Quản lý chính sách ATTT là vô cùng quan trọng, giúp người quản trị biết được mục tiêu của tổ chức được thỏa mãn và sự đầu tư của tổ chức được quản lý phù hợp. Giúp người điều hành biết những rủi ro được quản lý phù hợp.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÀI TẬP LỚN MÔN HỌC QUẢN LÝ & XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN Đề tài: TÌM HIỂU CÁC PHƯƠNG PHÁP, QUY TRÌNH PHÂN TÍCH RỦI RO ĐƯA RA ĐÁNH GIÁ CÁC PHƯƠNG PHÁP ĐÓ Hà Nội, 12/2021 Mục Lục LỜI MỞ ĐẦU Mục tiêu quản trị rủi ro không dừng việc giảm thiểu rủi ro, mà quản lý rủi ro cách hiệu quả, toàn diện, làm sở cho việc bảo toàn phát triển giá trị tổ chức Nói cách khác, quản trị rủi ro giúp cấp quản lý đưa định xác, hiệu quả; giảm thiểu thiệt hại trình vận hành tổ chức Tầm quan trọng quản trị rủi ro thể nội dung sau: - - - Đánh giá khả xảy ảnh hưởng tình xấu, xây dựng biện pháp ngăn ngừa, ứng phó, quản lý ảnh hưởng tình tới tổ chức trường hợp xảy Quản trị rủi ro không tập trung vào rủi ro cụ thể mà vào nguồn gốc gây thiệt hại cho tổ chức Từ đó, hỗ trợ cấp quản lý việc cải thiện hiệu hoạt động tổ chưc Ứng phó hiệu với mơi trường kinh doanh thay đổi thông qua việc nhận diện, ưu tiên lập kế hoạch ứng phó với rủi ro, giúp tổ chức chủ động xử lý tình khủng hoảng Mục tiêu đề tài: - Tìm hiểu phương pháp, quy trình phần tích rủi ro đưa đánh giá phương pháp Nội dung đề tài: - Nêu khái niệm, định nghĩa rủi ro phân tích rủi ro Giới thiệu nêu tầm quan trọng khâu đánh giá rủi ro Chỉ quy trình phân tích rủi rỏ Đưa phương pháp phân tích rủi rỏ đánh giá phương pháp KIẾN THỨC TỔNG QUAN 1.1 Giới thiệu - Quản lý hoạt động nhằm đảm bảo tuân thủ sách, q trình xử lý, chuẩn hướng dẫn Mục tiêu hoạt động nhằm thỏa mãn yêu cầu tổ chức, đảm bảo người hiểu rõ tuân theo luật lệ - Quản lý sách ATTT vơ quan trọng, giúp người quản trị biết mục tiêu tổ chức thỏa mãn đầu tư tổ chức quản lý phù hợp Giúp người điều hành biết rủi ro quản lý phù hợp a) b) 1.2 Khái niệm, định nghĩa rủi ro Khái niệm Rủi ro hậu tiềm tàng gây tài ngun thuộc tính có giá trị Quản lý rủi ro chun nghiệp tính tốn xác suất xảy kiện hậu kiện hồn cảnh khác Định nghĩa Rủi ro mát gây kiện với xác suất xảy kiện Đo lường rủi ro khó kiện rủi ro khó đốn trước, mát tinh thần người lại khơng thể lường trước hậu Ta có công thức: Rủi ro = (xác suất xảy rủi ro) x (tổn thất gây rủi ro đó) 1.3 Mơ hình quản lý xây dựng sách ATTT: Đánh giá rủi ro Xây dựng sách Thực thi Giám sát trì Đánh giá rủi ro xác định phạm vi hay khu vực mà tài sản tổ chức khơng bảo vệ Cần kiểm sốt để giảm thiểu rủi ro tới liệu hệ thống thông tin tổ chức đến mức chấp nhận Xây dựng sách an tồn thơng tin q trình hiểu rõ hệ thống việc trả lời câu hỏi như: chịu trách nhiệm? Bảo vệ gì? Phạm vi áp dụng? Khi áp dụng sách? Tại lại phát triển giám sát tuân thủ nào? Thực thi sách an tồn, đưa sách vào hệ thống cần giải vấn đề như: sách có phù