Thực trạng công tác tổ chức Quản trị rủi ro về thông tin khách hàng tạ

CHƢƠNG 2 : PHƢƠNG PHÁP NGHIÊN CỨU

3.2. Thực trạng công tác Quản trị rủi ro về thông tin khách hàng tại Vietnam

3.2.1. Thực trạng công tác tổ chức Quản trị rủi ro về thông tin khách hàng tạ

3.2.1. Thực trạng công tác tổ chức Quản trị rủi ro về thông tin khách hàng tại Vietnam Airlines Vietnam Airlines

Công tác quản trị thông tin khách hàng tại Vietnam Airlines bao gồm các hoạt động thu thập; xử lý, lƣu trữ và sử dụng thông tin khách hàng, cụ thể nhƣ sau:

- Thu thập thông tin: thông tin về khách hàng đi tàu bay đƣợc thu thập thông qua các nguồn chính sau:

+ Một là: thu thập trực tiếp từ hệ thống Đại lý bán vé.Thông tin khách hàng đƣợc thu thập khi mua vé để tạo thuận lợi cho hành khách trong việc đi lại (nhƣ liên lạc khi có sự thay đổi về lịch bay hoặc cần đến sự hợp tác của hành khách trong quá trình thực hiện chuyến bay).

+ Hai là: thu thập trên các ứng dụng (trang web, mobile app…) của Viennam Airlines khi khách hàng mua vé trực tuyến và sử dụng các dịch vụ này.

- Xử lý, lƣu trữ thông tin: thông tin sau khi đƣợc thu thập sẽ đƣợc xử lý tập trung nhờ phần mềm đặt giữ chỗ bán vé của đối tác Sabre, sau đó sẽ đƣợc tổng hợp, xử lý và lƣu trữ tập trung tại TTDL của Vietnam Airlines.

- Sử dụng thông tin: thông qua các chƣơng trình, phần mềm CNTT chuyên môn của các Cơ quan, Đơn vị, thông tin khách hàng sẽ đƣợc sử dụng phục vụ mục đích thƣơng mại của hãng.

Qua quá trình làm việc thực tế tại đơn vị đang công tác, tác giả nhận thấy hiện tại Vietnam Airlines chƣa có bộ phận QTRR cấp TCTy để thực hiện các hoạt động QTRR thống nhất trong phạm vi toàn TCTy. Tại từng cơ quan, đơn vị tuy thành lập các bộ phận (tổ, nhóm) QTRR chuyên trách nhƣng trên thực tế các bộ phận này hoạt động độc lập với nhau, phục vụ trực tiếp công tác chuyên môn tại đơn vị mình mà không có sự liên kết, trao đổi và quản lý chung trong phạm vi toàn TCTy; thông tin về rủi ro và QTRR không có sự chia sẻ giữa các cơ quan, đơn vị với nhau dẫn đến việc không đồng bộ trong quá trình quản trị.

Tuy chƣa thành lập bộ phận QTRR chung cấp TCTy nhƣng tại Vietnam Airlines đã thành lập các bộ phận chuyên trách QTRR cấp TCTy theo từng lĩnh vực để QTRR thống nhất trong phạm vi toàn TCTy. Các lĩnh vực đã thành lập đƣợc bộ phận QTRR chuyên trách có thể kể đến nhƣ: lĩnh vực Thƣơng mại có tổ xử lý rủi ro công tác bán, lĩnh vực Dịch vụ có tổ xử lý rủi ro dịch vụ, lĩnh vực Khai thác bay có Trung tâm ứng phó khẩn nguy, lĩnh vực an toàn an ninh có tổ xử lý rủi ro an toàn an ninh, lĩnh vực CNTT có Trung tâm an ninh thông tin…

Điển hình nhƣ tổ xử lý rủi ro công tác bán thuộc lĩnh vực thƣơng mại đƣợc thành lập bao gồm các thành viên: Tổ trƣởng là phó Tổng giám đốc phụ trách lĩnh vực thƣơng mại, thành viên bao gồm đại diện các Ban chuyên môn tại khu vực Khối cơ quan TCTy (nhƣ ban TTBSP, ban DVHK, Trung tâm Bông sen vàng, ban CNTT) và các đơn vị trực thuộc (nhƣ các CNKVB/T/N). Nhiệm vụ của tổ là trực tiếp xử lý các rủi ro liên quan đến hoạt động bán của TCTy, quản lý, theo dõi các rủi ro đã và có khả năng xuất hiện, đồng thời lập kế hoạch xử lý rủi ro trong tiếp theo căn cứ trên kết quả tổng hợp xử lý rủi ro của các năm trƣớc và hiện tại.

