Quản trị công nghệ thông tin và bài toán quản trị rủi ro

Chương 1 1.1 Khái ni ệm Quản trị CNTT 1.1.1 Định nghĩa Việc sử dụng công nghệ thông tin trong việc hỗ trợ chuyên môn nghiệp vụ là một điều cấp bách cho tất cả các công ty hoạt động trê

B Ộ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

LU ẬN VĂN THẠC SĨ KHOA HỌC

NGÀNH: CÔNG NGHỆ THÔNG TIN

HỒ MẠNH TÀI

HÀ NỘI 2008

Lời nói đầu

Trong kỉ nguyên công nghệ thông tin ngày nay, sự thành công và phát triển bền vững của một doanh nghiệp hay tổ chức có mối quan hệ gắn kết chặt chẽ với việc sử dụng công nghệ thông tin như một công cụ hỗ trợ đắc lực Công nghệ thông tin với những điểm mạnh của mình thực sự là một công cụ giúp cho doanh nghiệp tối ưu hóa quy trinh nghiệp vụ của mình, trên cơ sở đó doanh nghiệp luôn duy trì sự phát triển bền vững đồng thời mở rộng hơn nữa những mục tiêu và lợi ích của mình Để công nghệ thông tin phát huy được trọn vẹn sức mạnh của mình thì một khung làm việc quản trị công nghệ thông tin là một yếu tố thiết yếu với mỗi doanh nghiệp Khung quản trị công nghệ thông tin này phải được tích hợp chặt chẽ vào khung làm việc chung của toàn

bộ doanh nghiệp để đảm bảo quy trinh quản trị công nghệ thông tin luôn song hành và hỗ trợ tốt nhất cho doanh nghiệp

Với mỗi một doanh nghiệp thì rủi ro là một yếu tố có tính chất tất yếu Mọi doanh nghiệp đều phải đối mặt với những rủi ro Bản thân rủi ro cũng là một yếu tố đa diện về nội tại Rủi ro có những tác động tiêu cực và những tác động tích cực tới toàn bộ doanh nghiệp Và như một nhu cầu có tính tất yếu

một quy trình quản lý rủi ro là một yếu tố tối thiết cho thành công của một doanh nghiệp Quy trình quản lý rủi ro sẽ giúp doanh nghiệp gia tăng những tác động tích cực và giảm nhẹ những hậu quả tiêu cực từ những rủi ro.Với vai trò như vậy rõ ràng quản lý rủi ro là một trong những nhiệm vụ hàng đầu của

quản trị công nghệ thông tin trong doanh nghiệp

Trong quá trình công tác tác giả nhận thấy việc thanh toán tín dụng điện

tử tại Việt Nam còn khá mới mẻ Các hình thức thanh toán tín dụng điện tử còn chưa phổ biến Những nguy cơ rủi ro trong lĩnh vực này còn tiểm ẩn rất

nhiều Dựa trên lý thuyết về quản lý rủi ro tác giả đi sâu nghiên cứu về thanh toán tín dụng điện tử và quản lý rủi ro trong lĩnh vực này

Chính vì những lý do như vậy, tác giả đã chọn cho mình đề tài tốt nghiệp:

"QUẢN TRỊ CÔNG NGHỆ THÔNG TIN VÀ BÀI TOÁN QUẢN LÝ RỦI RO"

Bố cục của Luận văn như sau:

Chương 1: Tổng quan về Quản trị Công nghệ thông tin

Chương này giới thiệu một số khái niệm về quản trị CNTT, mục đích và lợi ích của quản trị CNTT, giới thiệu mô hình tổng thể của quản trị CNTT và một số khung làm việc phổ biến Vai trò của quản lý rủi ro trong quản trị CNTT

Chương 2:Quản lý rủi ro trong Quản trị Công nghệ Thông tin

Chương này giới thiệu tổng quan về Quản lý rủi ro trong Quản trị Công nghệ Thông tin Đưa ra một tiến trình quản lý rủi ro chuẩn Phân tích tiến trình quản lý rủi ro đó

Chương 3: Quản lý rủi ro tín dụng

Chương giới thiệu về thực trạng tình hình thanh toán tín dụng tại Việt Nam Các giải pháp phát hiện gian lận trong Quản lý rủi ro tín dụng Giới thiệu chi tiết hai giải pháp sử dụng Máy phân lớp sử dụng Vector hỗ trợ và