hợp người dùng chấp thuận hay không? Phù hợp với tổ chức bao lâu? Thêm cần phát triển nâng cao nhận thức an toàn cho nhân viên Giám sát, trì cải tiến giai đoạn cần đưa báo cáo, nhật kí viêc thực sách, báo cáo phân tích, đánh giá rủi ro,… Từ đưa hướng phát triển, cập nhật 1.4 Đánh giá rủi ro Đánh giá rủi ro xác định phạm vi hay khu vực mà tài sản tổ chức khơng bảo vệ Gồm cơng việc chính: Xác định rủi ro: - Xác định tài sản: liệt kê, phân loại tài sản Bao gồm thứ hệ thống tổ chức người, thủ tục, liệu thông tin, phần mềm, phần cứng mạng Sau lập bảng phân loại mức độ quan trọng tài sản - Xác định phân loại mối đe dọa: xác định phân loại thực thể cho nguy hại cho tài sản tổ chức Nghiên cứu mối đe dọa đến từ nhiều nguồn khác như: moi tin, lỗi/không phù hợp, cố ý phá hoại, công phần mềm, lỗi kĩ thuật phần cứng, phần mềm,… thiết lập bảng đánh giá mối đe dọa - Xác định điểm yếu: xác định chỗ hệ thống mà khơng có biện pháp biện pháp kiểm sốt khơng có tác dụng Xem xét lại với mối đe dọa ảnh hưởng tới tài sản, sau lập danh sách điểm yếu Q trình xác định rủi ro cần đạt bảng tài liệu tài sản, mối đe dọa, điểm yếu Đánh giá rủi ro: gán tỉ lệ mức điểm số rủi ro cho tài sản khả xuất điểm yếu Sau sử dụng cơng thức tính rủi ro: RR = P x V – R + U đó: o RR: rủi ro o P: khả xuất điểm yếu o V: giá trị tài sản o R: tỉ lệ phần trăm rủi ro kiểm sốt có giảm thiểu o U: không chắn tri thức điểm yếu Phân tích rủi ro: trình thực trả lời câu hỏi như: người phân tích rủi ro? Mất cho quy trình phân tích? Quy trình phân tích khảo sát gì? Kết quy trình phân tích? Sử dụng biện pháp phân tích đưa kết luận có có ích cho tổ chức Quản lý rủi ro: xem xét, nhận định thông tin quan trọng doanh nghiệp, từ đáp ứng yêu cầu riêng để bảo vệ tài nguyên thông tin Và văn hóa thành sách phương pháp Nhằm bảo vệ tính chất bản: tính tồn vẹn, tính bí mật, tính sẵn sàng PHÂN TÍCH RỦI RO Đây giai đoạn quan trọng nằm trình dự báo rủi ro doanh nghiệp 2.1 Những câu hỏi thường gặp Để q trình phân tích rủi ro đầy đủ, rõ ràng cần tìm hiểu số câu hỏi thường gặp trình phân tích - Tại phải tiến hành khảo sát phân tích rủi ro? Việc phân tích rủi ro tốt giúp có chiến lược, hành động cần thiết Từ giúp bảo vệ an tồn thông tin giảm thiểu bất lợi đến với doanh nghiệp - Khi cần phải tiến hành khảo sát, phân tích rủi ro? Trước triển khai hoạt động, dự án, có sử dụng đến tài nguyên doanh nghiệp nhằm giúp cho việc sử dụng tài nguyên nguồn mức - Ai người phân tích rủi ro? Cần kết hợp nhóm làm phân tích người có liên quan trực tiếp đến q trình phân tích - Quy trình phân tích rủi ro bao lâu? Cần hồn thiện nhanh tốt, tránh ảnh hưởng đến công việc nhân viên khác - Quy trình phân tích rủi ro khảo sát gì? Khảo sát tất nhiệm vụ, dự án, ý tưởng,… Quyết định dự án cần hoãn lại, biện pháp quản lý cần áp dụng, dự án có bị mối đe dọa hay khơng - Kết quy trình phân tích rủi ro? Các nhà quản lý khảo