Bên cạnh bộ phận QTRR chuyên trách, tại nhiều đơn vị trực thuộc mới chỉ thành lập bộ phận QTRR kiêm nhiệm, trong đó các cán bộ QTRR thực hiện nhiệm vụ chuyên môn là chủ yếu, nhiệm vụ QTRR chỉ là thứ yếu nên nội dung còn sơ sài, chất lƣợng công tác QTRR tại các đơn vị này chƣa cao.

Tại Vietnam Airlines chƣa có mô hình QTRR độc lập, chƣa có quy trình QTRR chính thức mà các quy trình này đều đƣợc tổ chức phân tán trong các quy trình nội bộ nhƣ: quản lý chất lƣợng, xử lý rủi ro công tác bán, an toàn chất lƣợng, đảm bảo , quản lý thay đổi, xử lý dự phòng thảm họa, ứng phó khẩn nguy…Đặc biệt tại các đơn vị, ban chuyên môn chƣa tổng hợp đƣợc danh mục các rủi ro từng xuất hiện liên quan đến thông tin khách hàng.

3.2.2. Kết quả công tác QTRR về thông tin khách hàng tại Vietnam Airlines

Tổng hợp trong giai đoạn từ năm 2016 đến nay, với đặc thù Vietnam Airlines đã hoàn thành giai đoạn tái cơ cấu, chuyển đổi từ mô hình tổng công ty Nhà nƣớc sang hoạt động theo mô hình công ty cổ phần, hoạt động QTRR nói chung đã đạt đƣợc những kết quả rất đáng ghi nhận. Trong đó công tác QTRR thông tin khách hàng đã đạt đƣợc những kết quả rất khả quan, góp phần nâng cao chất lƣợng dịch vụ và hiệu quả công tác bán, nâng cao doanh thu và thị phần của hãng.

Tuy nhiên trong gian đoạn sau khi tái cơ cấu cũng ghi nhận tần suất xuất hiện rủi ro liên quan đến khách hàng ngày càng gia tăng và mức độ tác động ngày càng nghiêm trọng. Nếu nhƣ trƣớc đây các rủi ro gặp phải đa phần gặp phải tại khâu xử lý và lƣu trữ thông tin thì trong giai đoạn này đã ghi nhận nhiều rủi ro xuất hiện

trong hoạt động khai thác, sử dụng thông tin. Kết quả công tác QTRR đƣợc tổng hợp trong giai đoạn từ năm 2016 đến nay nhƣ sau:

Bảng 3.1 Kết quả công tác Quản trị rủi ro tại Vietnam Airlines

Stt Rủi ro

Số lần xuất hiện trong các năm 2016 2017 2018 Từ

1-5/2019

1 Khách hàng khởi kiện, đòi bồi

thƣờng 8 10 13 6

2 Tin tặc tấn công vào hệ thống CNTT

chứa dữ liệu hành khách 10 6 8 5

3 Thông tin khách hàng bị sử dụng sai

mục đích bởi các hãng thứ 3 3 5 6 2

4 Thông tin bị sai lệch, hƣ hỏng trong

quá trình xử lý, lƣu trữ dữ liệu 11 8 9 4

(Nguồn: Ban TTBSP, CNTT, TTBSV, CNKVMB/T/N Vietnam Airlines)

3.2.3. Thực trạng chất lƣợng hoạt động Quản trị rủi ro về thông tin khách hàng tại Vietnam Airlines hàng tại Vietnam Airlines

