57

2.3 Một số yếu tố ảnh hưởng tới hoạt động quan trị rủi ro công nghệ của Trung tâm Hạ tang

thông tin tỉnh Vĩnh PHU - 6 5 tk 91911 1 91 9191 1 H1 HT nh HH ng HH ngà 58

2.3.1 Khó khăn, tồn tại, hạn chế trong hoạt động của Trung tâm Ha tang thông tin tinh Vinh

PhUc 30:0 -Ả 58

2.3.2 Một số yếu tô ảnh hưởng tới hoạt động quản trị rủi ro công nghệ của Trung tâm Ha tang

thông tin tỉnh Vĩnh PPhÚC - - - 6 6 E311 91919111 E1 9191 11 HH HT ch HH HH ngà 60 2.4 Đánh giá quản trị rủi ro công nghệ trong hoạt đỘng - 5 5+ ‡s+e+vsvesesseeke 63

Q.4.1 Két qua dat QUOC ái 642.4.2 Tén tại, han ChE St kSkEESEEEE+EEEEEEEEEEEEEEEEEEEEEEEEEEEETEEEETEEEEEEETEEEETEEEEEEETEEEETErrkrree 642.4.3 Nguyên nhân của những ton tại, hạn chẾ - 2 + +£++2+EE£EE£+EE£EE£EzEEerxerresrxee 65

KET LUAN 09:i0/9)ce 1157 66

CHƯƠNG 3 MOT SO GIẢI PHAP DE NANG CAO HIEU QUA QUAN TRI RỦI RO CONG NGHE TRONG HOAT DONG CUA TRUNG TAM HA TANG THONG TIN TINH

3.2.1 Một số định hướng trong công tác quản trị rủi ro công nghệ của Trung tâm Hạ tầng

thông tin tỉnh Vĩnh Phúc thời gian tỚI - - 6 5E E1 21193911 911911911 1g nh ng cư 73

3.2.2 Các giải pháp cụ thể nhằm nâng cao hiệu quả công tác quản trị rủi ro công nghệ tronghoạt động của Trung tâm Ha tang thông tin tinh Vĩnh Phúc - 2-2 5z+z+z++szzxze: 75

KET LUAN CHUONG 3 1 78

0000 79

TÀI LIEU THAM KHẢO - 2-22: ©5<2EE9EEE9EE1EEE1EE11E711271127112711271211211711 211.1 Xe 81

I:i08060.a 86

DANH MỤC CÁC TỪ VIET TAT

ANPTT An ninh phi truyén thống

ATTT An toàn thông tin

CNTT Công nghệ thông tin

HĐKD Hoạt động kinh doanh

KHCN Khoa học công nghệ QTRR Quản tri rủi ro

DANH MỤC BANG BIEU

Bảng 1.1 Bảng đánh giá năng lực công nghệ của doanh nghiép - + 55+ 55s< 552 16

Bang 1.2 Tính điểm rủi ro dựa trên khả năng xảy ra -2¿- 5¿©2+2++2ExvcEvcxeerreerseee 28Bang 1.3 Tính điểm rủi ro dựa trên mức độ nghiêm trọng - 2-2 2 2+sz+£z+£zxczxzez 29

Bảng 1.4 Ma trận phân hạng TỦI TO - - - c1 2 3318911891189 8911 911 9 1 9118 11H TH ng nrệp 30

Bảng 1.5 XẾp loại rủi rO -¿- 5-52 St E2 9 1E2112217112112111112111121121111 2111111111 30Bảng 2.1 Kết quả hoạt động giai đoạn 2020-2022 2¿- 2¿©2++2+2E++2EE2EEvvzxrrrrrrrree 38

Bang 2.2 Các công nghệ tại Trung tâm Hạ tang thông tin tinh Vĩnh Phúc -. 41

Bảng 2.3 Khảo sát năng lực công nghệ tại của Trung tâm Ha tang thông tin tinh Vinh Phúc 43Bảng 2.4 Thống kê phiếu khảo sát tại của Trung tâm Ha tang thông tin tinh Vĩnh Phúc 46

Bảng 2.5 Thống kê nhân sự của Trung tâm Ha tang thông tin tinh Vĩnh Phúc 49

Bảng 2.6 Bảng tổng hợp phân tích các rủi ro công nghỆ -2- 2 2 +2s+2z++zxczxssrxez 50Bảng 2.7 Thang đo đánh giá rủi ro công nghệ tại của Trung tâm Hạ tầng thông tin tỉnh VĩnhBảng 2.8 Bảng tổng hợp đánh giá các rủi ro công nghệ của Trung tâm Hạ tầng thông tin tỉnhVIN PHUC 52

Bảng 2.9 Ma trận phân hang rủi ro tai của Trung tâm Hạ tang thông tin tinh Vinh Phúc 53

Bảng 2.10 Tổng hợp nội dung xử lý rủi ro của Trung tâm Ha tang thông tin tinh Vĩnh Phúc 56

Bang 3.1 Ma trận chiến lược SWOT của Trung tâm Ha tang thông tin tinh Vĩnh Phúc 72

DANH MỤC HÌNH VE

Hình 1.1 Phương trình công nghhỆ - - - - 2 22 21191 211331391 91 5119 1 E1 1111111 ng nnưy 15

PHẢN MỞ ĐẦU

1 Tính cấp thiết của đề tài

Sự phát triển nhanh chóng của công nghệ hiện đại đang tạo ra những cơ hội và thách

thức mà tổ chức, doanh nghiệp phải xem xét trong quá trình hoạt động Những tiến bộ công

nghệ ảnh hưởng sâu sắc đến mọi mặt của tổ chức (David, 2015), gần như không có một tôchức, doanh nghiệp nào có thê đứng ngoài sự phát triển vũ bão của công nghệ Ứng dụngcông nghệ trong hoạt động sản xuất kinh doanh trở thành điều bắt buộc với doanh nghiệp

trong tạo dựng lợi thế cạnh tranh trên thị trường, đặc biệt là với các doanh nghiệp sản xuất

(Hoàng Đình Phi, 2020).

Rõ ràng công nghệ mang lại những lợi thế lớn cho tổ chức, doanh nghiệp, tuy nhiên đicùng với đó là những rủi ro có thể xuất hiện Cùng với những rủi ro tiềm an đến từ môi trườngkinh tế, văn hóa, chính trị, xã hội, hay đến từ bên trong (tài chính, nhân sự, văn hóa ), rủi rocông nghệ đang dần trở thành một biến số có tầm ảnh hưởng lớn đến hoạt động của tô chức,doanh nghiệp (Carroll, 2017) Quản trị rủi ro (QTRR) can thiết cho mọi tổ chức ở bat kỳ quymô nảo, giúp có các hành động cần thiết với một loạt những rủi ro phát sinh, từ đó hỗ trợ việcđáp ứng các nhu cầu của tổ chức (Trần Hùng và cộng sự, 2017) Tiến bộ công nghệ luôn đikèm một phan rủi ro tương xứng, do đó cần phải xem xét kỹ lưỡng các rủi ro công nghệ dé cóthể đưa ra quyết định sáng suốt Rủi ro công nghệ có thê được hiểu là tình trạng hoạt độngbình thường của tổ chức, doanh nghiệp bị gián đoạn do gặp van đề về công nghệ (Andersonvà Felici, 2012) Có một số rủi ro công nghệ từ nhỏ đến lớn như đánh cắp mật khẩu, sự cố bảomật thông tin, ngừng hoạt động, ngừng cung cấp dịch vụ Chính vì vậy, dù với quy mô hoạtđộng như thé nao, tổ chức, doanh nghiệp cũng cần QTRR công nghệ Thông qua dự liệu, xemxét kỹ các rủi ro tiềm ân có thé làm gián đoạn hoạt động bình thường, tổ chức, doanh nghiệp

có thê xác định, giảm thiểu nguy cơ bên ngoài và bên trong QTRR công nghệ cho phép tổ

chức, doanh nghiệp giảm khả năng xảy ra các sự kiện bất ngờ, ngăn chặn tôn thất kinh tế,

danh tiếng, cải thiện quy trình ra quyết định, đảm bảo sự thành công trong hoạt động (Hoàng

Đình Phi, 2015).

Cơ sở hạ tang thông tin là một trong những yếu tổ tác động trực tiếp đến công tác quantrị cũng như hiệu quả hoạt động của doanh nghiệp Vì vậy, việc phát triển cơ sở hạ tầng vàứng dụng công nghệ thông tin có ý nghĩa quan trọng đối với doanh nghiệp trong bối cảnh hiện

nay (Trịnh Phú Cường, 2017) Ở quy mô quốc gia, hạ tang thông tin là một trong mười hạ

tầng cần phát triển đồng bộ trong hệ thống kết cấu hạ tầng kinh tế - xã hội quốc gia (Nghịquyết số 13-NQ/TW năm 2012 của Hội nghị lần thứ 4 Ban Chấp hành Trung ương Đảng khóaXI về xây dựng hệ thống kết cấu hạ tang đồng bộ nhằm đưa nước ta cơ bản trở thành nướccông nghiệp theo hướng hiện đại vào năm 2020).

Những năm qua ứng dụng công nghệ thông tin của tinh Vinh Phúc đã dat được kết qua

ban đầu, đóng góp tích cực vào phát triển kinh tế, văn hóa, xã hội, an ninh, quốc phòng củatinh Ha tang công nghệ thông tin từng bước được hoàn thiện, ứng dụng công nghệ thông tinđã triển khai ở nhiều đơn vị, địa phương, an toàn thông tin, an ninh mạng được bảo đảm Tuy

nhiên, so với yêu cầu đặt ra thì chưa tương xứng với tiềm năng và vị thế của tỉnh, hạ tầng số

chưa được củng cố và phát triển theo hướng điện toán đám mây, ứng dụng công nghệ thôngtin chưa dựa trên những nền tảng số bảo đảm dễ sử dụng, thuận tiện; chưa chủ động xử lýđược những vấn đề phức tạp của an ninh mạng; chưa thu hút được nguồn nhân lực công nghệthông tin, an toàn thông tin có chất lượng

Thời gian tới, khi Nghị quyết của Ban Thường vụ Tỉnh ủy Vĩnh Phúc về chuyền đổisố, hoàn thiện chính quyền điện tử hướng tới chính quyền số và phát triển đô thị thông minh,kinh tế số và xã hội số trên địa bàn tỉnh Vĩnh Phúc đến năm 2025, định hướng đến năm 2030được phê duyệt, nhiệm vụ của ngành Thông tin và Truyền thông sẽ ngày càng nhiều và khókhăn, thách thức, trong đó Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc được xác định là đơnvị nòng cốt trong việc bảo đảm ATTT mạng và xây dựng, phát triển, quản lý tập trung hạ tầnglõi của Chính quyền số tinh Vĩnh Phúc Đề thực hiện chức năng, nhiệm vụ của mình, QTRRcông nghệ luôn được Trung tâm Hạ tầng thông tỉnh Vĩnh Phúc xác định là vấn đề có ý nghĩaquan trọng Mặc dù đã triển khai một số biện pháp nhằm QTRR công nghệ, hoạt động củaTrung tâm vẫn tiềm ân phát sinh những rủi ro mới cần được nghiên cứu, xem xét kỹ lưỡng.Bên cạnh đó, trải qua tròn 10 năm hoạt động, đến nay chưa có dé tài nào nghiên cứu chuyên

sâu về vấn đề QTRR công nghệ tại Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc; do đó, lựa

chọn tiến hành một nghiên cứu chuyên sâu về công tác QTRR công nghệ tại Trung tâm Hạtầng thông tin tỉnh Vĩnh Phúc là vấn đề có ý nghĩa thực tiễn Xuất phát từ những lý do nêu

trên, tac giả đã lựa chọn nội dung “Quản tri rui ro công nghệ trong hoạt động cua Trung tâm

Ha tang thông tin tinh Vĩnh Phúc” làm đề tài nghiên cứu cho luận văn của mình 2 Tông quan tình hình nghiên cứu

QTRR đại diện cho một mô hình hỗ trợ các tô chức, doanh nghiệp xác định, đánh giá và

quản lý rủi ro ở cấp độ doanh nghiệp Công nghệ mang lại những lợi thế lớn cho tổ chức, doanh

nghiệp, tuy nhiên đi cùng với đó là những rủi ro có thê xuất hiện Cùng với những rủi ro tiềman đến từ môi trường kinh tế, văn hóa, chính trị, xã hội, hay đến từ bên trong (tài chính, nhânsự, văn hóa ), rủi ro công nghệ đang dần trở thành một biến số có tầm ảnh hưởng lớn đến

hoạt động của tổ chức, doanh nghiệp QTRR công nghệ cho phép tô chức, doanh nghiệp giảm khả năng xảy ra các sự kiện bất ngờ, ngăn chặn tốn thất kinh tế, danh tiếng, cải thiện quy trình

ra quyết định, đảm bảo sự thành công trong hoạt động

Theo Khan và cộng sự (2016), một số yếu tố thúc đây các công ty tham gia vào quá trìnhQTRR như: xác suất gặp khó khăn tài chính và chỉ phí liên quan, hiệu suất thu nhập thấp, cơ hội

tăng trưởng vàtính độc lập của hội đồng quản trị Bên cạnh đó, một chiến lược quản lý rủi ro phù

hợp có thé trở thành lợi thế cạnh tranh hỗ trợ các công ty phát triển (Blanco-Mesa và cộng sự,2019) Vì vậy, đã có nhiều các nghiên cứu trong và ngoài nước thực hiện về QTRR nói chung và

QTRR công nghệ nói riêng.