sát mối quan tâm nhận diện, phân cấp cho lỗ hổng, chọn lựa mức kiểm soát phù hợp Hỗ trợ nhà quản lý giảm thiểu rủi ro đến mức thấp 2.2 Khái niệm phân tích rủi ro (Risk analysis) Phân tích rủi ro q trình nhận diện tài sản mối đe dọa cho tài sản đó, phân loại mức nguy hại đưa giải pháp phòng ngừa khắc phục Phân tích rủi ro phải xem phần quy trình hoạt động doanh nghiệp: phải đảm bảo cho trình quản lý rủi ro, hỗ trợ trực tiếp cho mục tiêu nhiệm vụ doanh nghiệp; phân tích rùi ro hiệu phải tìm nhu cầu hoạt động doanh nghiệp đưa biện pháp bảo vệ để đạt nhu cầu Rủi ro phần dự án công nghệ thông tin tổ chức doanh nghiệp Việc phân tích rủi ro cần thực thường xuyên phải cập nhật mối đe dọa tiềm ẩn Phân tích rủi ro chiến lược giúp giảm thiểu xác suất rủi ro thiệt hại tương lai Doanh nghiệp tổ chức sử dụng phân tích rủi ro: - Để dự đốn giảm thiểu ảnh hưởng kết có hại xảy từ yếu - tố bất lợi Để lên kế hoạch cho hư hỏng, tổn thất công nghệ thiết bị - yếu tố bất lợi, tự nhiên người gây Để đánh giá xem rủi ro tiềm ẩn dự án có cân - trình định đánh giá để tiếp tục với dự án hay không Để xác định tác động chuẩn bị cho thay đổi môi trường doanh nghiệp Mọi tổ chức, doanh nghiệp cần phải hiểu rủi ro liên quan đến hệ thống thông tin họ để bảo vệ hiệu tài sản CNTT họ Phân tích rủi ro giúp tổ chức, doanh nghiệp cải thiện tính bảo mật họ Một số lợi ích việc áp dụng phân tích rủi ro: - Liên quan đến tác động vào tài tổ chức, doanh nghiệp Giúp xác định, đánh giá so sánh tác động tổng thể rủi ro liên quan đến - tổ chức, doanh nghiệp Giúp xác định lỗ hổng bảo mật thông tin xác định bước tiếp - theo để loại bỏ rủi ro bảo mật Nâng cao trình trao đổi đưa định liên quan đến an tồn thơng - tin Cải thiện sách thủ tục bảo mật phát triển phương pháp tối ưu chi phí để thực sách thủ tục an tồn thơng - tin Làm tăng nhận thức nhân viên rủi ro biện pháp bảo mật trình phân tích rủi ro hiểu tác động tài rủi ro an tồn thông tin tiềm ẩn Đặc trưng - Cùng với nhận dạng đo lường rủi ro, giai đoạn quan trọng nằm trình dự báo rủi ro doanh nghiệp Phân tích rủi ro thơng qua việc xác định hiểm họa, mối nguy nguy rủi ro giúp xác định rủi ro chấp nhận khơng thể chấp nhận, rủi ro nhiều khả xảy khả xảy để từ có sở cho biện pháp né tránh, phịng ngừa tài trợ, khắc phục rủi ro 2.3 Nhận dạng rủi ro (Risk identification) Định nghĩa: Nhận dạng rủi ro tiếng Anh Risk identification Nhận dạng rủi ro trình xác định cách liên tục có hệ thống rủi ro xảy hoạt động kinh doanh doanh nghiệp 2.3.1 Các vấn đề nhận dạng rủi ro - Mối hiểm họa: gồm điều kiện tạo làm tăng mức độ tổn thất rủi ro - Mối nguy hiểm: nguyên nhân tổn thất - Nguy rủi ro: tình tạo nên lúc nào, gây nên tổn thất (hay lợi ích) mà cá nhân hay tổ chức khơng thể tiên đoán 2.3.2 Cơ sở nhận dạng rủi ro - Nguồn rủi ro (phát sinh mối hiểm họa mối nguy hiểm) thường tiếp cận từ yếu tố môi trường hoạt động doanh nghiệp - Nhóm đối tượng chịu rủi ro: tài sản, nguồn nhân lực 2.3.3 Phương pháp nhận dạng rủi ro a Phương pháp chung: Xây dựng bảng liệt kê - Xây dựng bảng liệt kê việc tìm câu trả lời cho câu hỏi đặt tình định, để từ nhà quản trị có thông tin nhận dạng xử lý đối tượng rủi ro - Thực chất phương pháp sử dụng bảng liệt kê phương pháp phân tích SWOT b Các phương pháp nhận dạng cụ thể - Phương pháp phân tích báo cáo tài - Phương pháp lưu đồ; - Phương pháp tra trường - Phương pháp làm việc với phận khác doanh nghiệp - Phương pháp làm việc với phận khác bên ngồi doanh nghiệp - Phương pháp phân tích hợp đồng - Phương pháp nghiên cứu số lượng tổn thất khứ * Lưu ý: - Nhà quản trị không nên dựa vào phương pháp - Việc nhận dạng rủi ro phải tiến hành thường xuyên, liên tục - Việc sử dụng bảng liệt kê phải linh hoạt để áp dụng phương pháp nhận dạng cho thích hợp 2.4 Quy trình phân tích rủi ro (Risk analysis process) Quy trình phân tích rủi ro cần phải thực hoàn thành trước hoạt động khác doanh nghiệp Các chuyên gia công nghệ thông tin phải giúp cho nhà quản lý nhận diện tài nguyên, trí tuệ triển khai biện pháp bảo vệ hiệu với chi phí thấp.Trên thực tế, tất quy trình phân tích rủi ro mang ý tưởng hoàn toàn giống 10 2.4.1 Các bước thực theo quy trình phân tích rủi ro là: Bước Nhận diện tài nguyên sử dụng: Tiếp nhận ý kiến đóng góp từ cấp quản lý Khảo sát, đánh giá rủi ro đề cập đến, ghi lại rủi ro mối đe dọa bô phận Bước Xác định rủi ro, hiểm họa, mối quan tâm vấn đề liên quan đến tài nguyên thông tin đó: Bước sử dụng để đánh giá hệ thống CNTT khía cạnh khác tổ chức, doanh nghiệp nhằm xác định rủi ro liên quan đến phần mềm, phần cứng, liệu nhân viên CNTT Nó xác định kiện bất lợi xảy tổ chức lỗi người, lũ lụt, hỏa hoạn, động đất,… Bước Phân cấp rủi ro, tìm điểm yếu gây hiểm họa cho tài nguyên thông tin: Sau rủi ro đánh giá xác định, trình phân tích rủi ro cần phân tích rủi ro xảy ra, xác định hậu liên quan đến rủi ro Nó xác định cách chúng ảnh hưởng đến mục tiêu dự án CNTT Bước Triển khai biện pháp đo lường, quản lý, bảo vệ phải chấp nhận với rủi ro đó: Mục tiêu bước thực biện pháp để loại bỏ giảm thiểu rủi ro phân tích Chúng ta loại bỏ giảm thiểu rủi ro từ bắt đầu với mức độ ưu tiên cao nhất giảm thiểu rủi ro để khơng cịn mối đe dọa Bước Theo dõi hiệu biện pháp quản lý đánh giá hiệu nó: Bước có trách nhiệm theo dõi rủi ro bảo mật cách thường xuyên để xác định, xử lý quản lý rủi ro phải phần thiết yếu quy trình phân tích rủi ro 2.4.2 Nội dung phân tích rủi ro (1) Phân tích hiểm họa - Nhà quản trị tiến hành phân tích điều kiện tạo rủi ro điều kiện làm tăng mức độ tổn thất rủi ro xảy - Nhà quản trị thơng qua q trình kiểm sốt trước, kiểm sốt kiểm soát sau để phát mối hiểm họa 11 - Phân tích hiểm hoạ khơng giới hạn yếu tố gây tai nạn, mà phải xác định yếu tố g yâ tai nạn theo kinh nghiệm tổ chức khác công ty bảo hiểm, đơn vị Nhà