CHƢƠNG 2 : QUY TRÌNH VÀ PHƢƠNG PHÁP NGHIÊN CỨU
4.2. Xây dựng hệ thống quản trị rủi ro các dự án CNTT
Nhƣ đã tác giả đã phân tích, việc các dự án CNTT đạt mục tiêu nhƣ đã đề ra một phần là do các dự án CNTT này đã gặp khá nhiều rủi ro (những sự không chắc chắn có thể là nguy cơ đối với khả năng thực hiện thành công mục tiêu của dự án) từ khi bắt đầu tới khi kết thúc dự án. Trong khi đó tại EVNNPT lại chƣa có một bộ phận quản trị rủi ro đúng nghĩa. Trong xu thế
hiện nay, khi rủi ro ngày càng xuất hiện nhiều hơn, yêu cầu đặt ra với các dự án cũng cao hơn, do đó EVNNPT cần thiết phải có một hệ thống quản trị rủi ro cho các dự án CNTT của EVNNPT để xem xét đánh giá toàn diện các hoạt động của dự án, nhận biết những nguy cơ tiềm ẩn có thể tác động xấu đến kết quả dự án, trên cơ sở đó sẽ đƣa ra các giải pháp ứng phó, phòng ngừa phù hợp tƣơng ứng với từng nguy cơ.
Sau khi bổ sung lực lƣợng cán bộ công nghệ thông tin và sắp xếp lại công việc (nhƣ đã đề xuất ở mục 4.1), EVNNPT cần xây dựng một hệ thống quản trị rủi ro cho các dự án CNTT của EVNNPT để làm tốt công tác quản trị rủi ro cho các dự án CNTT này. Việc quản trị rủi ro phải đƣợc tổ chức một cách chính thức và đƣợc thực hiện liên tục để xác định, kiểm soát và báo cáo các rủi ro có thể ảnh hƣởng đến việc đạt đƣợc những mục tiêu của dự án. Việc tổ chức thực hiện Quản trị rủi ro phải đảm bảo các yêu cầu sau:
- Nâng cao nhận thức về rủi ro cũng nhƣ khả năng ứng phó với rủi ro một cách phù hợp;
- Chính thức hóa quá trình quản trị rủi ro;
- Xây dựng qui trình quản trị rủi ro thống nhất trong doanh nghiệp; - Minh bạch hóa các rủi ro;
- Đƣa quản trị rủi ro thành một phần chính thức trong công việc quản trị dự án.
Để thiết lập hệ thống quản trị rủi ro, EVNNPT cần bắt đầu từ việc xây dựng Chính sách quản lý rủi ro. Chính sách này sẽ xác định rõ phƣơng pháp tiếp cận đối với rủi ro và quản trị rủi ro. Bên cạnh đó, chính sách quản trị rủi ro cũng qui định rõ trách nhiệm đối với quản trị rủi ro xuyên suốt từ Ban lãnh đạo TCT; Các ban chức năng; Ban CNTT; Các đơn vị trực thuộc; Bộ phận quản trị rủi ro. Để hệ thống quản lý rủi ro thực sự hoạt động cần có sự Cam kết của Ban lãnh đạo cấp cao đối với hoạt động quản lý rủi ro; Phân công
trách nhiệm rõ ràng đối với các Phòng/ban/đơn vị đối với hoạt động quản trị rủi ro; Cần đảm bảo phân bổ hợp lý các nguồn lực cho hoạt động đào tạo và nâng cao nhận thức về rủi ro; Đặc biệt là việc thực thi, tuân thủ chính sách quản lý rủi ro. Việc thực hiện các biện pháp phòng ngừa rủi ro cần đƣợc đƣa vào hệ thống tiêu chí đánh giá chất lƣợng thực hiện công việc của nhân viên (KPIs) (đây là hệ thống đang trong quá trình xây dựng, dự kiến đầu năm 2017 sẽ đƣợc triển khai chính thức).
Việc bố trí và sử dụng hợp lý các nguồn lực tại EVNNPT: Theo lực lƣợng CNTT hiện có, tác giả cho rằng, Ban CNTT thiết lập một bộ phận chuyên trách đảm nhiệm chức năng quản trị rủi ro các dự án CNTT với số lƣợng từ 2 tới 3 ngƣời, trong đó có 01 cán bộ CNTT làm chính và có 1 đến 2 cán bộ khác hỗ trợ.
Xây dựng quy trình quản trị rủi ro gồm các bƣớc: Xác nhận mục tiêu của dự án, xác định rủi ro, mô tả và phân loại rủi ro, đánh giá và xếp hạng rủi ro, xây dựng kế hoạch ứng phó, lập báo cáo cập nhật tình hình thực thi, giám sát quá trình thực hiện, rà soát và cải tiến quy trình quản trị rủi ro. Chi tiết về một số bƣớc chính trong quy trình quản lý rủi ro nhƣ sau:
- Xác nhận mục tiêu dự án: Quản trị rủi ro để hƣớng tới đảm bảo thực hiện thành công mục tiêu của dự án. Vì vậy, khi bắt đầu quá trình quản trị rủi ro, công việc đầu tiên là xác nhận các mục tiêu của dự án. Đây là cơ sở đảm bảo hoạt động quản trị rủi ro đƣợc tổ chức thực hiện đúng hƣớng.