Nghiên cứu nước ngoài:Reuvid (2012) nhận định QTRR có hiệu quả đã trở nên một chủ đề chính được đưa rathảo luận trong những cuộc họp của hội đồng quản trị Các công ty nhận thức rằng trong khisự liêm chính về quản lý tài chính và tính liên tục trong kinh doanh vẫn mang tầm quan trọng cơbản, những chủ đề này phải được xem xét song song với các rủi ro trong thực tế kinh doanh,

chăng hạn như uy tín và thương hiệu, tuyển dụng, tính khả tín của sản phẩm, sức khỏe và an toàn,

tài san trí tuệ, và chuỗi cung ứng Các sự cô trong bat kỳ lĩnh vực nào cũng có thé hủy hoại triểnvọng tạo ra giá trị và thành công trong kinh doanh Đề QTRR kinh doanh - và đặc biệt là trong

môi trường nhiều thách thức — bắt buộc hội đồng quản trị của công ty phải được cấu trúc đề thiết

lập sự kiểm soát nghiêm ngặt đối với rủi ro và thực hiện báo cáo minh bạch cho các cô đông Việctuân thủ một cách thụ động những luật lệ và quy định không còn là một chọn lựa đúng din Tácgua đã hướng dẫn thực tế về những lĩnh vực rủi ro tiềm năng này chứa dựng lời khuyên quý báu

cho các giám đốc của mọi công ty, lớn và nhỏ, cung cấp những ý tưởng căn bản cho việc QTRR.

một cách tổng quát và dé hiéu

McConnell (2017) xem xét lĩnh vực chủ dé và quan trọng của QTRR công nghệ chiếnlược, hoặc những rủi ro gây ra cho một công ty do không tích hợp công nghệ vào các kếhoạch chiến lược và HDKD của minh Tác gia cải thiện việc QTRR công nghệ trong các tổchức bang cách tập trung vào các quá trình phát triển các chiến lược công nghệ hoàn toàn gắnliền với các chiến lược của doanh nghiệp Cuốn sách mang tính thực tiễn cao, bắt nguồn từ

QTRR Những kết quả trong cuốn sách được thiết kế dé tiết kiệm đáng kể công sức, thời gianvà kết quả là tiền bạc cho các công ty trong việc phát triển danh mục Rui ro Công nghệ Chiếnlược của riêng họ Tác giả hướng tới cấp quản lý cấp cao và hội đồng quản trị, những ngườichịu trách nhiệm thiết lập chiến lược và QTRR trong một tổ chức và những người hành nghềtrong lĩnh vực công nghệ và các tổ chức QTRR trong các tổ chức tài chính Nó cũng hướngđến các nhà phân tích và nhà đầu tư quan tâm đến việc đầu tư vào các tập đoàn lớn dựa trênchiến lược dài hạn của họ.

Anderson và Felici (2012) đánh giá các loại nguy cơ kỹ thuật xã hội cho phép mô tả

đặc điểm của rủi ro trong đôi mới công nghệ và làm rõ các cơ chế tạo nền tang cho rủi ro công

nghệ nồi lên Nghiên cứu này cung cấp nội dung liên ngành về rủi ro trong các hệ thong kỹthuật xã hội, bao gồm các mối nguy làm nỗi bật như “làm thế nào rủi ro công nghệ vượt quaranh giới tô chức”, “các quỹ đạo công nghệ và sự tiến hóa phát triển như thé nào từ việc giảiquyết những căng thăng nổi lên giữa các khía cạnh xã hội của các tổ chức và công nghệ” và“hành vi xã hội hình thành như thế nào và được định hình bởi công nghệ” Tiếp cận đối tượngtừ nhiều nền tảng học thuật và chuyên nghiệp, cuốn sách là nguồn quan trọng cho những aimuốn hưởng lợi từ việc tiếp xúc chỉ tiết và có phương pháp với nhiều góc độ về rủi ro côngnghệ Bằng cách cung cấp tổng hợp các nghiên cứu gần đây về rủi ro, nắm bắt các cơ chếphức tạp đặc trưng cho sự xuất hiện của rủi ro trong đôi mới công nghệ, cuốn sách thu hút sựđóng góp của nhiều ngành để duy trì một cuộc tranh luận có kết quả

Kouns và Minoli (2011) cung cấp đánh giá toàn diện về các phương pháp tiếp cận,

thông lệ và tiêu chuẩn của ngành về cách xử lý các rủi ro ngày càng gia tăng đối với các tài

sản quan trọng trong kinh doanh của t6 chức Thông qua cách tiếp cận thực tế, cuốn sách nàykhám phá các chủ đề chính cho phép người đọc khám phá và khắc phục những sai lầm tiềman Các tác giả trình bày một chương trình QTRR hiệu qua bằng cách cung cấp: tong quan về

các cách tiếp cận và phương pháp luận đánh giá, giảm thiểu và quản lý rủi ro; các quy trình

phát triển một chương trình lặp lại cho các van đề công nghệ và nguồn nhân lực; định nghĩacác khái niệm chính và tiêu chuẩn bảo mật trong lĩnh vực QTRR; các kỹ thuật phân tích đểđánh giá mức độ rủi ro vả lợi ích của việc khắc phục rủi ro; thông tin về sự phát triển và triểnkhai của nhóm quản lý rủi ro Các tác giả trình bày chỉ tiết các rủi ro cơ bản của doanh nghiệpvà vạch ra cách có thê tránh được chúng

Valerdi và Kohl (2004) đề cập đến phương pháp tiếp cận Mức độ sẵn sàng cho Công

nghệ (TRL) của NASA trong đánh giá mức độ phù hợp của công nghệ trong vận hành hoạt

động của doanh nghiệp Bản chất của công nghệ thường xuyên thay đổi cùng với sự phức tạpcủa các hệ thống quy mô lớn đã đòi hỏi những cân nhắc mới trong thiết kế và quản lý hệthống công nghệ của doanh nghiệp Vì vậy, các tác giả đã tích hợp các khía cạnh tiêu cực nhưlỗi thời của công nghệ với các khía cạnh tích cực được nêu bật trong 37 TRL để tạo thànhthước do Rui ro Công nghệ phan ánh chính xác hơn ảnh hưởng của một công nghệ cụ thé Baiviết đề xuất một phương pháp mới để định lượng công nghệ thông qua việc sử dụng các tácnhân định hướng rủi ro công nghệ, cung cấp sự hiểu biết tốt hơn về rủi ro liên quan đến việc

áp dụng một công nghệ.

Nghiên cứu trong nước

Hoàng Anh Tuấn (2023) với Luận án “Quản trị an ninh công nghệ cho ngành côngnghiệp điện Việt Nam” đã góp phần phát triển lý luận về quản trị an ninh công nghệ, làm rõkhái niệm an ninh công nghệ và xây dựng khung phân tích về quản trị an ninh công nghệ dựatrên lý thuyết và phương trình an ninh phi truyền thống Vận dụng lý thuyết quyết định luậncông nghệ, lý thuyết xã hội kỹ thuật, lý thuyết nguồn lực cùng lý thuyết quan trị an ninh phitruyền thống dé định nghĩa khái niệm an ninh công nghệ và xây dựng một khung tiêu chí đánh

gia tac động công tác quản tri an ninh công nghệ tới hiệu quả hoạt động của doanh nghiệp - đo

lường theo các yếu tố tôn thất, mat mát Dua ra các yêu tô nội hàm của quản trị an ninh côngnghệ với các yêu tổ được đề xuất thông qua phỏng van và kế thừa từ các nghiên cứu về quantrị công nghệ, quản trị an ninh liên quan đến công nghệ như an ninh mạng, an ninh hạ tầngthiết yếu, an ninh điện

Bùi Thị Hải Yến (2023) trong Luận án “Ảnh hưởng của các hoạt động quản tri rủi rothương hiệu đối với an ninh thương hiệu và giá trị thương hiệu: Nghiên cứu trong ngành côngnghiệp sản xuất và chế biến thực phẩm & đồ uống tại Việt Nam” xác định bốn nhóm của hoạt

động quản tri rủi ro thương hiệu, bao gồm: hoạt động xây dựng chiến lược, hoạt động xây

dựng đội ngũ nhân sự, hoạt động xây dựng quy trình và hoạt động đầu tư trong quản trị rủi ro

thương hiệu Bên cạnh đó, thông qua việc kế thừa các nghiên cứu trước đây, cùng với việcthực hiện nghiên cứu định tính phỏng vấn sâu các doanh nghiệp, tác giả đã đề xuất và kiểmđịnh thang đo đối với các yếu tố trong mô hình nghiên cứu: hoạt động quản trị rủi ro thương hiệu,an ninh thương hiệu và giá trị thương hiệu Thứ hai, kết quả nghiên cứu khang định tat cả các hoạtđộng quan trị rủi ro thương hiệu có ảnh hưởng đáng ké đến an ninh thương hiệu đặc biệt là hoạtđộng xây dựng chiến lược và xây dựng đội ngũ nhân sự có ý nghĩa rất lớn trong việc đảm bảo an

thương hiệu đến giá trị thương hiệu của một doanh nghiệp Cuối cùng, nghiên cứu cho thấy, cáchoạt động quan trị rủi ro thương hiệu cũng là yếu tố thúc day giá trị thương hiệu nêu chúng ta biết

tận dụng, phat triển và hoàn thiện chiến lược cũng như củng có số lượng và chất lượng nhân sự

trong nghiệp vụ này.