nước… (2) Phân tích nguyên nhân rủi ro - Phân tích nguyên nhân rủi ro dựa quan điểm: Phần lớn rủi ro xảy liên quan đến người - Phân tích nguyên nhân rủi ro dựa quan điểm: Phần lớn rủi ro xảy yếu tố kĩ thuật, tính chất lí hóa hay học đối tượng rủi ro - Phân tích nguyên nhân rủi ro dựa quan điểm kết hợp hai quan điểm trên: Nguyên nhân rủi ro phần phụ thuộc vào yếu tố kĩ thuật, phần phụ thuộc vào yếu tố người (3) Phân tích tổn thất Có thể phân tích tổn thất qua hai cách thức: - Phân tích tổn thất xảy ra: nghiên cứu, đánh giá tổn thất xảy để dự đoán tổn thất xảy - Căn vào hiểm họa, nguyên nhân rủi ro, người ta dự đốn tổn thất có Để có thơng tin tổn thất có, nhà quản trị rủi ro cần triển khai mạng nguồn thông tin mẫu báo cáo rủi ro xảy rủi ro 2.4.3 Phương pháp phân tích rủi ro Có nhiều cách đánh giá hay phân tích rủi ro Việc đánh giá phân tích rủi ro bao gồm phương pháp khoa học thỏa thuận với người sở hữu thơng tin Phải xác định chi phí cần thiết cho việc thay liệu hệ thống bị đánh cắp, chi phí cho thời gian ngừng, hay tất mà ta tưởng tượng rủi ro Trong an tồn thơng tin, rủi ro xem hàm gồm biến: RR() = F(Xác suất xảy hiểm họa, Xác suất xảy điểm yếu, Các hậu tiềm tàng) Rủi ro tổng cộng = biến tiến đến Quản lý hiểm họa q trình quản lý rủi ro 1) Phân tích rủi ro theo phương pháp định lượng 12 • • Phương pháp đánh giá định lượng sử dụng giá trị biểu diễn số (thay mức độ/quy mô mô tả lời phương pháp đánh giá định tính) hai đại lượng mức độ nghiêm trọng hậu xác suất xảy cố, sử dụng số liệu từ nhiều nguồn khác Chất lượng việc đánh giá phụ thuộc vào mức độ xác mức độ hồn chỉnh giá trị lượng hóa sử dụng đánh giá Mức độ hậu ước lượng cách mơ hình hóa hậu nhiều cố, cách phân tích liệu cơng trình nghiên cứu số liệu khứ Mức độ thiệt hại hậu thể số tiền, tiêu chuẩn người thiết bị cơng nghệ Trong số trường hợp, sử dụng đến hai giá trị biểu diễn số để xác định hậu thời điểm, địa điểm, nhóm cơng việc tình khác Ưu điểm: o Kết dựa quy trình tham số cụ thể độc lập o Việc định giá chi phí lợi nhuận cần thiết o Các đánh giá trực quan, dễ minh họa diễn giải o Thích hợp sử dụng cho cơng cụ phân tích đánh giá tự động o Kết thể tham số quản lý khác như: giá trị tiền, phần trăm, xác suất,… Nhược điểm: o Tính tốn phức tạp o Mất nhiều cơng sức cho việc định giá tài sản biện pháp khắc phục o Chỉ hoạt động tốt với công cụ tự động tích hợp hệ tri thức o Khối lượng công việc cần phải chuẩn bị trước lớn o Thơng thường khó tiến hành người o Khó khăn hướng dẫn người tham gia xun suốt q trình o Rất khó muốn thay đổi định hướng o 2) Phân tích rủi ro theo phương pháp định tính Mơ tả rủi ro chất, tính chất, mức độ phạm vi ảnh hưởng tới dự án rủi ro xảy Cách phân tích khơng gán giá trị cụ thể cho tham số mà tùy thuộc vào ngữ cảnh định dựa vào mơ ình câu hỏi “nếu như”, “rất tốt, xấu, tốt”, “đạt, không đạt” Ưu điểm: o Tính tốn đơn giản 13 Không cần thiết