Thách thức và cơ hội cho CIO

Mất điện, bị tấn công khủng bố, gian lận tài chính, động đất, virus sinh học và virus máy tính chỉ là một số trong những thảm họa xảy ra cho các công ty và tổ chức khắp nơi trên thế giới trong những năm gần đây. Những hậu quả nặng nề và chi phí phục hồi cao đã khiến những khái niệm về quản lý rủi ro trở thành một vấn đề hàng đầu trong chương trình nghị sự của nhiều tổ chức. Điều này cũng đặt ra những thách thức và cơ hội cho các giám đốc công nghệ thông tin (Chief Information Officer – CIO).

Những kế hoạch ứng phó, máy chủ ở xa, ứng dụng bảo mật tinh vi, công nghệ cho nhân viên lưu động, hệ thống sao lưu dự phòng và hệ thống an ninh là những hoạt động cơ bản trong lĩnh vực quản lý rủi ro. Tuy nhiên, đối với một CIO, chỉ đơn thuần triển khai và quản lý những giải pháp này thì chưa đủ.

Ngày nay, người ta mong đợi các CIO đóng một vai trò bao quát hơn và mang tính chiến lược nhiều hơn trong các tổ chức. Họ phải tư vấn cho tổng giám đốc, các thành viên trong ban giám đốc và hội đồng quản trị về những vấn đề khác trong tổ chức. Họ phải am hiểu nhiều loại rủi ro khác nhau, như rủi ro trong những hoạt động công nghệ thông tin (CNTT), rủi ro trong việc triển khai và sử dụng công nghệ, rủi ro trong việc mở rộng tổ chức và rủi ro về chiến lược.

Trong thế kỷ 21 này, các CIO phải là những nhà lãnh đạo chứ không còn là những người thừa hành mệnh lệnh nữa. Họ phải đảm nhiệm nhiều công việc mang tính quản lý bao quát hơn chứ không chỉ bó rọ trong lĩnh vực CNTT. Họ phải khai thác sức mạnh của công nghệ để đạt đến một cấp độ cao hơn trong việc quản lý rủi ro, điều hành và vận dụng lợi thế cạnh tranh. Nói tóm lại, họ phải trở thành một CIO biết quản lý các thông tin về rủi ro.

Quản lý thông tin về rủi ro

Rủi ro thường được hiểu là điều không tốt, bất ngờ xảy ra. Tuy nhiên, trong quản trị kinh doanh, rủi ro là khả năng có thể xảy ra của một sự kiện nào đó tạo ra một hay nhiều tác động đối với việc thực hiện các mục tiêu của công ty. Tác động này có thể là xấu – mang lại thiệt hại cho doanh nghiệp – hoặc tốt – mang lại những cơ hội mới.

Từ “rủi ro” thường được gán cho một nghĩa xấu nên người ta thường chỉ tập trung vào việc nhận biết những yếu tố mang đến rủi ro (risk awareness). Thực ra, nếu biết khai thác tốt những thông tin về rủi ro, nhà quản trị có thể gặt hái được những thành quả tốt đẹp.

Một CIO biết quản lý tốt các thông tin về rủi ro là người phải tập trung sự chú ý và các nguồn lực vào ba lĩnh vực:

- Quản lý những rủi ro có tác động trực tiếp đến bộ phận CNTT.

- Ứng dụng công nghệ tại tất cả các bộ phận trong tổ chức để giúp các nhóm khác nhận biết và quản lý tốt những rủi ro của họ.

- Am hiểu những thông tin về rủi ro ở cấp độ doanh nghiệp.

Cách nắm bắt thông tin về rủi ro

Để quản lý tốt những thông tin về rủi ro, CIO phải là một nhà điều hành cấp cao trong tổ chức để có một quan điểm chiến lược tổng thể cho cả tổ chức. Họ cũng phải quan tâm đến các vấn đề liên quan đến kinh doanh và hoạt động chứ không phải chỉ quanh quẩn với các hệ thống CNTT để bảo đảm sự an toàn cho dữ liệu.