Trong luận văn “Quản trị rủi ro công nghệ dé phát triển công ty TNHH Hoàng DũngHB”, Nguyễn Văn Hưởng (2020) hệ thống hóa những khái niệm và nội dung trong QTRRcông nghệ của doanh nghiệp, đề cập đến van đề nghiên cứu từ khía cạnh an ninh phi truyềnthống đặt ra đối với các doanh nghiệp Việt Nam nói chung và công ty TNHH Hoàng Dũng

HB nói riêng Từ kết qua phân tích thực trang tại công ty này, tác giả đã xác định được những

kết qua, hạn chế và nguyên nhân Day là cơ sở dé luận văn xây dựng nhóm các giải pháp déQTRR công nghệ tốt hơn trong lĩnh vực kinh doanh xăng dầu

Đào Khắc Tuấn (2022) với Luận văn “Quản trị rủi ro công nghệ trong hoạt động sảnxuất kinh doanh tại Công ty Điện lực Thường Tín” đã hệ thống hóa cơ sở lý luận về QTRR,rủi ro công nghệ, QTRR công nghệ, các quy trình về QTRR công nghệ Đánh giá thực trạng

QTRR công nghệ trong hoạt động SXKD tại công ty điện lực Thường Tin: dựa trên việc cung

cấp các thông tin tổng quan về công ty, tổng quan về QTRR công nghệ tại công ty Căn cứtrên kết quả nghiên cứu, phân tích, đánh giá thực trạng QTRR công nghệ, tìm ra nguyên nhâncủa ưu điểm, nhược điểm dé làm cơ sở xây dựng các giải pháp sau này Đưa ra định hướngphát triển công nghệ, định hướng phát triển chung của công ty trong 5-10 năm tới Dựa trêncơ sở lý luận và phan phân tích, đánh giá thực trang ở chương 2, đề xuất các giải pháp, gợi déhạn chế, khắc phục các rủi ro công nghệ của công ty

Trần Thanh Tùng (2020) trong luận án Quản trị rủi ro trong lưu trữ (qua thực tế ở ViệtNam) đã hệ thống hóa cơ sở lý luận về quản trị rủi ro nói chung và nghiên cứu xây dựng hệ

thống cơ sở lý luận về quản trị rủi ro trong lưu trữ; trên cơ sở lý luận về quản trị rủi ro trong

lưu trữ, luận án đã khảo sát, đánh giá thực trạng hoạt động liên quan đến quản trị rủi ro trong

lưu trữ ở các cơ quan, tô chức lưu trữ Việt Nam, từ đó đưa ra nhận xét đánh giá; thực hiệnphương pháp nghiên cứu của lý thuyết quản trị rủi ro, luận án đã nhận điện làm sáng tỏ cácloại RR xảy ra gây thiệt hại, ton thất trong lưu trữ ở Việt Nam; phân tích làm sáng tỏ các yếutố gia tăng RR trong lưu trữ; đã áp dụng phương pháp định lượng dé đo lường mức độ tácđộng của các RR, yếu tố gia tăng RR gây thiệt hai tổn thất trong lưu trữ; trên cơ sở những nộidung được làm sáng tỏ, luận án đề xuất các giải pháp QTRR trong lưu trữ Các giải pháp đượckiến nghị bao gồm 02 nhóm: giải pháp chuyên môn và giải pháp về tổ chức, quan lý

Nguyễn Thị Quy trong nghiên cứu “QTRR trong doanh nghiệp Việt Nam” (2008) đã

đưa ra khái nhiệm về rủi ro và QTRR trong kinh doanh quốc tế Tác giả cũng phân tích thựctrạng rủi ro và QTRR trong kinh doanh quốc tế Tác giả cũng phân tích thực trạng rủi ro vàhoạt động QTRR của doanh nghiệp Việt Nam trong kinh doanh quốc tế Từ đó, đề xuất các

giải pháp nhằm tăng cường công tác QTRR tại các doanh nghiệp Việt Nam trong điều kiện

hội nhập kinh tế quốc tế

Trong bài viết “Tác động của QTRR đến kết quả hoạt động của doanh nghiệp trên địabàn thành phố Hà Nội” (2021), Nguyễn Thúy Anh và Tạ Thị Thanh Thủy nghiên cứu, khảo

sát tác động của QTRR đến kết quả hoạt động của 181 doanh nghiệp tại Hà Nội Kết qua phân

tích dit liệu cho thấy có 04 yếu tô thuộc QTRR có tác động tích cực đến kết quả hoạt động của

doanh nghiệp nhỏ và vừa (SMEs) tại Hà Nội gồm: Mức độ chấp nhận rủi ro, Thiết lập chiến

lược và mục tiêu, Quy trình QTRR, Báo cáo và công bó thông tin rủi ro, trong đó mức độ ảnhhưởng của yếu t6 Quy trình QTRR là lớn nhất Trên cơ sở đó, tác giả đề xuất các giải pháp déthực hiện QTRR hiệu qua hơn đối với SMEs

An Thị Minh Thúy (2017) đã đề xuất một số giải pháp nhằm nâng cao chất lượngQTRR trong các dự án CNTT của Tổng công ty Truyền tải điện quốc gia trên cơ sở nhận dạngrủi ro trong các dự án CNTT, các biện pháp kiểm soát, phòng ngừa và tài trợ rủi ro trong cácdự án CNTT của Tổng công ty Truyền tải điện quốc gia

Trong Luận án “Tăng cường QTRR đối với hệ thống thông tin kế toán tại các công tychứng khoán Việt Nam trong điều kiện ứng dụng công nghệ thông tin (CNTT)”, Nguyễn Thị

Phương Mai (2018) đã hệ thống hóa lại cơ sở lý luận về rủi ro và QTRR đối với hệ thống

thông tin kế toán trong điều kiện ứng dụng CNTT Với những điều kiện phát triển CNTT hiệnnay, tác giả đã phân tích thực trạng, từ đó đề xuất giải pháp tăng cường công tác QTRR hệthống thông tin kế toán tại các công ty chứng khoán Việt Nam

Trong bài viết “Bàn về Quản trị rủi ro công nghệ thông tin”, Nguyễn Anh Tuấn (2019)nhận định CNTT góp phần giúp các doanh nghiệp thuận lợi hơn trong quản trị, kinh doanhnhưng đi kèm với đó là những nguy cơ về rủi ro nếu không được bảo mật tốt Do đó, QTRRCNTT là vấn đề mà nhiều doanh nghiệp cần quan tâm hiện nay Trong bài viết, tác giả đã đềcập tới một số những bài học kinh nghiệm về quản trị rủi ro CNTT, nguyên nhân dẫn đến rủiCNTT tại doanh nghiệp Trên cơ sở đó, hệ thống hóa các phương pháp luận và khung QTRRvề CNTT

Tổng quan nghiên cứu cho thấy các công trình đã đề cập đến nhiều khía cạnh của

QTRR trong hoạt động của tổ chức, doanh nghiệp; tuy nhiên liên quan trực tiếp đến QTRR

công nghệ, đặc biệt là trong hoạt động của cơ quan quản lý nhà nước thì chưa thực sự có

nhiều nghiên cứu một cách đầy đủ và hệ thống, cũng như chưa có nghiên cứu nào về QTRR.tại Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc Vì vậy, việc nghiên cứu QTRR công nghệ tại

Trung tâm là cần thiết và không có sự trùng lặp với các nghiên cứu trước đó.

3 Mục tiêu, nhiệm vụ, câu hỏi nghiên cứu

- Muc tiêu: Đề xuất các giải pháp nâng cao hiệu quả QTRR công nghệ tại Trung tâm Hạtầng thông tin tỉnh Vĩnh Phúc

- Nhiệm vụ: (1) Hệ thống hóa cơ sở lý luận về QTRR, rủi ro công nghệ, QTRR, các

quy trình về QTRR công nghệ (2) Đánh giá thực trạng QTRR công nghệ trong hoạt động củaTrung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc: thông tin tổng quan về Trung tâm, tổng quan vềQTRR công nghệ tại Trung tâm Căn cứ trên kết quả nghiên cứu, phân tích, đánh giá thựctrạng QTRR công nghệ, tìm ra nguyên nhân của ưu, nhược điểm dé làm cơ sở xây dựng giảipháp sau này (3) Đưa ra định hướng phát triển công nghệ, định hướng phát triển chung của

Trung tâm trong vòng 2-3 năm tới Dựa trên cơ sở lý luận chung ở chương | và phân tích,

đánh giá thực trạng ở chương 2, đề xuất các giải pháp dé hạn chế, nâng cao hiệu quả QTRR

công nghệ ở Trung tâm.

- Câu hỏi nghiên cứu: (1) QTRR công nghệ là gì ? Bao gồm những hoạt động nao ?(2) Những rủi ro công nghệ mà Trung tâm có thé gặp phải trong quá trình hoạt động ? (3)Thực trạng QTRR công nghệ tại Trung tâm hiện nay như thé nào ? Hiện còn tồn tại hạn chế gì

? Nguyên nhân dẫn tới hạn chế nêu trên ? (3) Dé nâng cao hiệu quả QTRR công nghệ, cầnthực hiện hướng giải pháp như thế nào ?

4 Đối tượng nghiên cứu

Công tác QTRR công nghệ của Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc

5 Phạm vỉ nghiên cứu

Phạm vi thời gian: từ 2020 tới 2022.

Phạm vi không gian: QTRR công nghệ của của Trung tâm Hạ tầng thông tin tỉnh Vĩnh

Phúc trên địa bàn tỉnh Vĩnh Phúc 6 Phương pháp nghiên cứu

Luận văn được nghiên cứu trên cơ sở phương pháp luận chủ nghĩa Mác Lê nin, tư

tưởng Hồ Chí Minh, đường lối của Đảng, chính sách, pháp luật của Nha nước đối với hoạt

động QTRR của Trung tâm, trên cơ sở lý luận và cách tiếp cận liên ngành của khoa học an

ninh phi truyền thống.

- Phương pháp nghiên cứu định tính kết hợp định lượng:Về công cụ nghiên cứu định tính, luận văn sử dụng hình thức phỏng vấn trực tiếp với

các câu hỏi soạn san dưới dạng “mở” (không cho sẵn phương án trả lời), được xây dựng dựa

trên cơ sở lý thuyết về rủi ro, QTRR, kết hợp nghiên cứu của Đào Khắc Tuấn (2022) và có sự

điều chỉnh sát với điều kiện thực tế tại Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc Việcphỏng van với các câu hỏi “mở” dé người được hỏi thoải mái chia sẻ quan điểm, ý kiến về cácrủi ro công nghệ mà Trung tâm Hạ tang thông tin tỉnh Vĩnh Phúc đang gặp phải, qua đó triển

khai khâu đầu tiên của QTRR công nghệ là nhận diện, xác định các rủi ro công nghệ Kết quả

phỏng vấn trực tiếp giúp tác giả có cái nhìn tổng quan, từ đó xây dựng được bảng hỏi khảo sátmang tính định lượng về từng rủi ro công nghệ (đánh giá khả năng xảy ra và mức độ ảnhhưởng được lượng hóa bang thang đo), cũng chính là khâu tiếp theo của quy trình QTRRcông nghệ (đánh giá, xếp hạng rủi ro) Bên cạnh đó, câu hỏi phỏng van cũng giúp thu thập, bổsung thông tin về nguồn gốc, nguyên nhân rủi ro, tần suất, mức độ lặp lại, ảnh hưởng gây ra,biện pháp xử lý, ứng phó hậu quả, giải pháp khắc phục, loại bỏ rủi ro

Về công cụ nghiên cứu định lượng, tác giả xây dựng, sử dụng 02 mẫu phiếu điều tra

xã hội học đề khảo sát về: (1) Năng lực công nghệ và (2) Rủi ro công nghệ của công ty Việcphát phiếu khảo sát cụ thé hóa của khâu tiếp theo trong quy trình QTRR công nghệ là đánhgiá, xếp hạng rủi ro Hai mẫu phiếu khảo sát được xây dựng dựa trên cơ sở lý thuyết được hệthống, trình bày ở chương 1, nhất là nghiên cứu của Hoàng Đình Phi (2020) và có sự thamvấn, điều chỉnh nội dung cho phù hợp với thực tiễn tổ chức nơi tiến hành nghiên cứu Mẫuphiếu khảo sát năng lực công nghệ dựa trên nghiên cứu của Hoàng Đình Phi (2020), thang đotừ 1 đến 10, trong đó mức độ hiệu quả xếp theo thứ tự tăng dần Mẫu phiếu khảo sát nhóm rủi

ro công nghệ với hai là khả năng xảy ra và mức độ tác động, sử dụng thang do Likert (với 1 là

ít nhất, và 5 là lớn nhất) Tác giả lựa chọn mẫu nghiên cứu là 09 người, tiến hành phát phiếukhảo sát toàn bộ đội ngũ cán bộ quản lý, nhân viên của Trung tâm Hạ tầng thông tin tỉnh VĩnhPhúc Từ kết quả 2 mẫu phiếu khảo sát nêu trên, tác giả sẽ đánh giá được năng lực công nghệcủa Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc và phân loại, xếp hạng rủi ro mà Trung tâm

gặp phải (dựa trên cách thức phân hạng rủi ro của Trường Đại học Adelaide - Úc), từ đó triển

khai khâu tiếp theo của quy trình QTRR là đề ra biện pháp xử lý rủi ro

- Phương pháp tổng kết thực tiễn: Tiến hành nghiên cứu các báo cáo sơ kết, tổng kếtcủa Trung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc Đồng thời, nghiên cứu hoạt động thực tiễn

của Trung tâm, trên cơ sở đó rút ra đánh giá, nhận xét, bài học kinh nghiệm.