định rõ ràng giá trị vật chất tài sản o Không cần phải định lượng tần suất hiểm họa o Dễ dàng liên kết phận phi kỹ thuật phi bảo mật o Rất linh hoạt triển khai báo cáo Nhược điểm: o Mang tính chủ quan, dựa vào nhóm dự án nhận thức bên liên quan rủi ro, cho phép sai lệch, phải xác định sửa chữa o Kết phụ thuộc vào kinh nghiệm/chuyên môn người thực đánh giá rủi ro o Cũng cần có vài hoạt động định lượng cho tài sản có giá trị đặc biệt quan trọng o Khơng có rõ ràng cho việc phân tích chi phí khắc phục rủi ro o 2.5 Đánh giá rủi ro (risk assessment) Định nghĩa: Đánh giá rủi ro tiếng Anh Risk assessment Đánh giá rủi ro việc xác định phân tích rủi ro liên quan có ảnh hưởng đến hoạt động doanh nghiệp 2.5.1 Nội dung đánh giá rủi ro Để xác định phân tích rủi ro, nhà quản trị cần: + Thiết lập mục tiêu tổ chức, sở xác định mục tiêu xác định, nhà quản trị tiến hành phân tích, nhận dạng quản trị rủi ro trình thực + Nhận dạng rủi ro: Rủi ro tác động mức tồn đơn vị hay ảnh hưởng đến số phận đơn vị Ở mức độ toàn đơn vị, nhân tố phát sinh rủi ro là: Sự đổi kĩ thuật, đổi sản phẩm đối thủ cạnh tranh, nhu cầu khách hàng thay đổi, sách Nhà nước thay đổi Trong phạm vi hoạt động bán hàng, mua hàng rủi ro phát sinh tác động đến thân hoạt động trước gây ảnh hưởng dây chuyền đến tồn đơn vị Thơng thưởng, rủi ro liên quan đến phận xuất phát từ sách đơn vị Do để nhận dạng rủi ro, doanh nghiệp sử dụng nhiều phương 14 pháp khác như: sử dụng phương pháp dự báo, phân tích liệu liên quan hay thường xun rà sốt hoạt động + Phân tích đánh giá rủi ro: Do rủi ro khó định lượng nên việc phân tích đánh giá rủi ro thường phức tạp Tuy nhiên qui trình phân tích đánh giá rủi ro thường bao gồm bước sau: - Ước lượng thiệt hại xảy ra: Thiệt hại lớn rủi ro nghiêm trọng Xem xét khả xảy rủi ro: Xác suất xảy thiệt hại lớn rủi ro xảy thường xuyên số tiền thiệt hại lớn Số tiền thiệt hại lớn xác suất xảy nhỏ khơng quan trọng rủi ro khác có thiệt hại nhỏ xác suất xảy lại cao nhiều Biện pháp phịng ngừa: Trên sở phân tích đánh giá rủi ro, nhà quản trị cần phải thiết lập thủ tục kiểm sốt để giảm thiểu thiệt hại rủi ro gây Phòng ngừa bảo vệ hoạt động cần có hệ thống kiểm soát 2.5.2 Đánh giá kiểm soát rủi ro Rủi ro kiểm soát rủi ro xảy sai sót trọng yếu báo cáo tài tính riêng rẽ tính gộp mà hệ thống kế tốn hệ thống kiểm sốt nội khơng ngăn ngừa hết không phát sửa chữa kịp thời Có thể hiểu theo cách đơn giản: Rủi ro kiểm sốt tồn sai sót trọng yếu mà hệ thống kiểm sốt nội khơng phát ngăn chặn kịp thời Các yếu tố ảnh hưởng đến rủi ro kiểm sốt - Tính chất mẻ phức tạp loại giao dịch - Khối lượng cường độ giao dịch (nhiều hay ít, mạnh hay yếu) - Số lượng chất lượng hệ thống nhân lực tham gia kiểm soát doanh nghiệp - Tính hiệu lực, hợp lí hiệu thủ tục kiểm sốt trình tự kiểm sốt doanh nghiệp - Tính khoa học, thích hợp hiệu hệ thống kiểm soát nội như: việc xếp phân công người