Hiện tại Vietnam Airlines do chƣa có bộ phận QTRR cấp TCTy nên hoạt động QTRR chƣa đƣợc thực hiện thống nhất trong phạm vi toàn TCTy, chƣa xây dựng đƣợc nội dung chƣơng trình hành động chung, quy trình QTRR thống nhất áp dụng cho tất cả các đơn vị thành viên. Do đó dẫn đến tình trạng chất lƣợng QTRR không đồng đều giữa các đơn vị, thể hiện rõ nhất ở hiện tƣợng công tác QTRR đƣợc thực hiện bài bản, hiệu quả cao tại các Ban chuyên môn, Cơ quan tại khu vực khối cơ quan TCTy do nhận đƣợc sự chỉ đạo trực tiếp và quan tâm sâu sát của ban lãnh đạo Vietnam Airlines, nhƣng tại một số đơn vị các hoạt động QTRR, đặc biệt là QTRR về thông tin khách hàng, lại rất rời rạc, chất lƣợng không cao, hiệu quả kém và ít phát huy vai trò hỗ trợ công tác bán và nâng cao chất lƣợng dịch vụ.

Hiện nay tại từng cơ quan, đơn vị tuy đã thành lập các bộ phận QTRR chuyên trách nhƣng do các bộ phận này vẫn đang hoạt động độc lập, không có sự

liên kết giữa các cơ quan, đơn vị với nhau nên thông tin vể rủi ro, kinh nghiệm về xử lý rủi ro không đƣợc chia sẻ dẫn đến tình trạng một số rủi ro đã xảy ra tại đơn vị này vẫn bị lặp lại tại các đơn vị khác, việc phản ứng, ứng phó với rủi ro còn lúng túng và chậm làm ảnh hƣởng đến hoạt động kinh doanh.

Cùng với các bộ phận QTRR chuyên trách, tại nhiều đơn vị mới chỉ có các tổ, nhóm QTRR kiêm nhiệm, cùng với đó không đƣợc sự quan tâm chỉ đạo sát sao của các cấp lãnh đạo nên công tác QTRR còn bị lơ là, chất lƣợng thực hiện kém và chƣa phát huy đƣợc hiệu quả trong hỗ trợ điều hành và hoạt động kinh doanh.

Bên cạnh đó xuất phát từ thực tế quy trình QTRR tại Vietnam Airlines đƣợc tổ chức phân tán trong các quy trình nội bộ mà chƣa có mô hình QTRR độc lập, chƣa có quy trình QTRR chính thức nên công tác QTRR chƣa đƣợc thực hiện đồng bộ, thống nhất giữa các cơ quan, đơn vị trong phạm vi toàn TCTy, dẫn đến chất lƣợng QTRR không đồng đều giữa các đơn vị

3.2.3.1. Thực trạng hoạt động xem xét bối cảnh.

Tại Vietnam Airlines thƣờng xuyên diễn ra các hoạt động theo dõi, kiểm tra, nghiên cứu môi trƣờng làm việc nội bộ, tổ chức các đợt khảo sát để nắm bắt và tìm hiểu tâm tƣ nguyện vọng của cán bộ công nhân viên (nhƣ đợt khảo sát về mức độ hài lòng của nhân viên năm 2017) và môi trƣờng xung quanh; tổ chức thƣờng xuyên các đợt tổng kết để rà soát lại toàn bộ hoạt động kinh doanh, chiến lƣợc kinh doanh...của Vietnam Airlines. Nhờ đó mà bộ phận QTRR đã hiểu và nắm bắt đƣợc bối cảnh tồn tại rủi ro về thông tin khách hàng.

3.2.3.2. Thực trạng hoạt động nhận dạng rủi ro.

Thông qua các cuộc họp, hội thảo, tại các đơn vị đã xây dựng đƣợc danh mục các rủi ro, tùy thuộc vào kinh nghiệm quản lý của các cấp quản lý và kinh nghiệm, năng lực chuyên môn của chuyên gia QTRR. Các thành viên bộ phận QTRR sẽ lập danh mục những rủi ro phù hợp với chức năng, nhiệm vụ của đơn vị, ban chuyên môn; trong đó ƣớc tính định tính khả năng và hậu quả xảy ra. Quá trình nhận ddạng rủi ro đƣợc thực hiện thông qua những hoạt động sau đây:

- Xem xét, phân tích dữ liệu về toàn bộ rủi ro đã gặp phải trong quá khứ, bao gồm rủi ro đƣợc tổng hợp từ các Ban, cơ quan và các đơn vị trực thuộc. - Tổ chức họp thảo luận, hội thảo với các chuyên gia và khách hàng, nhà cung

cấp, đối tác.