- Phương pháp tiếp cận hệ thống: Nghiên cứu, phân tích, luận giải những vấn đề vềđảm bảo QTRR công nghệ trong hoạt động của Trung tâm Ha tang thông tin tinh Vinh Phúc.Đồng thời, tiếp cận công tác này trong chỉnh thể mối quan hệ gắn kết chặt chẽ với các lĩnh

vực khác như chính tri, kinh tẾ, an ninh, xã hội trên địa bàn tỉnh Vĩnh Phúc Trên cơ sở đó,

rút ra những vấn đề có ý nghĩa phương pháp luận và thực tiễn

- Phương pháp phân tích, tổng hợp: Các phương pháp nghiên cứu tại bàn, tập trungvào thu thập các dữ liệu thứ cấp Và SƠ cấp (điều tra, khảo sát, phỏng vấn), từ đó thực hiện

phân tích và tông hợp dưới dạng diễn giải, mô hình, bảng biểu và thống kê hoạt động QTRR

tại Trung tâm; đánh giá kết quả đạt được, chỉ ra tồn tại, hạn chế, những van dé cần hoàn thiện

trên cả phương diện lý luận và thực tiễn.

7 Dự kiến kết cấu luận văn

Luận văn gồm 3 chươngChương 1: Cơ sở lý luận về QTRR công nghệ

Chương 2: Đánh gia thực trạng QTRR công nghệ trong hoạt động của Trung tâm Ha

tang thông tin tỉnh Vĩnh Phúc

Chương 3: Một số giải pháp nâng cao hiệu quả quản trị rủi ro trong hoạt động củaTrung tâm Hạ tầng thông tin tỉnh Vĩnh Phúc

CHƯƠNG 1 CƠ SỞ LÝ LUẬN VE QUAN TRI RỦI RO CÔNG NGHỆ

1.1 Khái niệm rủi ro, bản chất rủi ro và phân loại rủi ro

1.1.1 Khái niệm rủi ro

Rủi ro là một khái niệm quan trọng trong một số lĩnh vực khoa học, tuy nhiên vẫn

chưa có sự thống nhất về cách định nghĩa và giải thích (Aven, 2011) Rủi ro hầu như đượcnhìn theo nghĩa tiêu cực, như “rủi ro là tác hại dự kiến” (Campbell, 2005), hay “rủi ro

thường được coi là chỉ ra một số mức độ nguy hiểm” (Bettis, 1982) Một số cơ quan xây dựng tiêu chuẩn quốc gia như Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) cũng tiếp cận theo

cách này, khi định nghĩa “rủi ro là tác động của sự không chắc chắn” (ISO 9000:2015)

Hillson (2002a) cho rằng từ “không chắc chắn” là một thuật ngữ bao quát đề chỉ rủiro, biểu thị các tác động tiêu cực hoặc mối đe dọa và đề cập đến cơ hội là một sự khôngchắc chắn có tác động tích cực Theo Heldman (2005), phần lớn chúng ta thường bỏ quamặt tích cực, và có xu hướng nghĩ đến rủi ro về những hậu quả tiêu cực Mặc dù rủi ro lànhững sự kiện tiềm ân gây ra mối đe dọa song chúng cũng là những cơ hội tiềm ấn trong rủi

ro Đó là một trở ngại ngăn cản, dù tích cực hay tiêu cực, được thực hiện dựa trên các mục tiêu đã đặt ra.

Ngược lại với quan điểm coi rủi ro là một sự kiện đẫn đến ảnh hưởng tích cực hoặctiêu cực đến mục tiêu nếu nó xảy ra là quan điểm nhìn nhận rủi ro như sự không chắc chan

Sự không chắc chắn được định nghĩa là một xác suất không xác định xảy ra của một sự kiện

xuất phát từ ba nguồn chính (1) các yếu tố bên ngoài, (2) sự thay đôi của chiến lược kinh

doanh và (3) các phương pháp không xác định để thực hiện công việc (Jaafari, 2001) Xácsuất tác động không xác định cùng với nhiều biến số với các mức độ không chắc chắn khácnhau trong bối cảnh môi trường thay đôi nhanh chóng đã tạo ra nhiều khó khăn và phức tạp

hơn trong quản lý và vận hành hoạt động của doanh nghiệp Theo đó, Chapman và Ward

(1997) đã phát triển một quan điểm hơi khác, trong đó rủi ro là tác động không chắc chanchứ không phải là nguyên nhân gây ra ảnh hưởng đến hiệu suất hoạt động như chỉ phí, thờigian và chất lượng Do đó, thuật ngữ không chắc chắn là rủi ro bao gồm “sự thay đổi” vềcác biện pháp thực hiện và “sự không rõ ràng” được kết nối chặt chẽ với sự thiếu rõ ràng docác yếu tố khác nhau

Những lập luận phía trên có thể đưa tới một thuật ngữ gần với rủi ro là “bất trắc”

chắc chan hay một tình trang bat ồn Chỉ những tình trạng không chắc chắn có thể ướcđoán được xác suất xảy ra mới được xem là rủi ro Những tình trạng không chắc chắn chưatừng xảy ra và không thé ước đoán được xác suất xảy ra được xem là bat trắc chứ khôngphải là rủi ro.” Như vậy, rủi ro trong hoạt động của một tổ chức hay doanh nghiệp có thé

được hiểu là “bắt kỳ sự kiện hay hành động nào có thể tác động hoặc ngăn cản doanh

nghiệp trong việc đạt được các mục tiêu đã đề ra” (Hoàng Đình Phi, 2015)

Rủi ro là một tình huống của thế giới khách quan trong đó tồn tại khả năng xảy ra

một sự sai lệch bat lợi so với kết quả dự tính.

- Tính chất ngoài mong đợi: Con người ai cũng mong muốn nhận được lợi ích cũngnhư những điều tốt đẹp, may mắn Tuy nhiên trong cuộc sống không phải lúc nào cũngđược như vậy Những điều, những sự kiện không may mắn, gây ton thất cho con người làkhông thé tránh khỏi và trở thành điều không mong muốn trong cuộc sống hay những sự

kiện ngoài mong đợi.

- Tính sự cô gây ra tôn thất: những rủi ro xảy ra không thé đo lường được hoặc đolường không chính xác dẫn đến những hậu quả Trên thực tế, mỗi rủi ro gây ra mức độ tônthất khác, thậm chí có thể không dẫn đến tôn thất gì Tổn thất của rủi ro thé hiện ở dạnghữu hình (tài sản, vật chat) hay vô hình (sức khỏe, tinh thần, trách nhiệm, đạo đức )

Nói cách khác, dù xem xét dưới góc độ nảo thì đặc điểm của rủi ro là tính bất ngờ,ngoài mong đợi của con người và gây ra ton thất ở mức độ khác nhau đối với các hoạt động

cua con nguoi.

1.1.3 Phân loại rủi ro

Trần Hùng và cộng sự (2017) phân loại một số loại rủi ro dựa trên các tiêu thức khác nhau

1.1.3.1 Theo nguyên nhân gây ra rủi ro

- Rui ro sự cố là rủi ro gắn liền với sự cô ngoài dự kiến, đây là những rủi ro khách quan khó tránh khỏi (thường gắn liền với các yếu tố bên ngoài) Rui ro sự cố thường gây ra

hậu quả rất nghiêm trọng, khó lường, ảnh hưởng tiêu cực, sâu rộng Đa số rủi ro sự cô bắtnguồn từ tác động của các yếu tố kinh tế, chính trị, xã hội, tự nhiên Mặc dù vậy, việc

nghiên cứu môi trường, xác định quy luật của các yếu tố khách quan góp phần quan trọng vào khả năng hạn chế các rủi ro sự cố.

- Rui ro cơ hội là rủi ro gắn liền với quá trình ra quyết định của chủ thé Căn cứ quátrình ra quyết định thì rủi ro cơ hội gồm: Rủi ro liên quan đến giai đoạn trước khi ra quyếtđịnh (thu thập và xử lý thông tin, lựa chọn cách thức ra quyết định), rủi ro trong quá trình ra

quyết định, rủi ro liên quan đến giai đoạn sau khi ra quyết định.

1.1.3.2 Theo kết qua, hậu quả nhận duoc

- Rui ro thuần túy tồn tại là rủi ro xảy ra khi có một nguy cơ tổn thất nhưng khôngcó cơ hội, không có khả năng có lợi cho chủ thể (rủi ro một chiều) Rủi ro thuần túy thườngxảy ra đối với tài sản của cá nhân Bất cứ một cá nhân nào là chủ sở hữu tài sản, đều phảichịu rủi ro về tài sản Rui ro về tài san là những tổn thất về tài sản do bị hư hỏng hay matmát Rui ro tốn thất về tài sản có thé là một hỗn hợp giữa 3 loại rủi ro: (1) ton thất về tai

san, (2) tôn thất về thu nhập khi tài sản không được sử dụng, (3) chi phí tăng thêm trong

trường hợp có thiệt hại về tài sản.

- Rủi ro suy đoán tồn tại khi có một cơ hội kiếm lời cũng như một nguy cơ tôn thất,hay nói cách khác là rủi ro vừa có khả năng có lợi, vừa có khả năng tổn that Rui ro suyđoán là rủi ro gắn liền với khả năng thành bại trong hoạt động đầu tư, kinh doanh và đầu cơ

1.2 Khái niệm công nghệ, rủi ro công nghệ 1.2.1 Khái niệm công nghệ

Wadhwa và Harper (2014) cho rằng các định nghĩa về công nghệ đến nay đều rấtmơ hồ và không rõ nghĩa Trong nhiều năm qua, phần lớn các học giả hạn chế đưa ra mộtđịnh nghĩa quy chuẩn cho “công nghệ Do đó, không có một định nghĩa thống nhất chungcho thuật ngữ này trên phạm vi toàn cầu (Misa 2009) Rõ ràng, không thé thực hiện nhữngnghiên cứu về công nghệ mà không có sự hiểu biết thấu đáo về công nghệ là gì, và côngnghệ làm gi (Barney, 2000), và việc thiếu hiểu biết này khiến công nghệ trở nên kém phát

triển hơn (Lake, 2002).

Công nghệ (Technology) hình thành từ sự kết hợp của hai chữ “techne” và “logos”trong tiếng Hy Lạp (Lake, 2002), đã có nhiều định nghĩa dựa trên các quan điểm khác nhau.Naughton (1994) giải thích công nghệ là “việc áp dụng các kiến thức khoa học và kiến thức

khác vào các nhiệm vụ thực tế của các tô chức có sự tham gia của con người và máy móc”.

Allen và Wircenski (1998) định nghĩa công nghệ trong bối cảnh giáo dục và đào tạo là“việc sử dụng lý thuyết, quy trình, thông tin và tài liệu dé nâng cao kiến thức, kỹ năng va

thái độ của một xã hội.” White and Bruton (2011) định nghĩa công nghệ là “việc thực hiện

thực tế việc học và kiến thức của các cá nhân và tổ chức dé hỗ trợ nỗ lực của con nguoi.

Công nghệ là tri thức, san phẩm, quy trình, công cụ và hệ thống được sử dụng để tạo ra

hàng hóa hoặc cung cấp dịch vụ.”