việc, bố trí sử dụng cách tối ưu phương tiện, thiết bị kết hợp với người trình kiểm soát Việc đánh giá rủi ro kiểm soát thực chất việc đánh giá tính hiệu lực, hiệu hệ thống kế toán hệ thống kiểm sốt nội doanh nghiệp có đủ khả 15 ngăn chặn, phát xử lí kịp thời gian lận, sai sót trọng yếu xảy doanh nghiệp cách đáng tin cậy hay không 2.5.2 Đánh giá phân tích rủi ro theo phương pháp định tính Bản chất kỹ thuật nghiên cứu định tính ln địi hỏi linh hoạt sáng tạo khơng ngừng nghỉ Do nhà nghiên cứu không dựa vào liệu thơ mà vừa thu thập để viết thành báo cáo hay đưa kết luận mà cần sử dụng kỹ thuật để phân tích Trong bật số kỹ thuật như: • Lý thuyết nội dung: Sử dụng để giải thích cho lý nhu cầu người lại thay đổi theo thời gian? Đâu yếu tố để thúc đẩy hành vi người? Và động lực để người thực hành động gì? • Lý thuyết tảng: Phương pháp quy nạp cung cấp quy trình thu thập, tổng hợp, phân tích khái niệm hóa liệu định tính lại cho mục đích xây dựng lý thuyết • Phân tích theo chủ đề: Đây hình thức phổ biến nghiên cứu định tính Được đánh giá linh hoạt cho phép lựa chọn khung lý thuyết Do tùy thuộc vào phần hay chủ đề cụ thể mà nhà nghiên cứu áp dụng dạng lý thuyết • Phân tích biện luận: Phương pháp bao gồm tương tác, nói chuyện trực tiếp thơng qua biểu tượng, hình ảnh, tài liệu để giải thích cách thức ý nghĩa hành vi thu thập 2.5.3 Đánh giá phân tích rủi ro theo phương pháp định lượng Khác với phân tích liệu định tính, việc phân tích liệu định lượng thơng kê để tóm tắt liệu, mơ tả mẫu, mối quan hệ kết nối với biến số với Từ hình thành lên báo cáo với thơng số hữu ích, dễ nhìn dễ đưa định Kỹ thuật phân tích liệu định lượng bao gồm loại sau: • Thống kê mô tả: Bao gồm phương pháp liên quan đến việc thu thập số liệu, việc tóm tắt, trình bày tính tốn mơ tả để từ phản ánh cách tổng quát đối tượng nghiên cứu 16 • Thống kê suy luận: Nó bao gồm phương pháp phân tích, ước lượng mối liên hệ tượng nghiên cứu đưa định dựa sở thu thập thông tin từ kết việc quan sát mẫu 2.5.4 Sự khác biệt nghiên cứu định tính định lượng Nếu xét lĩnh vực nghiên cứu khoa học nghiên cứu định tính định lượng có vai trò quan trọng đề tài nghiên cứu Giúp cho nhà nghiên cứu thu thập liệu cách xác Tuy nhiên phương pháp lại trái ngược phương pháp cách thực hoạt động Về đặc điểm • Nghiên cứu định tính thu thập liệu chữ, tiếp cận để tìm cách mơ tả, phân tích đặc điểm nhóm người từ quan điểm nhà nhân học • Nghiên cứu định lượng thu thập liệu số giải quan hệ nghiên cứu lý thuyết quan điểm diễn dịch Về việc sử dụng lý thuyết 17 • Trong nghiên cứu định tính nhà nghiên cứu sử dụng theo hình thức quy nạp, tạo lý thuyết, sử dụng quan điểm diễn giải, khơng chứng minh có giải thích dùng thuyết kiến tạo nghiên cứu Điều có nghĩa nhà nghiên cứu dựa vào lý thuyết để xây dựng cho hướng nghiên cứu phù hợp với điều kiện • Còn nghiên cứu định lượng chủ yếu kiểm dịch lý thuyết, sử