- Phỏng vấn các chuyên gia nội bộ và chuyên gia của đối tác trong các lĩnh vực có liên quan giúp phát hiện và nhận diện rủi ro.

- Khuyến khích cán bộ công nhân viên tích cực tham gia phát hiện và nhận dạng những rủi ro tiềm ẩn vào mọi thời điểm.

- Sau khi thành viên bộ phận QTRR cung cấp các thông tin liên quan đến rủi ro; phụ trách QTRR sẽ rà soát, tổng hợp, báo cáo lãnh đạo phụ trách công tác QTRR, đồng thời bàn bạc để thống nhất với các lãnh đạo về thời điểm cập nhật thông tin rủi ro, lịch họp bộ phận QTRR phù hợp với yêu cầu hoạt động kinh doanh.

Tại cơ quan, đơn vị chƣa xây dựng đƣợc thƣ viện lƣu trữ rủi ro để cập nhật các rủi ro mới, dẫn đến việc không thể dự đoán trƣớc đƣợc nhiều rủi ro xuất hiện trong các hoàn cảnh khác nhau hoặc có tình trạng tiếp tục bị lặp lại một số rủi ro đã từng xuất hiện tại các thời điểm trƣớc đó.

Do đặc điểm thông tin hành khách đƣợc thu thập từ nhiều nguồn khác nhau, thông tin đƣợc lƣu trữ tại nhiều bộ phận, hệ thống; kênh truyền tải dữ liệu rất đa dạng, thông tin đƣợc xử lý và sử dụng bởi nhiều đơn vị đã gây rất nhiều khó khăn trong việc kiểm soát thông tin, khiến khả năng thông tin khách hàng bị lộ lọt, rò rỉ hoặc sử dụng sai mục đích luôn hiện hữu và tiềm ẩn nguy cơ xảy ra cao. Hiện tại Vietnam Airlines đã nhận diện đƣợc danh sách các rủi ro chính về thông tin khách hàng nhƣ sau:

Bảng 3.2. Nhận diện các dạng rủi ro về thông tin khách hàng tại Vietnam Airlines

Stt Rủi ro Nguyên nhân Ảnh hƣởng Nguồn gây

ra rủi ro

1 Khách hàng khởi kiện, đòi bồi

Thông tin cá nhân chƣa đƣợc khách hàng cho

- Chi phí bồi

Stt Rủi ro Nguyên nhân Ảnh hƣởng Nguồn gây ra rủi ro thƣờng phép sử dụng hoặc đƣợc sử dụng sai mục đích khách hàng - Uy tín, hình ảnh 2 Thông tin hành khách bị khai thác, bị mất mát, phá hủy dữ liệu

Tin tặc tấn công vào hệ thống CNTT chứa dữ liệu hành khách để thu thập và phát tán, công khai dữ liệu thông tin hành khách

- Thông tin bị khai thác trái phép - Mất mát, bị phá hủy dữ liệu Hệ thống CNTT 3 Thông tin khách hàng bị sử dụng sai mục đích Thông tin bị lột lọt, thất thoát và bị sử dụng không đúng mục đích bởi bên thứ 3 (các hãng taxi, công ty bất động sản…) Lộ lọt, thất thoát thông tin

- Hệ thống Đại lý bán vé - Cán bộ, nhân viên

4 Thông tin bị sai lệch, hƣ hỏng

Lỗi phát sinh (do hệ thống, con ngƣời) trong quá trình thu thập, xử lý, lƣu trữ dữ liệu