White và Bruton (2011) tong hợp các quan điểm chính trong một số định nghĩa vềcông nghệ bao gồm:

* Các quy trình được sử dụng dé thay đổi đầu vào thành đầu ra;* Việc áp dung kiến thức đề thực hiện công việc;

*Kiến thức, kỹ năng và hiện vat lý thuyết và thực tế có thé được sử dụng để pháttriển sản phẩm cũng như hệ thống sản xuất và phân phối của chúng;

s Các phương tiện kỹ thuật sử dụng dé cải thiện môi trường xung quanh;

° Ứng dụng của khoa học, đặc biệt là cho các mục tiêu công nghiệp hoặc thương

mại; toàn bộ các phương pháp và vật liệu được sử dụng dé đạt được các mục tiêu đó

Mặc dù có sự đa dạng trong các định nghĩa trước đây về công nghệ, giữa các định

nghĩa tồn tại một số yếu tố chung Các định nghĩa đều cho rằng có một quá trình liên quanđến công nghệ, sự thay đôi đó là kết quả của công nghệ và công nghệ đó liên quan đến cách

tiếp cận có hệ thống dé mang lại kết quả mong muốn (cải tiến, mục tiêu và đầu ra) (White

và Bruton, 2011) Đồng thời, những định nghĩa này đề cập đến yếu tố con người - tức là conngười tham gia vào quá trình khai thác kiến thức, lý thuyết và thông tin để hỗ trợ các cánhân, tô chức và xã hội nói chung

Các tổ chức quốc tế về khoa học - công nghệ đã nỗ lực xây dựng một định nghĩa công nghệ có thể dung hòa các quan điểm, đồng thời tạo thuận lợi cho việc phát triển và

hòa nhập của các quốc gia trong từng khu vực và trên phạm vi toàn cầu Luật Chuyên giaocông nghệ Việt Nam 2013 định nghĩa “công nghệ là giải pháp, quy trình, bí quyết kĩ thuật

có kèm hoặc không kèm công cụ, phương tiện dùng dé biến đổi nguồn lực thành sản phẩm.”

Điều nay phản ánh công nghệ là sản phẩm của những kha năng về kĩ thuật và t6 chức khinhững yếu tố đó quyết định phương thức chuyền các nguồn lực vô hình và hữu hình thànhcác hàng hóa và dịch vụ trung gian hay cuối cùng.

Trên cơ sở những kết luận từ các nghiên cứu trước đây, Hoàng Đình Phi (2020) định nghĩa công nghệ là việc sử dụng kết hợp sáng tạo 03 yếu tố là máy móc công cụ

(machine/tools), tri thức (knowledge) và kỹ năng (skill) dé biến đầu vào thành một sản phâmhay dịch vụ Trong đó, thành phần máy móc/công cụ được hiểu là tat cả các thiết bị phần cứng

của công nghệ như máy móc, thiết bị, công cụ có gắn hoặc không gắn với đất đai, văn phòng, nhà xưởng, hệ thống sản xuất liên quan trực tiếp tới công nghệ Thành phần tri thức được hiểu

là tất cả các yêu tố liên quan tới tri thức trong công nghệ bao gồm nhưng không giới hạn như:thiết kế, bản vẽ, bí quyết sản xuất, bí quyết kinh doanh, quy trình sản xuất, quy trình cung ứng

dịch vụ Cuối cùng, thành phần kỹ năng là tất cả các kỹ năng liên quan trực tiếp tới việc vậnhành công nghệ để làm ra một sản phẩm hay cung ứng một dịch vụ

và cộng sự, 2006) Tiếp cận với nhiều lựa chọn công nghệ mới hơn có thể ảnh hưởng đến

thời gian chu kỳ sản phẩm, tốc độ đôi mới của công ty, sự ra mắt và thời gian đưa ra thịtrường sản phẩm mới, chỉ phí phát triển sản phẩm, thành công trong việc phát triển sảnphẩm mới, và được coi là một thành phần quan trọng của kiến thức và kỹ năng cho công ty

(Guerra và Camargo, 2016).

Năng lực công nghệ là khả năng thực hiện được hàng loạt các nhiệm vụ khác nhau

về công nghệ (Lall, 1992) Theo Fransman, M (1986), năng lực công nghệ là một nhóm

công nghệ; chuyên hoá các tư liệu đầu vảo thành đầu ra và các hoạt động sản xuất và mua,bán sản phẩm.

Năng lực công nghệ là khả năng của một tổ chức dé thực hiện bat kỳ chức năng kỹthuật liên quan nao, bao gồm kha năng phát triển các sản phẩm, quy trình và kiến thức côngnghệ mới đề đạt được mức hiệu quả cao hơn (Tsai, 2004) Thông qua năng lực công nghệ,công ty có thé đạt được lợi thé cạnh tranh trong ngành, đặc biệt là trong môi trường côngnghệ cao (Ortega, 2010) Năng lực công nghệ bị ảnh hưởng bởi các yêu tố bên trong (lập kếhoạch và kiểm soát, định hướng thị trường, đảo tạo, đầu tư vào R&D, lao động chân tay),

các yếu tố bên ngoài (hỗ trợ của chính phủ, mua hoặc cấp phép công nghệ từ các công ty

khác và hình thành các liên minh chiến lược dé mua công nghệ mới) và do đó, phương thứcchuyên giao công nghệ (Madanmohan và cộng sự, 2004) phải được quản lý một cách hiệu

quả (Tatikonda & Stock, 2003).

Năng lực công nghệ duy tri khả năng cạnh tranh của các quốc gia va doanh nghiệp(Hewitt & Wield, 1996; Hobday, 1995); yếu tố trọng tâm và quyết định trong việc tao ra vithế cạnh tranh (Ernst & O'connor, 1989); nguồn lực cơ bản của sức mạnh cạnh tranh

(Mytelka, 1993).

Theo Hoàng Đình Phi (2020), năng lực công nghệ là “khả năng sở hữu, phát triểnvà sử dụng có hiệu quả các công nghệ khác nhau để hình thành hệ thống công nghệ tíchhợp nhằm phát triển sản xuất kinh doanh và duy trì khả năng cạnh tranh bên vững.” HoàngĐình Phi (2020) sử dụng 5 nhóm năng lực công nghệ với tư cách là 5 nhóm yếu tố nội hàm

được sắp xếp theo thứ tự trong bảng đánh giá năng lực công nghệ, dé làm các tiêu chí đánh

giá về năng lực công nghệ của các tổ chức, doanh nghiệp Các tổ chức, doanh nghiệp có thésử dụng bảng tiêu chí này dé phát triển các đánh giá định tinh hay định lượng tuỳ theo từng

trường hợp cụ thé.

Bảng 1.1 Bảng đánh giá năng lực công nghệ của doanh nghiệp

(Thang điểm từ 1-10)

STT | Nội dung Đánh giá

I Năng lực thiết bị và hạ tầng công nghệ1 Nhà máy, cơ sở kinh doanh theo yêu câu & tiêu chuân của ngành

nghề2 Sô lượng, chât lượng, công suât của các loại máy móc, thiệt bị theo

yêu câu & tiêu chuân của ngành nghê

3 Tính đồng bộ của máy móc thiết bị

4 Mức độ tự động hóa của công nghệ hệ thông công nghệ

IL Năng lực hỗ trợ công nghệ1 Năng lực hoạch định chiến lược kinh doanh dựa vào công nghệ, các

chiến lược & kế hoạch công nghệ

2 Năng lực hoạch định & thực thi các dự án R&D

3 Năng lực thu xếp tài chính và các điều kiện thuận lợi cho đổi mới &

sáng tạo công nghệ4 Năng lực quản trị nhân lực trực tiếp tham gia vận hành, đôi mới và

sáng tạo công nghệ IH Năng lực tìm kiêm và mua bán công nghệ

1 Năng lực đánh giá và xác định công nghệ cần thiết phải mua bán theo

yêu cầu cạnh tranh

2 Năng lực tìm kiêm người mua bán các công nghệ cân thiệt với chât

lượng và giá cả cạnh tranh 3 Năng lực lựa chon và thực hiện các cơ chê phù hợp đê tiép thu

công nghệ 4 Năng lực đàm phán các điêu khoản có hiệu lực và hiệu quả các hợp

đồng chuyên giao công nghệ.

IV Năng lực vận hành công nghệ

1 Năng lực sử dụng hay vận hành các công nghệ một cách hiệu lực và

4 Năng lực đối mới và sáng tạo hệ thống công nghệ

Nguồn: Hoàng Đình Phi (2020)

1.2.3 Quản trị công nghệ

Hoàng Đình Phi trong “Giáo trình Quản trị Công nghệ”, Trường Quản trị Kinh doanh

- Đại học Quốc gia Hà Nội (2020), quản trị công nghệ dưới góc độ khoa học quản trị là một bộmôn khoa học liên ngành và một lĩnh vực liên quan tới nhiều ngành khoa học có một mục tiêu

cơ bản là nghiên cứu và phát triển một hệ tri thức học dé làm nền tang vững chắc giúp cho các tô

chức và nha quản trị thực hiện tốt công tác quản trị các hoạt động khoa học, sáng tạo công nghệvà ứng dụng công nghệ nhằm tạo ra tài sản và sự thịnh vượng chung cho xã hội

Cũng theo Hoàng Đình Phi, thuật ngữ “công tác quản trị công nghệ” được sử dụng démiêu tả các nhiệm vụ, công việc hay các hoạt động (duty, job, activities) được các tô chức,doanh nghiệp thực hiện trong quá trình quản tri dé phát triển các công nghệ và các năng lựccông nghệ dựa trên các cơ sở lý luận của khoa học về quản trị công nghệ cung cấp

Ở cấp độ quốc gia thì công tác quản trị công nghệ là một chức năng quản trị cấp nhà nước,

do các cơ quan, bộ ngành liên quan thực hiện với các nhiệm vụ chính là nghiên cứu, ban hành và

đảm bảo rằng các chiến lược vả chính sách phát triển KHCN quốc gia được thực hiện có hiệu lực,hiệu quả, góp phần quan trọng vào quá trình phát triển bền vững của quốc gia

Ở cấp độ doanh nghiệp là một quy trình liên tục trong đó lãnh đạo, quản lý doanhnghiệp, tô chức thực hiện tất cả các công việc kế cả việc hoạch định và thực thi các chiếnlược và các kế hoạch liên quan nhằm phát triển công nghệ và các năng lực công nghệ cầnthiết phục vụ cho mục tiêu xây dựng, duy trì khả năng cạnh tranh bền vững của doanhnghiệp, tổ chức Công tác quản trị chức năng nằm trong khuôn khổ các công tác quản trịkinh doanh hay quản trị doanh nghiệp, từ công tác quản trị công ty, quản trị chiến lược, quản

tri công nghệ tới quản tri nguồn nhân lực, quản tri sản xuất, marketing

Theo Nguyễn Thành Độ và Nguyễn Ngọc Huyền (2012), quản trị công nghệ là tổng hợp

các hoạt động nghiên cứu và vận dụng các quy luật khoa học vào việc xác định và tổ chức thực

hiện các mục tiêu và giải pháp kỹ thuật nhằm thúc đây tiến bộ khoa học công nghệ, áp dụng côngnghệ kỹ thuật mới, bảo đảm quá trình sản xuất diễn ra với hiệu quả cao nhất

Thông qua quản trị công nghệ, các nhà quản trị nhận dạng được cơ hội thị trường và

phát triển công nghệ, giúp cho doanh nghiệp quyết định được là nên duy trì hay thay đổi các

hoạt động sản xuất kinh doanh, công nghệ, sản phẩm hiện tại, mở rộng sản xuất, hay cần có

công nghệ, sản phẩm mới Bên cạnh đó, quản trị công nghệ giúp doanh nghiệp đánh giáđược một số vấn đề trong tương lai để hoạt động có hiệu quả Những dự báo này cho thấy sựthay đối trong tương lai gắn với sự phát triển kinh tế, chính trị và xã hội và giúp cho doanh

nghiệp xác định đối thủ cạnh tranh trong trung và dài hạn Quản trị công nghệ cũng giúpdoanh nghiệp giảm thiêu rủi ro khi đưa ra quyết định bởi các dự án, nhất là các dự án đổimới sáng tạo đều có thé gặp rủi ro và chứa đựng nhiều yếu tố không chắc chắn.