Mạng Bayes Xây dựng đề xuất một mô hình quản lý rủi ro thanh toán tín

dụng dựa trên mô hình quản lý rủi ro chuẩn hoá trình bày trong chương 2

Chương 4: Xây dựng ứng dụng quản lý rủi ro tín dụng

Chương trình bày về chương trình xây dựng dựa trên giải pháp đưa ra đó

là dùng luật để phát hiện gian lận và quản lý rủi ro tín dụng Rules-based system

Lời cảm ơn

Nhân dịp này em xin bày tỏ lòng biết ơn đặc biệt đến thầy giáo PGS-TS

Hu ỳnh Quyết Thắng - Bộ môn Công nghệ Phần mềm - Khoa Công nghệ

Thông tin - Đại học Bách Khoa Hà Nội, người đã tạo mọi điều kiện, hướng dẫn và giúp đỡ em tận tình trong suốt thời gian làm luận văn tốt nghiệp cao

học khoá 2006-2008

Đồng thời, em xin gửi lời cảm ơn sâu sắc đến các Thầy, Cô trong Khoa Công nghệ Thông tin đã dạy dỗ, truyền thụ cho em những kiến thức thiết yếu trong quá trình học đại học và trong toàn bộ thời gian học cao học, giúp em đạt được kết quả hôm nay

Tôi cũng cảm ơn chân thành đến các anh chị và các bạn cùng lớp Cao

học CNTT Khoá 2006-2008 vì sự cộng tác và giúp đỡ trong suốt thời gian học

và trong quá trình làm luận văn này

Cuối cùng tôi xin gửi lời cảm ơn đến gia đình bạn bè đã động viên và giúp đỡ tôi trong suốt thời gian làm luận văn

Hà Nội tháng 10 năm 2008

Lời cam đoan

Tôi – Hồ Mạnh Tài - cam kết Luận văn tốt nghiệp là công trình nghiên

cứu của bản thân tôi dưới sự hướng dẫn của PGS-TS Huỳnh Quyết Thắng Các kết quả nêu trong Luận văn tốt nghiệp là trung thực, không phải là sao chép toàn văn của bất kỳ công trình nào khác