dụng mơ hình khoa học tự nhiên thực chứng luận, phương pháp chứng minh thực tế, theo chủ nghĩa khách quan phương pháp sử dụng chủ yếu số, tính khách quan cao nên có độ trung thực tốt Về cách thức thực nghiên cứu • Nghiên cứu định tính địi hỏi nhà nghiên cứu phải có kỹ quan sát cực cao, khả chọn mẫu tương thích giai đoạn đầu hình thành lên đề tài Đó phương pháp như: vấn sâu, thảo luận nhóm hay quan sát tham dự • Nghiên cứu định lượng lại thực nghiệm thông qua biến, nghiên cứu đồng đại chéo, lịch đại, nghiên cứu trường hợp, nghiên cứu so sánh, Về cách chọn mẫu nghiên cứu • Trong nghiên cứu định tính: Cách chọn mẫu bao gồm chọn theo xác xuất, xác suất ngẫu nhiên, xác suất chùm, mẫu hệ thống, cụm, phân tầng hay chọn mẫu phi xác suất • Trong nghiên cứu định lượng: Cách chọn mẫu bao gồm: chọn mẫu theo thứ tự, câu hỏi đóng - mở, câu hỏi soạn, câu hỏi ngắn gọn, xúc tích, câu hỏi khơng gây tranh luận Khi sử dụng nghiên cứu định tính định lượng 18 Nguyên tắc chung để định sử dụng liệu định tính hay định lượng là: • Sử dụng nghiên cứu định lượng bạn muốn xác nhận kiểm tra điều (một lý thuyết giả thuyết) • Sử dụng nghiên cứu định tính bạn muốn hiểu điều (khái niệm, suy nghĩ, kinh nghiệm) Tóm lại, hầu hết chủ đề nghiên cứu, chọn phương pháp định tính, định lượng phương pháp hỗn hợp (kết hợp định tính định lượng) Bằng cách sử dụng hai phương pháp đạt mức độ hiểu biết sâu vấn đề nghiên cứu 19 PHẦN KẾT LUẬN Phân tích quản lý rủi ro cho phép bạn kiểm tra rủi ro mà bạn tổ chức bạn phải đối mặt dựa cách thức tiếp cận với suy nghĩ thông qua mối đe dọa, sau cách đánh giá xác suất chi phí kiện xảy Trong nghiên cứu thị trường, nên cân nhắc sử dụng hai phương pháp định tính định lượng để có kết có giá trị Để có câu trả lời hoàn hảo hành vi, thái độ khách hàng lý hành vi đó, từ kết nghiên cứu góp phần tạo nên định quản trị có tính xác cao 20 TÀI LIỆU THAM KHẢO [1] https://15phut.vn/giai-quyet-van-de/phan-tich-va-qu%E1%BA%A3n-ly-r %E1%BB%A7i-ro/ [2] https://vietnambiz.vn/phan-tich-rui-ro-risk-analysis-la-gi-noi-dung-phan-tichrui-ro-20190921110721733.htm [3] https://khaosat.me/blog/nghien-cuu-dinh-tinh-va-nghien-cuu-dinh-luong/ [4] https://luanvanviet.com/dinh-luong-la-gi/ [5] https://luanvan2s.com/nghien-cuu-dinh-tinh-va-dinh-luong-bid202.html 21 ... người phân tích rủi ro? Mất cho quy trình phân tích? Quy trình phân tích khảo sát gì? Kết quy trình phân tích? Sử dụng biện pháp phân tích đưa kết luận có có ích cho tổ chức Quản lý rủi ro: xem... quản trị rủi ro cần triển khai mạng nguồn thông tin mẫu báo cáo rủi ro xảy rủi ro 2.4.3 Phương pháp phân tích rủi ro Có nhiều cách đánh giá hay phân tích rủi ro Việc đánh giá phân tích rủi ro bao... thường gặp Để q trình phân tích rủi ro đầy đủ, rõ ràng cần tìm hiểu số câu hỏi thường gặp q trình phân tích - Tại phải tiến hành khảo sát phân tích rủi ro? Việc phân tích rủi ro tốt giúp có chiến