Từ đó, quản trị công nghệ tốt có thể bảo đảm rằng các quyết định đưa ra đã qua một quá trình phân tích sáng suốt Doanh nghiệp cần thấy rõ được vai trò của quản trị công nghệ

là tiến trình liên kết các lĩnh vực khác nhau nhăm hoạch định, phát triển, thực hiện, giám sátvà kiểm soát năng lực của mình Từ đó, hình thành và thực thi các mục tiêu chiến lược pháttriển cụ thé trong qua trinh san xuất, kinh doanh, mỗi tô chức, doanh nghiệp cần phải hoạch

định rõ mục tiêu quan tri công nghệ.

Quan trị công nghệ phải bao quát được tất cả các yêu tô liên quan đến hệ thống sángtạo, thu nhận và khai thác công nghệ Dé đạt được điều nay quan trị công nghệ phải bao gồm

các hoạt động sau:

- Xác định công nghệ Hoạt động này nhằm xác định được công nghệ có khả năngthương mại hóa trong tương lai Cần phân tích có hệ thống các nguồn thông tin có được vàdự báo được các hướng phát triển của công nghệ và thị trường trong tương lai Các ý tưởng

về công nghệ và sản pham cần phải được chú trọng kèm theo các tiêu chuẩn phù hợp.

- Lựa chọn công nghệ Lựa chọn công nghệ để tạo ra được giá trị kinh tế tốt nhất vàhiệu quả nhất trong sản xuất

- Có được công nghệ doanh nghiệp đạt được thông qua ba cách thức: tự nghiên cứu

qua các dự án, phối hợp với các đơn vị nghiên cứu - triển khai chuyên nghiệp, mua hoặc

nhập công nghệ sẵn có rồi khai thác và cải tiến

- Khai thác công nghệ doanh nghiệp có thể khai thác công nghệ qua các hình thứcnhư (1) thực hiện chuyền giao công nghệ và li-xăng công nghệ dé thu phí bản quyền côngnghệ, (2) trực tiếp khai thác công nghệ thông qua việc sản xuất sản phâm mới để bán trên thị

trường khi còn đang có sức cạnh tranh về công nghệ, (3) lập dự án liên doanh.

- Bảo vệ công nghệ Bảo vệ công nghệ nhằm khai thác tối đa và thu lợi nhuận đoanhnghiệp sử dụng các chiến lược tiến công như đánh chặn, thu phí tổng hợp, đánh thủng,

hoặc sử dụng các chiến lược phòng thủ Doanh nghiệp cần chuẩn bị cho mình một bí quyết

công nghệ mới đề khai thác

Các nhân tố ảnh hưởng đến quản trị công nghệ như quy trình sản xuất và tác nghiệp,thiết kế hệ thống kinh tế và kỹ thuật, công tác tổ chức, kinh nghiệm quản lý, tiến trình ra

quyết định, các kỹ thuật khoa học quản lý, các hệ thống tài chính, các hoạt động kỹ thuật.

1.2.4 An ninh phi truyền thống và an ninh công nghệ

Thuật ngữ “an ninh” đề cập đến những biện pháp và hành động để ngăn chặn cácmối đe dọa tiềm tàng Trong những năm gần đây, các nghiên cứu về an ninh truyền thốngvà an ninh phi truyền thống (ANPTT) đang được phát triển mạnh trên nền tảng các tư tưởng

tiến bộ như: chủ nghĩa duy vật lịch sử, chủ nghĩa hiện thực, chủ nghĩa tự do, chủ nghĩa kiến

tạo (Nguyễn Văn Hưởng và Hoàng Đình Phi, 2020)

ANPTT (Nontraditional Security) của một chu thé hay một cá nhân tại một thoiđiểm cụ thể là một tình trạng tốt mà ở đó có sự an toàn cả về mặt vật lý và tinh thần, cá

nhân không có lo lắng về rủi ro hay khủng hoảng và trên thực tế tại thời điểm đó môi

trường xung quang không có bat kỳ yếu tố vật lý có thé đe dọa hay làm tôn thương Quảntrị ANPTT (Management of Nontraditional Security hay viết tat là MNS) được hiéu là côngviệc của những chủ thê trong việc nghiên cứu, xây dựng và tô chức thực hiện các chiến lượcvà kế hoạch phòng ngừa rủi ro, ứng phó với khủng hoảng đề đảm bảo sự an toàn, ôn định vàphát triển bền vững cho chính chủ thê hay cho đối tượng cần phải bảo vệ

ANPTT bao gồm các lĩnh vực liên quan mật thiết và tác động đến con người nhưmôi trường, kinh tế, công nghệ, tài chính theo Hoàng Đình Phi và cộng sự (2019), theo

Hoang Đình Phi và cộng sự (2022) ANPTT được luận văn nghiên cứu dựa trên định nghĩa và mô hình quản tri ANPTT của Hoang Dinh Phi và cộng sự (2022) Hướng nghiên cứu của Hoàng Đình Phi và cộng sự (2022) đã được chính phủ Việt Nam ghi nhận với việc cho phép

thành lập Viện An nỉnh phi truyền thống (INS) và đồng ý cho tổ chức Diễn đàn ASEAN vềhợp tác quốc tế trong lĩnh vực ANPTT (ACF-MNS)

Trong bối cảnh tình hình mới, một số công tác quản trị ANPTT đang được cả nhànước, cộng đồng và doanh nghiệp cùng chung tay thực hiện theo các phạm vi và mức độkhác nhau Dựa trên nhiều nghiên cứu lý thuyết và thực nghiệm, Hoàng Đình Phi (2015) đãđưa ra phương trình dé tính toán ANPTT/MNS (Management of nontraditional security)(còn gọi là Phương trình 3S - 3C) Cụ thê:

ANPTT = (An toàn + Ôn định + Phát triển bền vững)

- (Rui ro + Khủng hoảng + Chi phí khắc phục)

MNS = (Safety + Stability + Sustainability) — (Cost of all activities of risk management + cost activities of crisis management + cost of activities of crisis recovery)

Việc vận dung phương trình 3S-3C trong công tác quản trị của tổ chức, doanh

nghiệp là một cách tiép cận mới đôi với các nhà quản trị.

An ninh công nghệ là một bộ phan trong ANPTT, có thé được hiểu là sự an toản, ônđịnh và phát triển bền vững của công nghệ, các hệ thống công nghệ và năng lực công nghệở quy mô quốc gia hay một doanh nghiệp hay một tổ chức Theo Hoàng Đình Phi và cộng

sự (2015), Hoang Dinh Phi và cộng sự (2019), Hoang Dinh Phi va cộng sự (2022), ANPTT

được phan loại thành 04 lĩnh vực gồm An ninh công nghệ, an ninh tài chính, an ninh con

người vả an ninh thương hiệu.

Theo Hoàng Anh Tuấn (2023), an ninh công nghệ là một tập hợp các điều kiện mà ở

đó xác suất/khả năng các hệ quả tiêu cực có chủ đích lên mức độ an toàn, én định và phát triển bền vững của hệ thống công nghệ được giữ ở mức thấp Từ khái niệm an ninh công

nghệ nêu trên, Hoàng Anh Tuấn (2023) định nghĩa: “Quản trị an ninh công nghệ là hoạtđộng quản trị dé phòng ngừa các mối đe dọa và đảm bảo xác suất/khả năng xảy ra các hệ

quả tiêu cực, ảnh hưởng đến an toàn, 6n định & phát triển bền vững của chủ thể an ninh

công nghệ ở mức thấp.”

Quản trị an ninh công nghệ cho phép tô chức, doanh nghiệp phát triển, bảo vệ và sửdụng hiệu quả các năng lực công nghệ để đảm bảo hoạt động, cạnh tranh trên thị trường.Theo đó, có thể hiểu quan trị an ninh công nghệ là “các quy trình mà ở đó những người cótrách nhiệm thường xuyên theo dõi các yếu tô liên quan, nghiên cứu, ứng dụng, xây dựng vàthực thi các chiến lược, kế hoạch OTRR dé dam bao công nghệ, hệ thống công nghệ luôntrong trạng thái an toàn, ổn định và phát triển bên vững”

Đề xây dựng được hệ thống quản trị an ninh công nghệ hiệu lực, hiệu quả, có tính

ứng dụng cao, các tô chức, doanh nghiệp cần xây dựng các chiến lược và kế hoạch kinh

doanh có tính đến các rủi ro tiềm ấn, thiết lập hệ thống nghiên cứu QTRR công nghệ, chínhsách ứng phó với khủng hoảng phù hợp và có thê chế hóa quy trình ra quyết định

Quản trị an ninh công nghệ: Theo Nguyễn Văn Hưởng (2020), quản trị an ninh công

nghệ là việc các nhà lãnh đạo và quản trị được giao nhiệm vụ đưa ra những chính sách, quy

trình, chiến lược, kế hoạch và tô chức thực hiện dé đảm bảo công nghệ, hệ thống công nghệcủa tổ chức minh quản lý, sử dụng được an toàn, ôn định và phát triển bền vững với chi phíquan trị rủi ro công nghệ, hệ thống công nghệ hợp lý Quản trị an ninh công nghệ có théđược hiểu là tiến trình liên kết các lĩnh vực khác nhau nhằm hoạch định, phát triển, thựchiện, giám sát và kiểm soát năng lực công nghệ dé hình thành và thực thi các mục tiêuchiến lược của tổ chức hay doanh nghiệp nhằm bảo đảm an ninh cho doanh nghiệp

Như vậy có thể đánh giá năng lực quản trị an ninh công nghệ là năng lực của các cá

nhân, tổ chức có trách nhiệm liên quan đến việc quản trị công nghệ dé đảm bảo hệ thốngcông nghệ do mình phụ trách được an toàn, 6n định và phát triển bền vững với chi phí quản

trị rủi ro công nghệ hợp lý 1.2.5 Rui ro công nghệ

Để đảm bảo an ninh công nghệ cho sự ôn định phát triển bền vững của doanh

nghiệp, việc phải hạn chế các rủi ro công nghệ là điều tất yếu Theo định nghĩa của IGIGlobal, rủi ro công nghệ là những rủi ro bắt nguồn từ các công nghệ không tương thích gâyra các van đề về tích hợp và vận hành Rui ro công nghệ có thê hiểu là “ri ro có hữu trong

các kế hoạch tai trợ dự án là công nghệ mới được phát triển sẽ không hoạt động theo đặc

điểm kỹ thuật” (Anderson & Felici, 2012), hay “rửi ro đối với một doanh nghiệp xuất hiệntừ việc thay đổi công nghệ” (Renn và Benighaus, 2013) Kết hợp các khái niệm rủi ro, kháiniệm công nghệ, an ninh công nghệ, rủi ro công nghệ có thé hiểu là “nhitng điều không

chắc chắn, những diéu có khả năng đe dọa, ảnh hưởng đến sự phát triển bên vững của tổchức, doanh nghiệp do yếu tổ công nghệ mang lai” (Nguyễn Văn Hưởng, 2020)

1.3 Quản trị rủi ro công nghệ 1.3.1 Quản trị rúi ro và các khai niệm liên quan

Quản trị được hiểu là “hoat động nhằm đạt được mục tiêu một cách có hiệu quảbằng sự phối hợp các hoạt động của những người khác thông qua hoạch định, tổ chức, lãnhđạo và kiểm soát các nguồn lực của tổ chức trong một môi trường luôn thay đổi” (Nguyễn