Hà N ội, tháng 10 năm 2008 Tác gi ả luận văn

H ồ Mạnh Tài

M ục lục

L ời nói đầu i

L ời cảm ơn iii

L ời cam đoan iv

M ục lục v

Danh m ục hình vẽ viii

Danh m ục bảng biểu x

Thu ật ngữ và Từ viết tắt xi

Chương 1 Tổng quan về Quản trị Công nghệ Thông tin 1

1.1 Khái niệm Quản trị CNTT 1

1.1.1 Định nghĩa 1

1.1.2 Những lĩnh vực trong quản trị CNTT 4

1.2 Mục đích và lợi ích của quản trị CNTT 7

1.2.1 Mục đích của quản trị CNTT 7

1.2.2 Những lợi ích từ quản trị CNTT 8

1.3 Mô hình tổng thể của quản trị CNTT và một số khung làm việc phổ biến 12

1.3.1 Các thành phần cơ bản cấu thành khung quản trị CNTT 12

1.3.2 Thiết lập cho khung làm việc quản trị CNTT 13

1.3.3 Những khung làm việc phổ dụng cho quản trị CNTT 15

1.3.4 Giới thiệu về khung làm việc Cobit 21

1.4 Vai trò của quản lý rủi ro trong quản trị công nghệ thông tin 27

1.5 Kết chương 29

Chương 2 Quản lý rủi ro trong Quản trị Công nghệ Thông tin 30

2.1 Tổng quan về quản lý rủi ro 30

2.1.1 Định nghĩa rủi ro 30

2.1.2 Quản lý rủi ro 31

2.2 Tiến trình quản lý rủi ro chuẩn 37

2.2.1 Thiết lập ngữ cảnh 44

2.2.2 Nhận biết rủi ro 49

2.2.3 Phân tích rủi ro 54

2.2.4 Ước lượng, định giá rủi ro 62

2.2.5 Đối phó với những rủi ro 63

2.2.6 Giám sát và xem xét đánh giá 67

2.3 Kết chương: 68

Chương 3 Quản lý rủi ro tín dụng 69

3.1 Thực trạng của hoạt động thanh toán tín dụng tại Việt Nam 69

3.1.1 Lượng tiền mặt lưu thông còn cao 69

3.1.2 Số tài khoản cá nhân ngày càng tăng 71

3.1.3 Mở rộng đối tượng tham gia cung ứng dịch vụ thanh toán 72

3.1.4 Sự phát triển của thị trường thanh toán thẻ 73

3.1.5 Liên minh thẻ ngân hàng 74

3.2 Các giải pháp phát hiện gian lận trong quản lý rủi ro tín dụng 77

3.2.1 Các loại gian lận trong giao dịch tín dụng 77

3.2.2 Một số vấn đề đối với việc phát hiện giao dịch gian lận: 78

3.2.3 Các phương pháp phát hiện giao dịch gian lận 79

3.2.4 Máy phân lớp sử dụng Vector hỗ trợ 84

3.2.5 Mạng Bayes 93

3.2.6 So sánh hai phương pháp SVM và BBN 98

3.3 Quy trình quản lý rủi ro thanh toán tín dụng 99

3.3.1 Quy trình thanh toán tín dụng 99

3.3.2 Quy trình quản lý rủi ro thanh toán tín dụng 103

3.4 Kết chương 105

Chương 4 Xây dựng ứng dụng quản lý rủi ro tín dụng 106

4.1 Kiến trúc phần mềm RISK IDS 106

4.2 Cơ sở dữ liệu 110

4.3 Chương trình ứng dụng 112

4.4 Kết chương 114

K ết luận 115

Tài li ệu tham khảo 118

Danh m ục hình vẽ

Hình 1.1 Những lĩnh vực chính trong quản trị công nghệ thông tin 4

Hình 1.2 Khung làm việc Cobit tổng quan 21

Hình 1.3 Những thành phần của khung làm việc Cobit trong mối tác động tương hỗ 21

Hình 1.4 Sự chuyển hóa từ những mục tiêu thành những tiến trình thực thi có tính chất dẫn hướng 25

Hình 2.1 Rủi ro được phân loại theo nguồn gốc và lĩnh vực liên quan 33

Hình 2.2 Tiến trình quản lý rủi ro 38

Hình 2.3 Quy trình quản lý rủi ro 39

Hình 2.4 Doanh nghiệp và những nhân tố tác động lên doanh nghiệp 43

Hình 2.5 Minh họa cấp độ rủi ro sử dụng biểu đồ 59

Hình 3.1 Tỷ trọng tiền mặt so với tổng phương tiện thanh toán 70

Hình 3.2 Số lượng tài khoản cá nhân giai đoạn 2000-2007 72

Hình 3.3 Lượng giao dịch/ngày thông qua hệ thống chuyển mạch Banknetvn 76

Hình 3.3.4 Mạng Nơron nhân tạo điển hình 80

Hình 3.3.5 Phân chia tuyến tính dữ liệu 81

Hình 3.3.6 Phân bố tần số của dữ liệu theo ROS 82

Hình 3.3.7 Ví dụ về mạng BBN 83

Hình 3.8: Phân lớp bằng siêu phẳng 85

Hình 3.9: Perceptron 85

Hình 3.10: Lề của siêu phẳng phân lớp 90

Hình 3.11: Một mạng Bayes đơn giản 95

Hình 3.12: Quy trình mua hàng 101

Hình 3.13: Quy trình than toán 102

Hình 3.14: Quy trình quản lý rủi ro thanh toán tín dụng 103

Hình 4.1 Kiến trúc phần mềm Risk IDS 107

Hình 4.2 Sơ đồ quan hệ cơ sở dữ liệu 111

Hình 4.3 Tài khoản khách hàng 112

Hình 4.4 Tài khoản tín dụng và các giao dịch 113

Hình 4.5 Xây dựng luật phát hiện các giao dịch gian lận 114

Danh m ục bảng biểu

Bảng 1.1 Những khung làm việc phổ biến trong quản trị CNTT 15

Bảng 1.2 Bảng Ánh xạ giữa những tính năng của khung làm việc Cobit với những lĩnh vực ứng dụng trong quản trị công nghệ thông tin 24