Dưới đây là bảy bước để trở thành một CIO biết quản lý tốt những thông tin về rủi ro:

1. Thực hiện các bước nhỏ. Hãy đánh giá tình trạng quản lý rủi ro trong bộ phận CNTT trước khi bạn mở rộng sự chú ý của mình đến toàn thể doanh nghiệp bằng những câu hỏi, như: Tiến trình quản lý rủi ro hiện tại tốn kém ở mức nào ? Nhân viên trong bộ phận có hài lòng với quy trình quản lý rủi ro đó không ? Ta có biết những dạng rủi ro của bộ phận không ? Những dạng đó có tương đồng với các dạng rủi ro của toàn tổ chức không ?

2. Thiết lập các ưu tiên dựa trên tác động. Cách thiết lập là tập trung trước hết vào những sáng kiến có thể đạt tới và có tác động mạnh nhất đến hoạt động của tổ chức. Phân tích những tác động đó. Việc phân tích này sẽ giúp bạn nhận biết những khu vực có tiềm năng tạo ra nhiều lợi ích nhất.

3. Tự động hóa việc kiểm soát. Việc tự động hóa và kết hợp các quy trình và các hệ thống không chỉ giúp bạn ngăn chặn các chi phí khác mà còn có thể thẩm tra một số lỗi do con người tạo ra.

4. Phân bổ và sắp xếp hồ sơ người sử dụng. Phát triển những hệ thống hồ sơ này sao cho bạn có thể định rõ và phân phối thông tin phù hợp với từng vai trò của người sử dụng. Việc tùy chỉnh cấp độ truy cập thông tin phù hợp với vai trò và trách nhiệm của từng nhân viên, và việc cho phép những người có quyền ra quyết định phân phối những thông tin liên quan một cách có hiệu quả sẽ giúp bạn kiểm soát thông tin tốt hơn.

5. Cải thiện việc quản lý thông tin. Khảo sát những chiến lược CNTT, những quy trình và công nghệ cần thiết để đáp ứng các nhu cầu thông tin của tổ chức. Khi đưa ra những công cụ, quy trình và cách kiểm soát mới để cải thiện chất lượng thông tin, bạn có thể gặp phải một vài sự chống đối từ người sử dụng. Để khắc phục tình trạng này, bạn có thể vận dụng những chiến thuật “mềm dẻo” như thu phục nhân tâm hoặc dùng các công cụ để giám sát chất lượng dữ liệu.

6. Điều chỉnh tài sản CNTT cho phù hợp với các nhu cầu quản lý rủi ro rộng hơn. Trên con đường trở thành một CIO quản lý thông tin rủi ro, bạn phải từ bỏ một phần xu hướng tập trung vào những rủi ro của bộ phận CNTT và mở rộng tầm nhìn đến nhu cầu tổng thể của tổ chức trong việc quản lý rủi ro. Kế tiếp, bạn phải làm việc với những người lãnh đạo của các bộ phận khác để đưa ra những phương cách mới, có hiệu quả nhất để đáp ứng những nhu cầu của họ.

7. Đơn giản hóa vấn đề. Một trong những hậu quả phụ của đạo luật Sarbanes-Oxley¹ là sự vội vàng triển khai những cách kiểm soát cũng như những quy trình mới và thường là không cần thiết. Nay đã đến lúc loại bỏ sự phức tạp và dư thừa bằng cách đơn giản hóa cách kiểm soát.

Nói chung, một CIO quản lý thông tin rủi ro phải điều khiển được công nghệ để đưa việc quản lý rủi ro vào những hoạt động hằng ngày của tổ chức. Điều này đòi hỏi CIO phải làm cho mọi nhân viên cảm thụ được những khái niệm chung về rủi ro, và phải đưa ra những thông số chung để đo lường rủi ro. Nó cũng có nghĩa là CIO phải cộng tác tích cực với giám đốc điều hành và các nhà lãnh đạo khác trong tổ chức.

Eddie Leschiutta
(Đăng Thiều lược dịch)

Eddie Leschiutta là thành viên quản lý của Deloitte & Touche – một trong bốn công ty kiểm toán lớn nhất thế giới – ở Canada, phụ trách lĩnh vực các rủi ro của doanh nghiệp.

¹ Sarbanes-Oxley là đạo luật tài chính Mỹ ban hành ngày 30-7-2002, do Thượng nghị sĩ Paul Sarbanes và Dân biểu Michael G. Oxley đề xuất. Đạo luật này ra đời nhằm nâng cao chất lượng và tính minh bạch của các báo cáo tài chính, tăng cường trách nhiệm của hội đồng quản trị, ban giám đốc và kiểm toán viên.