Thiếu thông tin về khách hàng

- Con ngƣời - Hệ thống CNTT

(Nguồn: Kết quả tác giả tổng hợp)

a) Rủi ro bị khách hàng khởi kiện, đòi bồi thƣờng

Trong thời đại công nghệ số và mạng xã hội phổ biến rộng rãi nhƣ ngày nay thì việc bảo mật thông tin cá nhân khách hàng ngày càng đƣợc quan tâm và là vấn đề thời sự không chỉ ở Việt Nam mà còn tại nhiều nƣớc trên thế giới. Tại nƣớc ta đã ban hành một số quy định pháp luật để bảo vệ thông tin khách hàng nhƣ: Luật An toàn thông tin mạng ban hành năm 2015; Luật An ninh mạng ban hành năm 2018…nhằm bảo vệ quyền và lợi ích hợp pháp của cá nhân. Do đó các doanh nghiệp nói chung và Vietnam Airlines nói riêng cần có giải pháp tổng thể để quản lý cách thức thu thập thông tin cá nhân, cách thức chia sẻ và loại thông tin nào của

ngƣời dùng đƣợc sử dụng. Nếu vi phạm có thể đối mặt với những vụ kiện của khách hàng vì vị phạm thông tin cá nhân, có thể dẫn đến hậu quả tổn thất về tài chính khi phải bồi thƣờng cho họ, thậm chí ảnh hƣởng lâu dài đến uy tín và hình ảnh của doanh nghiệp.

Trên thực tế trong giai đoạn từ năm 2016 đến nay Vietnam Airlines rất ít khi vƣớng phải các vụ kiện của khách hàng liên quan đến thông tin cá nhân, một phần vì tâm lý e dè, ngại va chạm của khách hàng, mặt khác là việc quản lý thông tin hành khách của Vietnam Airlines đã đƣợc thực hiện tốt hơn, với việc đã nhận diện đƣợc danh sách các rủi ro chính về thông tin khách hàng.

Với đặc thù đang khai thác mạng đƣờng bay quốc tế rộng khắp các châu lục, Vietnam Airlines cũng đang phải đối mặt với những rủi ro tiềm ẩn rất lớn trong việc tuân thủ luật pháp và những quy định trong lĩnh vực hàng không dân dụng của nƣớc sở tại. Đặc biệt khi Liên minh Châu Âu (EU) ban hành Quy định chung về bảo mật thông tin (General Data Protection Regulation – GDPR), chính thức có hiệu lực từ ngày 25/05/2018 để bảo vệ thông tin riêng tƣ của ngƣời dùng khỏi hành vi sử dụng dữ liệu cá nhân trái phép của các công ty hoạt động trong khối EU. Điều luật GDPR không chỉ bảo vệ quyền lợi của cƣ dân Châu Âu nói riêng mà còn áp dụng cho bất kỳ ngƣời nào có sử dụng dịch vụ do một công ty đặt tại Châu Âu cung cấp. Về phía Vietnam Airlines phải tuân thủ nghiêm các điều luật đƣợc quy định cụ thể và rõ ràng của GDPR về cách thức thu thập thông tin cá nhân, địa điểm dữ liệu đƣợc chia sẻ và những loại thông tin nào đƣợc sử dụng vì nếu vi phạm sẽ có nguy cơ đối mặt với án phạt lên đến 20 triệu Euro (khoảng 550 tỷ đổng) hoặc 4% lợi nhuận toàn cầu hàng năm của hãng.

b) Rủi ro thông tin hành khách bị khai thác, bị mất mát, phá hủy dữ liệu

Thực trạng an toàn thông tin tại nƣớc ta trong những năm qua diễn biến rất phức tạp và khó lƣờng, với các cuộc tấn công mạng diễn ra trên quy mô lớn (chứ không tự phát, đơn lẻ) tại nhiều lĩnh vực trọng yếu và công trình quan trọng của quốc gia. Cùng với đó là tình trạng đáng lo ngại của việc lây nhiễm các mã độc

ngày càng tinh vi, phức tạp, nhất là những mã độc đa mục đích, đƣợc tin tặc sử dụng để mã hóa dữ liệu, ăn cắp dữ liệu và tống tiền. Điển hình có thể kể sự việc mã độc Wannacry đã tấn công và gây thiệt hại cho gần 250 doanh nghiệp Việt Nam vào