Bảng 2.1 Tiêu chuẩn rủi ro 48

Bảng 2.2 Phân tích Swot 53

Bảng 2.3 Cấp độ rủi ro 57

Bảng 3.1 Một vài số liệu thống kê 74

Thuật ngữ và Từ viết tắt

Vi ết tắt Ti ếng Anh Ti ếng Việt

BBN Beyesian Belief Network Mạng Beyes

CRM Credit Risk Management Quản lý rủi ro tín dụng

FSA Financial Service Authority

ITG Information Technology

Governance

Quản trị Công nghệ thông tin

SVM Support Vector Machines Máy phân lớp sử dụng véctơ hỗ

trợ

Stakeholders : Toàn bộ những người tham gia trực tiếp hay gián tiếp trong quy trình nghiệp vụ của doanh nghiệp và tổ chức

Chương 1

1.1 Khái ni ệm Quản trị CNTT

1.1.1 Định nghĩa

Việc sử dụng công nghệ thông tin trong việc hỗ trợ chuyên môn nghiệp

vụ là một điều cấp bách cho tất cả các công ty hoạt động trên tất cả các lĩnh vực và thực sự ứng dụng CNTT trong doanh nghiệp đóng vai trò là một động

cơ thúc đẩy mạnh mẽ giúp cải thiện hoạt động nghiệp vụ của doanh nghiệp trên nhiều phương diện như truyền thông (truyền thông nội bộ và truyền thông với đối tác nhằm tăng hiệu quả thương mại) cũng như nâng cao hiệu quả và lợi ích nói chung mà doanh nghiệp thu đựoc Để đảm bảo sao cho sự đầu tư cho CNTT đạt được hiệu quả cao nhất thì CNTT phải song hành với chiến lược và định hướng trong kinh doanh, các rủi ro chính yếu phải đươc phát hiện và điều khiển,điều tiết Tính đúng đắn của sự kết hợp đó đã được

Nh ững nội dung chính của chương:

• Khái niệm quản trị công nghệ thông tin

• Mục đích và lợi ích của quản trị công nghệ thông tin

• Những thành phần cơ bản,phương pháp thiết lập quản trị

công nghệ thông tin và một số khung làm việc phổ biến để

áp dụng quản trị công nghệ thông tin

• Vai trò của bài toán quản lý rủi ro trong quản trị công nghệ

thông tin

quyết bài toán về hiệu quả áp dụng CNTT với mục đích hỗ trợ hoạt động của doanh nghiệp một cách tốt nhất Quản trị CNTT thực sự đang thể hiện rõ nhất vai trò và vị trí quan trọng của nó một cách thuyết phục và điều đó đồng nghĩa với sự quan tâm và đầu tư của doanh nghiệp và tổ chức cho quản trị công nghệ thông tin với mục đích sao cho CNTT hỗ trợ doanh nghiệp tốt nhất thực

sự trở thành một khuynh hướng tất yếu

Quản trị công nghệ thông tin (Information Technology Governance) là một tập hợp những nguyên tắc của quản trị kết hợp (Corporate Governance) trong đó hướng sự tập trung vào vai trò trợ giúp của hệ thống CNTT, hiệu năng hoạt động của hệ thống cũng như quản lý rủi ro Sự quan tâm được dành cho quản trị CNTT ngày một tăng liên quan tới sự nhận thức rõ ràng của những tổ chức và doanh nghiệp về tầm quan trọng cũng như về những lợi ích thiết thực thu nhận được từ việc sử dụng CNTT hỗ trợ hiệu quả cho toàn bộ hoạt động của doanh nghiệp

Một quan điểm chung trong những cuộc thảo luận về CNTT đó là CNTT không được là một chiếc hộp đen Phương thức truyền thống trong quản trị CNTT là trách nhiệm chỉ thuộc về những chuyên gia CNTT, những người có kinh nghiệm và kiến thức về kĩ thuật và công nghệ trong CNTT Quản trị công nghệ thông tin đưa vào một mô hình mới trong đó toàn bộ stakeholders

gồm ban quản trị, khách hàng và những bên liên quan như bộ phận tài chính đều có một sự đóng góp nhất định trong đầu vào của tiến trình ra quyết định Một tác dụng của mô hình này là khi một quyết định đựoc đưa ra không được tốt thì không một stakeholder nào (như là bộ phận CNTT) phải chịu toàn bộ trách nhiệm Hướng tiếp cận này còn giúp cho người sử dụng không than phiền khi không hài lòng về những hoạt động của hệ thống so với những kì vọng của họ vì bản thân họ tham gia hoạch định những chiến lược và phương