- Xác định rủi ro: Có rất nhiều biện pháp để xác định rủi ro, mỗi biện pháp có những ƣu điểm riêng. Theo tác giả, cần sử dụng các biện pháp nhƣ: Tổ chức các cuộc họp để nhận dạng, đánh giá rủi ro; Thông qua Phiếu điều tra; Xem xét lịch sử thực hiện các dự án trƣớc, các rủi ro đã gặp phải để dự đoán dự án sắp thực hiện có gặp phải cá rủi ro tƣơng tự; Thông qua quan sát,
Thông qua kết quả thực hiện của mỗi giai đoạn dự án để đánh giá, nhận định các rủi ro có thể xảy ra.
- Mô tả và phân loại, đo lƣờng rủi ro: Sau khi xác định đƣợc các rủi ro tiềm ẩn, việc tiếp theo cần làm đó là mô tả một cách ngắn gọn nhƣng cụ thể về nguồn gốc, căn nguyên và hệ quả, tác động của từng rủi ro đối với dự án, đối với doanh nghiệp. Sau đó, chúng ta sẽ thực hiện việc phân loại rủi ro. Có nhiều loại rủi ro khác nhau tiềm ẩn đối với dự án, có rủi ro từ môi trƣờng bên ngoài, có rủi ro từ chính EVNNPT. Việc phân loại rủi ro sẽ giúp bộ phận quản trị rủi ro có cái nhìn tổng thể, toàn diện hơn về rủi ro trong mọi hoạt động của dự án. Sau khi phân loại, cần đo lƣờng rủi ro, đánh giá mức độ tác động, tần suất xuất hiện để đƣa ra các mức độ cần ƣu tiên ứng phó. Rủi ro cần ƣu tiên ứng phó, phòng ngừa là những rủi ro mà khả năng xảy ra cao và mức độ ảnh hƣởng lớn.
- Xây dựng kế hoạch ứng phó: Xây dựng kế hoạch ứng phó là giai đoạn quan trọng trong quá trình quản trị rủi ro. Tại giai đoạn này bộ phận quản trị rủi ro phải đƣa ra các biện pháp né tránh, kiểm soát, phòng ngừa cụ thể cần thực hiện để phòng ngừa và giảm thiểu thiệt hại nếu rủi ro xảy ra. Điều quan trọng ở đây là các biện pháp phải khả thi, hữu hiệu và ít tốn kém. Đối với mỗi rủi ro cụ thể cần xây dựng kế hoạch ứng phó, trong đó chỉ ra: biện pháp gì, thời hạn thực hiện và ai chịu trách nhiệm chính trong việc xử lý đó.
- Tổ chức giám sát việc thực hiện các biện pháp: Trong quá trình thực thi các biện pháp ứng phó, bộ phận quản trị rủi ro phải xây dựng hệ thống báo cáo thƣờng xuyên nhằm đảm bảo kiểm soát chặt chẽ quá trình thực hiện, mọi thiếu sót trong việc thực hiện các biện pháp kiểm soát rủi ro phải đƣợc thông tin kịp thời đến cấp quản lý có trách nhiệm. Thƣờng xuyên tổ chức kiểm tra và đánh giá việc tuân thủ chính sách quản trị rủi ro và các tiêu chuẩn liên quan.
Trong quá trình thực hiện quản trị rủi ro, bộ phận quản trị rủi ro cần quan tâm xem xét điều chỉnh các biện pháp đang thực hiện cho phù hợp với những chuyển biến của môi trƣờng. Định kỳ, EVNNPT cần xem xét lại mức
độ phù hợp của danh sách các rủi ro cùng với biện pháp ứng phó tƣơng ứng đối với các rủi ro trong các dự án CNTT của EVNNPT.
Tóm lại, để thiết lập đƣợc một hệ thống quản trị rủi ro hoạt động hiệu quả, bên cạnh việc xây dựng chính sách quản trị rủi ro, bản thân lãnh đạo Tổng công ty, lãnh đạo Ban CNTT phải cam kết ủng hộ việc triển khai. Đồng thời, lãnh đạo TCT, lãnh đạo Ban CNTT cũng phải thật sự coi trọng công tác thông tin, tuyên truyền và đào tạo để xây dựng văn hóa quản trị rủi ro đến mọi đối tƣợng trong EVNNPT.
EVNNPT cần nhìn nhận một cách nghiêm túc về vai trò của hoạt động quản trị rủi ro, cân nhắc thiết lập và duy trì một hệ thống quản trị rủi ro trong các dự án CNTT. Có nhƣ vậy, EVNNPT mới có thể dự báo trƣớc đƣợc rủi ro và xây dựng, triển khai những kế hoạch ứng phó hiệu quả để ngăn ngừa, giảm nhẹ tổn thất cho các dự án CNTT nói riêng và EVNNPT nói chung.
Để hiện thực hiện hóa việc xây dựng hệ thống quản trị rủi ro trong các dự án công nghệ thông tin một cách nhanh chóng, trong năm 2017, Ban CNTT cần lập ra kế hoạch cụ thể về thời gian và công việc thực hiện để xây dựng hệ thống Quản trị rủi ro trong các dự án CNTT. Ban CNTT cần tham khảo hệ thống Quản trị rủi ro tại các Doanh nghiệp lớn, mạnh, chuyên nghiệp về CNTT nhƣ FPT Software, Công ty TNHH Trí tuệ nhân tạo, Công ty Cổ phần Giải pháp phần mềm Hanel, Công ty CP Công nghệ Tinh Vân, … cũng nhƣ cần cho các cán bộ công nghệ thông tin tham gia các khóa học về quản trị rủi ro trong các dự án công nghệ thông tin, ... để nâng cao năng lực quản trị rủi ro trong các dự án công nghệ thông tin.