Thị Bích Loan và Phạm Công Đoàn, 2021) Theo đó, quản trị doanh nghiệp là một loạt các

hoạt động phối hợp thành trình thê thống nhất trong lĩnh vực quản trị như quản trị tổ chứcvà nguồn nhân lực, quản trị kinh doanh — marketing — bán hàng, quan trị tài chính — kế toán

trong doanh nghiệp va quản tri hoạt động vận hành — khoa học công nghệ (KHCN) — những

hoạt động chuyên ngành, chuyên sâu của doanh nghiệp cùng những hoạt động quản trị khácdé thực hiện mục tiêu và đạt mục tiêu mà các doanh nghiệp đã đặt ra Theo Nguyễn QuangThu và cộng sự (1998), quản trị doanh nghiệp bao gồm ba chức năng chính là quản trị chiếnlược, quản tri hoạt động và QTRR Trong đó, QTRR được định nghĩa “là qua trình tiếp cậnrủi ro một cách khoa học, toàn diện và có hệ thống nhằm nhận dạng, kiểm soát, phòng

ngừa và giảm thiểu những ton thất, mat mát, những ảnh hưởng bất lợi của rủi ro” (Đoàn

Thị Hồng Vân và cộng sự, 2013)

Từ góc độ rủi ro và an ninh doanh nghiệp, Hoàng Đình Phi (2015) định nghĩa

“QTRR của tổ chức và doanh nghiệp là các quy trình mà ở đó những người có trách nhiệm

tiễn hành mọi hoạt động và sử dụng mọi công cụ có thể để nghiên cứu, dự báo, hoạch địnhvà thực thi các chiến lược và các kế hoạch dé phòng ngừa các rủi ro và ứng phó với cáckhủng hoảng dé đảm bảo duy trì được kha năng cạnh tranh bên vững hay sự phát triển bên

vững của tổ chức hay doanh nghiệp”

Như vậy, có thé thấy OTRR là một bộ phận của quản trị ANPTT, trong đó QTRR

hướng tới việc phòng ngừa rủi ro, hạn chế rủi ro và kiểm soát rui ro Theo Khan và Burnes(2007), phòng ngừa rủi ro là một quá trình đi từ (1) nhận dạng rủi ro bao gồm phát hiện mốinguy hiểm, sai lầm trong nhận dang rủi ro, hậu quả không mong muốn, chuẩn bị xử lý và

họach định kế hoạch xử lý rủi ro; (2) đánh giá rủi ro (mô tả và đo lường rủi ro, du tính xác

xuất rủi ro, dự tính mức độ tôn that, khả năng chấp nhận rủi ro, phân tích chi phí lợi ích; (3)lựa chọn chiến lược phòng ngừa rủi ro phù hợp, thực thi chiến lược phòng ngừa rủi ro; (4)

tổ chức phòng ngừa rủi ro (nhận dạng, đánh giá, dự báo, phản hồi, rút kinh nghiệm phòng

ngừa rủi ro.

Hạn chế rủi ro là dùng các biện pháp ngăn ảnh hưởng của rủi ro tác động xấu tớihoạt động của doanh nghiệp Hay hạn chế rủi ro là tổ hợp các biện pháp được áp dụngnhằm giảm thiểu đến mức thấp nhất rủi ro trong hoạt động của doanh nghiệp Việc hạn chếnày gồm 02 nhóm biện pháp nhằm hạn chế khả năng xảy ra rủi ro và hạn chế tổn thất nếuxảy ra rủi ro Trong khi đó, kiểm soát rủi ro có thể hiểu là quá trình xem xét dé phát hiện ra

các rủi ro dé ngăn ngừa hoặc đặt chúng trong phạm vi kiểm soát của doanh nghiệp

1.3.2 Quản trị rủi ro công nghệ

1.3.2.1 Khái niệm quản trị rủi ro công nghệ

Dựa trên những khái niệm phía trên, có thé hiểu QTRR công nghệ “là một quy trìnhđược thiết lập bởi các nhà quản trị và các cán bộ có liên quan đến công nghệ nhằm xác

định, đánh giá và kiểm soát các rui ro công nghệ cũng như tác động của rủi ro đó tới mục tiêu hoạt động của doanh nghiệp.” Về cơ bản, QTRR công nghệ chính là việc thực hiện

quy trình QTRR với các công nghệ hiện đang triển khai trong doanh nghiệp, đồng thời ápdụng các công cụ và phương thức đề thực hiện đúng và tốt các bước trong quy trình đó

(Nguyễn Văn Hưởng, 2020).

QTRR công nghệ luôn cần thiết đối với sự vận hành của bất kỳ doanh nghiệp nào.QTRR công nghệ hợp lý sẽ giúp giảm thiêu thiệt hại về công nghệ, tối ưu hóa hiệu suấthoạt động, dam bảo công việc hàng ngày được suôn sẻ và tránh được những tốn hại không

đáng có cho doanh nghiệp Một kế hoạch QTRR công nghệ toàn diện có thé giúp dự đoán

trước các vấn đề trong tương lai như mức độ lạc hậu về công nghệ, sự chênh lệnh về côngnghệ va năng lực của đội ngũ công nhân viên, ngân sách chi tiêu cho công nghệ cần có

Theo đó, QTRR công nghệ cho phép doanh nghiệp có thé phát triển được các chiến lược và

định hướng dé chống lại các rủi ro công nghệ tiềm an (Nguyễn Anh Tuan, 2019) Chính vì vậy, có thể coi OTRR công nghệ là một phan của quản tri ANPTT nói chung và an ninh

công nghệ nói riêng 1.3.2.2 Nội dung quản trị rủi ro công nghệ

Dựa trên phương trình công nghệ T=M+K+S (Công nghé/Technology= Máymóc/Machine + Tri thức/Knowledge + Kỹ năng/Skill) của Nguyễn Văn Hưởng và Hoàng

Đình Phi (2020), QTRR công nghệ của doanh nghiệp đề cập tới ba khía cạnh sau:

- QTRR cho máy móc, trang thiết bị: Công tác đánh giá rủi ro cho máy móc, trangthiết bị, công tác kiểm soát hệ thống công nghệ, chi phi mua bảo hiểm cho máy móc, trang

thiết bị, hệ thống công nghệ, công tác bảo trì, bảo dưỡng định kỳ

- QTRR về tri thức: bí mật công nghệ, quy trình công nghệ, các tài liệu về sử dụng,

ứng dụng công nghệ

- QTRR kỹ năng, tức là các rủi ro trong quá trình vận hành công nghệ: Cán bộ quản

lý thường xuyên kiểm tra mọi thao tác của người lao động trong quá trình vận hành máymóc, trang thiết bị, hệ thống công nghệ Kiểm tra, đánh giá khả năng rủi ro của máy móc,trang thiết bị, hệ thống công nghệ, có biện pháp thiết thực ngăn ngừa rủi ro xảy ra

1.4 Quy trình quản trị rủi ro công nghệ

Theo Hoàng Đình Phi (2015), QTRR là một quá trình liên tục gồm 6 bước: (1) xác

định mục tiêu; (2) nhận diện rủi ro; (3) đánh giá rủi ro; (4) phân loại rủi ro; (5) xử lý rủi ro;

(6) theo đõi báo cáo Hoạt động QTRR là hoạt động liên tục, không ngừng nghỉ của tổ

chức, doanh nghiệp Việc đánh giá, phân loại rủi ro đúng sẽ giúp doanh nghiệp sẽ có

phương pháp xử lý hiệu quả với nhiều loại rủi ro khác nhau

theo tiêu chuẩn ISO 31000, và kết quả nghiên cứu của Trần Hùng (2017), luận văn tiếp cận QTRR công nghệ theo quy trình gồm 5 bước:

1.4.1 Nhận dạng và xác định rủi ro

Nhận diện và xác định rủi ro công nghệ là giai đoạn đầu tiên trong quy trình QTRRcông nghệ của tô chức, doanh nghiệp, vì vậy có vai trò quan trọng, là cơ sở, tiền đề dé triển

khai có hiệu quả các bước tiếp theo trong quy trình Nhận diện và xác định rủi ro công nghệ

là quá trình xác định liên tục và có hệ thống các rủi ro công nghệ có thé xảy ra trong hoạt

động của tổ chức, doanh nghiệp Các hoạt động nhận diện nhằm phát triển thông tin về

nguồn rủi ro, các yếu tố mạo hiểm, hiểm hoa và nguy cơ rủi ro có thể xảy ra với công nghệ

của tổ chức Theo đó, nhận diện và xác định rủi ro không phải chỉ được thực hiện một lầnduy nhất vào thời điểm đầu tiên của một chu kỳ hoạt động, một dự án mà cần được

thường xuyên cập nhật, trên cơ sở phân tích và dự báo những thay đổi của các nhân tố môi

trường bên trong và bên ngoài dé phát hiện, bổ sung danh sách các rủi ro mới có thé xuấthiện, cũng như thay đổi, điều chỉnh phân nhóm các rủi ro theo tần suất và biên độ của cácrủi ro đã được xác định trước đó.

Nhận dạng rủi ro công nghệ nhằm tìm kiếm thông tin về:- Các loại rủi ro có thể xuất hiện

- Các mối nguy (hay mối nguy hại, mối nguy hiểm)

Làm tốt công tác nhận dạng và xác định rủi ro công nghệ giúp các nhà quản trị cóthé chủ động trong việc ứng phó với rủi ro công nghệ, là cơ sở đề đảm bao tính hiệu quảcủa công tác QTRR công nghệ Việc nhận dạng và xác định rủi ro công nghệ được tiếnhành dựa trên cơ sở phân tích nguồn rủi ro và đối tượng rủi ro (đối tượng chịu tồn thất khi

rủi ro xảy ra) Nguồn rủi ro được xem xét dưới góc độ là các yếu tố môi trường như yếu tố

kinh tế, chính trị - pháp luật, kỹ thuật công nghệ, văn hóa - xã hội, cạnh tranh, thị trường,khách hàng, các yếu tố bên trong doanh nghiệp Nhóm đối tượng rủi ro công nghệ hay đốitượng chịu tôn thất khi rủi ro xảy ra bao gồm tài sản, nhân lực và trách nhiệm pháp lý của

doanh nghiệp.

Tổ chức cần áp dung các công cụ kỹ thuật nhận diện rủi ro công nghệ, phù hợp vớicác mục tiêu và khả năng của mình cũng như với các rủi ro phải đối mặt Thông tin liên lạcvà cập nhật rat quan trọng trong việc xác định rủi ro công nghệ Tổ chức, doanh nghiệp cóthé sử dung các phương pháp dé nhận dạng và xác định rủi ro công nghệ như sau:

- Phương pháp dựa trên những rủi ro đã xảy ra trong quá khứ: Phương pháp này dựa

trên những rủi ro công nghệ đã gặp phải trong quá khứ dé xác định những rủi ro công nghệmà doanh nghiệp sẽ phải đối mặt trong tương lai Việc nghiên cứu các rủi ro đã gặp phảitrong quá khứ không chỉ giới hạn ở nguyên nhân gây rủi ro mà cả những nhân tô làm giatăng xảy ra rủi ro Cho đến nay vẫn là phương pháp chủ yếu được các nhà quản lý sử dụngdé phát hiện rủi ro

- Lập bảng câu hỏi nghiên cứu và tiến hành điều tra: doanh nghiệp lập bảng câu hỏi

và sắp xếp các câu hỏi theo nguồn gốc rủi ro công nghệ, hoặc theo môi trường tác động ,

các câu hỏi thường xoay quanh vấn đề như: doanh nghiệp đã gặp phải những rủi ro côngnghệ nào ? Mức độ tôn thất, số lần xuất hiện trong khoảng thời gian nhất định, những biệnpháp đề phòng ngừa, tài trợ rủi ro là gì ? Kết quả đạt được thế nào?

Những rủi ro nào mà doanh nghiệp chưa gặp phải nhưng có thê sẽ xuất hiện, lý do vì sao?

- Phân tích các báo cáo hoạt động: Bằng việc phân tích các báo cáo kết quả hoạtđộng, các tai liệu bổ trợ khác để xác định được các nguy cơ rủi ro công nghệ của doanhnghiệp Ngoài ra có thé phân tích các số liệu trong kỳ báo cáo so sánh với các số liệu dự

báo cho kỳ kế hoạch đề có thể phát hiện được các rủi ro có thể phát sinh trong tương lai.