Một ban quản trị phải nắm bắt được cấu trúc tổng thể của những ứng

dụng CNTT trong công ty của mình Ban quản trị phải nắm bắt được sự quản

lý và những nguồn thông tin cũng như vai trò của chúng trong việc tạo ra giá trị Có nhiều định nghĩa được đưa ra dành cho quản trị công nghệ thông tin Trong đó mỗi định nghĩa nhấn mạnh và tiếp cận ở một khía cạnh Weill và Ross tập trung vào khía cạnh “ Đưa ra những quyết định đúng đắn và

khung làm vi ệc để đảm bảo những hành vi mong muốn trong việc sử dụng CNTT” Với một hướng tiếp cận độc lập từ Viện Quản Trị Công Nghê Thông Tin (IT Governance Institute) mở rộng định nghĩa để bao hàm những cơ cấu

có tính chất nền tảng “những cấu trúc tổ chức và quản lý cũng như những

ti ến trình nhằm đảm bảo bộ phận CNTT của tổ chức giữ vững và mở rộng được chiến lược,mục đích và lợi ích thu được của tổ chức” Quy luật của

quản trị công nghệ thông tin kết hợp từ sự quản trị kết hợp và giải quyết mối quan hệ giữa sự tập trung cho nghiệp vụ và quản lý công nghệ thông tin trong

một tổ chức Quản trị công nghệ thông tin nhấn mạnh vào sự quan trọng của những giải pháp tối ưu hóa hoạt động của doanh nghiệp liên quan tới công nghệ thông tin và gợi mở một hướng tiếp cận trong đó những quyết định của công nghệ thông tin phải được thông qua một ban quản lý kết hợp hơn là đơn thuần chỉ có giám đốc quản lý công nghệ thông tin của tổ chức hay những nhà

quản lý công nghệ thông tin thuần túy đảm trách

Tất cả những bản phân tích hiện nay đều thống nhất ở một điểm là rủi ro

lớn nhất và liên quan tới những kĩ năng quản lý hàng đầu hiện nay đều tập trung vào việc hòa hợp công nghệ thông tin với những yêu cầu thực tế trong nghiệp vụ của tổ chức Vì công nghệ thông tin có thể có một ảnh hưởng cực

kì lớn tới tính hiệu quả và tính cạnh tranh trong kinh doanh vì vậy sự thất bại trong việc quản trị công nghệ thông tin hiệu quả có khả năng gây ra một ảnh

chức Quản lý tổng hợp đang ngày càng chiếm một vị thế quan trọng hơn Rõ ràng công nghệ thông tin đóng một vai trò chủ chốt trong cải thiện thực tiễn quản trị tổng hợp vì những tiến trình kinh doanh chủ chốt thường được tự động hóa và việc định hướng ra quyết định thường dựa vào thông tin được cung cấp bởi các hệ thống công nghệ thông tin trợ giúp Với sự tăng cường trong liên kết trực tiếp giữa các doanh nghiệp, các tổ chức với những nhà cung cấp cũng như các khách hàng và ngày càng tập trung vào việc làm sao

để công nghệ thông tin được sử dụng một cách hiệu quả và mang lại những lợi ích thiết thực cho chiến lược kinh doanh của tổ chức, nhu cầu quản lý hữu

hiệu các nguồn tài nguyên công nghệ thông tin, tránh được tình trạng hiệu năng thấp, tất cả những nhu cầu đó thực sự là hết sức cấp bách

Ngu ồn : http://www.CNTTgovernance.co.uk

Nh ững thuật ngữ được sử dụng trong hình vẽ trên :

• Strategic Alignment : S ự căn chỉnh ,điều tiết

• Value Delivery : Sự thực thi những lợi ích

• Risk Management : Quản lý rủi ro

• Resources Management : Qu ản lý nguồn lực

• Performance Management : Qu ản lý hiệu năng

• IT Governance Domains : Những lĩnh vực của quản trị công nghệ thông tin

• S ự căn chỉnh và hòa hợp

Lĩnh vực chuyên sâu này tập trung vào việc đảm bảo sự kết nối của những kế hoạch CNTT và những kế hoạch kinh doanh Những công việc trong quá trình căn chỉnh giữa nghiệp vụ của tổ chức và những kế hoạch CNTT có mục đích xác định, duy trì những lợi ích CNTT đem về cho tổ chức và thực hiện song hành đồng bộ những hoạt động CNTT và những hoạt động kinh doanh và nghiệp vụ của tổ chức, cung cấp định hướng chiến lược cho tổ chức

cốt yếu của CNTT Đảm bảo có một cơ cấu tổ chức sao cho sự phối kết

hợp giữa công nghệ thông tin và chuyên môn nghiệp vụ giúp thu được lợi ích lớn nhất trong hoạt động kinh doanh