- Phương pháp sơ đô: là phương pháp mô hình hóa dé nhận dạng rủi ro công nghệ.Trên cơ sở xây dựng một hay một dãy các sơ đồ diễn tả các hoạt động công nghệ diễn ratrong những điều kiện cụ thé và trong những hoàn cảnh cụ thé của tô chức, doanh nghiệp,

nhà quản trị có điều kiện phân tích những nguyên nhân, liệt kê các tốn thất tiềm năng vềcông nghệ trong từng hoạt động trong sơ đồ.

- Phương pháp thanh tra hiện trường: bang cách quan sát trực tiếp tong thé và cáchoạt động diễn ra ở mỗi đơn vị, mỗi bộ phận trong tổ chức, nhà quản tri tim hiểu được cácrủi ro công nghệ có thê gặp

1.4.2 Phân tích rúi ro

Phân tích rủi ro công nghệ là việc xác định, đánh giá và ưu tiên các rủi ro công nghệ

với mục đích tiết kiệm các nguồn lực cũng như giảm thiểu, giám sát và kiêm soát khả năng

hoặc tác động của sự kiện công nghệ không mong muốn hoặc để tối đa hóa việc thực hiện

các cơ hội công nghệ Phân tích rủi ro công nghệ cung cấp các thông tin về mức độ rủi ro vàquyết định xem có cần xử lý rủi ro hay không, quyết định về chiến lược, phương pháp xử lýrủi ro công nghệ thích hợp nhất Phân tích rủi ro cũng có thể cung cấp đầu vào cho việc raquyết định khi nào phải thực hiện các phương án và giải pháp liên quan đến các loại hình,

mức độ rủi ro công nghệ khác nhau.

Phân tích rủi ro công nghệ đòi hỏi phải xem xét nguyên nhân và nguồn rủi ro, hệ

quả tích cực và tiêu cực của chúng, khả năng những hệ quả này có thê xảy ra Cần xác định

các yêu tố ảnh hưởng đến hệ quả và khả năng xảy ra Rui ro công nghệ được phân tích băngcách xác định hệ quả, khả năng xảy ra và các thuộc tính khác của rủi ro Một sự kiện có thểcó nhiều hệ quả và có thé ảnh hưởng đến nhiều mục tiêu Cũng cần xem xét các kiểm soáthiện có, hiệu quả và hiệu lực của những kiểm soát này

Cách thức thé hiện hệ quả và khả năng xảy ra và cách chúng được kết hợp để xácđịnh mức độ rủi ro cần phản ánh loại hình rủi ro, thông tin sẵn có và mục đích theo đó kếtquả của đánh giá rủi ro được sử dụng Tat cả phải nhất quán với tiêu chí rủi ro Việc xem

xét sự phụ thuộc lẫn nhau của các rủi ro và nguồn rủi ro khác nhau cũng rất quan trọng.

Phân tích rủi ro có thé được thực hiện với mức độ chi tiết khác nhau, tùy thuộc vào rủi ro,mục đích của phân tích, thông tin, dữ liệu và nguồn lực sẵn có Phân tích có thé là định tính,

bán định lượng hay định lượng, hoặc kết hợp của các dạng nảy, tùy từng hoàn cảnh.

Hệ quả và khả năng xảy ra có thể được xác định bằng việc mô hình hóa các kết quảcủa một sự kiện hoặc một loạt các sự kiện, hoặc bằng cách ngoại suy từ những nghiên cứuthực nghiệm hay từ dữ liệu có săn Hệ quả có thé được thể hiện theo các tác động hữu hìnhvà vô hình Trong một số trường hợp, có thể cần một số giá trị bằng số hoặc ký hiệu mô tả

tình huống khác nhau.

Tổ chức, doanh nghiệp có thể sử dụng các kỹ thuật phân tích rủi ro công nghệ nhưphân tích xác suất xảy ra của rủi ro, phân tích mức độ tác động của rủi ro, phân tích thờiđiểm xảy ra rủi ro

1.4.3 Đánh giá và xếp hạng rúi ro

Đánh giá và xếp hạng rủi ro cho phép doanh nghiệp xác định mức độ rủi ro côngnghệ đề hỗ trợ việc đưa ra quyết định những rủi ro nào cần được ưu tiên xử lý và thứ tự xửlý các rủi ro dựa trên kết quả phân tích rủi ro Đánh giá rủi ro công nghệ dựa trên hai tiêu

chí là đánh giá khả năng xảy ra của rủi ro (KN) và mức độ ảnh hưởng của rủi ro (AH) Kết

quả đánh giá hay đo lường rủi ro được ước lượng bằng công thức:

Giá trị rủi ro = KN x AH Trong đó:

Bảng 1.2 Tính điểm rủi ro dựa trên khả năng xảy ra

Mức Xếp loại Khả năng Giải thích

Chưa bao giờ xảy ra tính đến nay.1 Rấthiếm | Sự kiện hầu như không | Chưa biết hoặc chưa quan sát thấy nhưng xét

xảy ra xảy ra về bản chất rủi ro thì vẫn có khả năng

Sự kiện chỉ xảy ra Sự kiện chưa xảy ra lần nào tính từ trước tới2 Khó xảy trong những trường nay, nhưng đã biết nghe thấy ở nơi khác

ra hợp ngoại lệ trong những tình huống tương tự

Đã xảy ra một lần hoặc đã biết nghe thấy một

3 Có thể Sự kiện có thỉnh vài lần trong ngành hoặc các công trình khác

xảy ra thoảng xảy ra tương tự.

Rất có thể | Sự kiện có thê xảy ra | Có thê xay ra vài lần và có tính lặp lại4 xảy trong hầu hết trường | hoặc đã từng xảy ra tại đơn vị

ra hợp

Chắc chăn | Sự kiện chắc chan Thường xuyên xảy ra

5 xảy ra xảy ra trong hoạt

động

Nguôn: Nguyễn Văn Hưởng (2020)

Bảng 1.3 Tính điểm rủi ro dựa trên mức độ nghiêm trọng

Mức Xếp loại Chất lượng Môi trường an toàn

1 Không ảnh hưởng | Không ảnh hưởng đến mục tiêu Không nguy hại đến sức

của đơn vỊ khỏe của con người, độngKhông gây thiệt hại về tài chính | thực vật ở thời điểm hiện

tại.

2 Thấp Sai sót nhỏ, sửa chữa ngay, Ảnh hưởng nhỏ, không nguy

không ảnh hưởng đến mức độ | hại đến sức khỏe của con

hài lòng của khách hàng người, động thực vật ở thời

Không ảnh hưởng đến mục tiêu | điểm hiện tại.

của đơn vị Mức độ ô nhiễm nằm trong

Gây thiệt hại nhỏ về tài chính | giới hạn cho phép của luật

pháp và các yêu cầu khác3 Trung bình Góp ý phan hôi của khách hàng, | Ảnh hưởng đến sức khỏe

không ảnh hưởng đến mức độ | con người, động thực vật,

hài lòng của khách hàng cộng đồng địa phương trongKhông gây gián đoạn trong hoạt | thời gian ngắn Không vượt

động SXKD tiêu chuẩn nhưng có khảThiệt hại không đáng kể về tài | năng gây tác động nghiêm

chính trọng nếu không được kiêm

soát.

4 Khá lớn Chat lượng sản phẩm dịch vụ | Ảnh hưởng đến môi trường

không đạt, ảnh hưởng đến mite | (có thể khắc phục được; gây

độ hài lòng của khách hàng nguy hại trong thời gian

Gây thiệt hại tài chính của đơn ngắn cho động thực vật, sức

VỊ khỏe con người nhưng

Gây gián đoạn hoạt động sản

xuất kinh doanh

Thiệt hại tai chính lớn.

đến sức khỏe con người

hoặc xảy ra chết người.

Ảnh hưởng nghiêm trọngđến môi trường trong thời

gian dài BỊ pháp luật lên án,bị cộng đồng, khách hàng

phản đối, khiếu nại nghiêm

trọng.

Nguồn: Nguyễn Van Hưởng (2020)

Mức rủi ro được xác định trên cơ sở sử dụng ma trận rủi ro 5x5 (5 mức hậu quả va 5 mức khả năng xảy ra rủi ro tương ứng).

Bảng 1.4 Ma trận phân hạng rủi ro

theo các mức sau:

Bảng 1.5 Xếp loại rủi roMức rủi ro Điểm đánh giáRủi ro thâp Những rủi ro có giá trị < 4>

Rủi ro trung bình Những rủi ro có giá trị > 4 và < 8

Rui ro cao Những rủi ro có giá trị > 8 và < 15Hạng rất cao nghiêm trọng Những rủi ro có giá tri > 15

Nguồn: Nguyễn Văn Hưởng (2020)

1.4.4 Xử lý rủi ro

Sau khi phát hiện và đánh giá được rủi ro, cần phải đề xuất hành động dé giải quyết rủi ro được thông qua thì bắt đầu tiến hành xử lý rủi ro Có thê nói, đây là giai đoạn quan trọng

định được giá tri rủi ro dựa trên ma trận bên trên, đơn vi sẽ có các cách thức kiểm soát rủi ro

như sau:

- Tránh né: Dùng một phương án, một lựa chọn khác để né tránh rủi ro, lựa chọn

phương án mới có thê không có rủi ro, hoặc có mức độ rủi ro nhẹ hơn, hoặc chi phí xử lý rủi ro thấp hơn.

- Chuyén giao: là phương án giảm thiêu mức độ tác động rủi ro bằng cách chia sé tác

hại khi chúng xảy ra.

- Giảm nhẹ: là phương án sử dụng các biện pháp dé giảm thiểu khả năng xảy ra rủi ro

hoặc giảm thiêu mức độ tác động và chi phí khắc phục rủi ro nếu nó xảy ra.

- Chấp nhận: là phương án đồng thuận dé rủi ro xảy ra trong trường hợp chi phí loại

bỏ, phòng tránh, làm nhẹ rủi ro quá lớn (lớn hơn chi phí khắc phục tác hại), hoặc tác hại của

rủi ro nếu xảy ra là nhỏ hay cực kỳ thấp

Lựa chọn một phương án xử lý rủi ro thích hợp nhất liên quan đến việc cân đối giữachi phi và nỗ lực thực hiện các lợi ích thu được về các yêu cầu luật định, chế định và các yêucầu khác như trách nhiệm xã hội và bảo vệ môi trường tự nhiên Các quyết định cũng cần phải

tính đến các rủi ro có thé đảm bảo việc xử lý nhưng không thuyết phục về mặt kinh tế, ví dụ

rủi ro có hệ quả nghiêm trọng nhưng khó xảy ra 1.4.5 Theo dối và giám sát các rủi ro

Rui ro biến hóa va thay đổi liên tục, do vậy sau khi xử lý rủi ro công nghệ, doanhnghiệp cần theo dõi, giám sát sự biến đổi của rủi ro Trách nhiệm theo dõi và giám sát rủi ro

công nghệ cần được xác định rõ ràng Mục đích của công việc này là:

- Đảm bảo rằng hoạt động xử lý và kiểm soát có hiệu quả và hiệu lực trong cả thiết kế

và vận hành;

- Có thêm thông tin dé cải tiến việc đánh giá rủi ro;

- Phân tích và rút ra bài học từ các sự kiện (bao gồm cả những lần thoát nạn), những

thay đổi, các xu hướng, thành công và thất bại;

- Phát hiện những thay đổi trong bối cảnh bên ngoài và nội bộ, bao gồm cả thay đổi vềtiêu chí rủi ro và bản thân rủi ro có thể yêu cầu xem xét lại việc xử lý rủi ro và thứ tự ưu tiên;

- Xác định những rủi ro đang hình thành.

Tiến hành thực hiện các phương án xử lý rủi ro và đo lường kết quả thực hiện Các kếtquả có thé được đưa vào quản lý, đo lường tổng thé việc thực hiện của tổ chức và hoạt độngbáo cáo bên ngoài, nội bộ.