• Qu ản lý nguồn lực :

Đó là việc tối ưu hóa đầu tư cho nguồn lực và quản lý những nguồn lực quan trọng của doanh nghiệp như thông tin, những ứng dụng, những nền tảng và nguồn nhân lực(đây là nguồn lực đóng vai trò quan trọng nhất)

Những vấn đề được coi như then chốt chính là sự tối ưu hóa trong sử dụng

nền tảng tri thức sẵn có trong doanh nghiệp và tổ chức Đặc biệt quan tâm tới tới việc cung cấp một định hướng ở cấp độ cao trong việc xây dựng và

sử dụng nguồn nhân lực Phải đảm bảo chắc chắn rằng nền tảng và khả năng của hệ thống CNTT đủ mạnh cho việc hỗ trợ những yêu cầu về kinh doanh được kì vọng cho hiện tại và tương lai

• Qu ản lý rủi ro :

Yêu cầu sự nhận thức về rủi ro của những nhân viên có thâm niên trong tổ chức, sự nhận biết rõ ràng về thực trạng những rủi ro trong tổ chưc, nắm bắt được những yêu cầu phải thực thi để đối phó hiệu quả với những rủi ro, sự minh bạch của những rủi ro quan trọng đối với tổ chức và

những trách nhiệm về quản lý rủi ro được tích hợp vào trong hệ thống

• Qu ản lý hiệu năng :

Theo dõi và giám sát việc thực thi những chiến lược, sự hoàn thành của những dự án, việc sử dụng nguồn lực, đảm bảo triển khai và thực hiện được hiệu năng và dịch vụ, một minh họa đó là việc sử dụng những miếng bìa ghi chú nhiệm vụ (Score Cards) với mục đích chuyển tải những chiến lược thành những nhiệm vụ cụ thể và chi tiết hóa để làm cho những mục

1.2 M ục đích và lợi ích của quản trị CNTT

1.2.1 Mục đích của quản trị CNTT

Quản trị công nghệ thông tin thực sự có những lợi ích hết sức thiết thực

và thuyết phục đối với những doanh nghiệp và tổ chức Thực tế này được minh chứng hết sức rõ ràng đặc biệt là trong những năm gần đây Việc sử

dụng một khung làm việc quản trị công nghệ thông tin ổn định trong hệ thống giúp cho doanh nghiệp và tổ chức luôn nắm bắt được những rủi ro tiềm năng khi có những biến động có khả năng ảnh hưởng tới tổ chức từ môi trường bên ngoài cũng như trong nội bộ của doanh nghiệp hay tổ chức đó

• Biết cách cải thiện những tiến trình quản lý trong công nghệ thông tin

để quản lý được những rủi ro trong quá trình hoạt động của doanh nghiệp Ý tuởng và phương pháp luận chính yếu trong quản trị công nghệ thông tin là kết hợp sự giữa nhận định và tri thức từ đồng thời khía cạnh nghiệp vụ và khía cạnh công nghệ thông tin Để có được sự kết hợp hiệu quả này công nghệ thông tin phải có được nhận định sát thực hơn và đưa ra được những giải pháp trợ giúp thực sư hiệu quả

Bản chất của quá trình chính là cải tiến những quy trình quản lý với sự ứng dụng và hỗ trợ hiệu quả từ công nghệ thông tin

• Đảm bảo quản lý được các mối quan hệ với các nhà cung cấp và các khách hàng trong hoạt động kinh doanh là một bài toán dành cho mọi doanh nghiệp và tổ chức Một điểm cốt yếu cho thành công trong hoạt động của tổ chức là đảm bảo một sự truyền thông tốt trong nội bộ cũng như đối với môi trường tác nghiệp Trong mối quan hệ tổng hòa với môi trường đó chính là những mối quan hệ giữa doanh nghiệp và tổ

cấp Quản trị công nghệ thông tin giúp đảm bảo có sự truyền thông dễ dàng và minh bạch giữa hoạt động công nghệ thông tin với những tiến trình quản lý nhằm thoả mãn ban lãnh đao và toàn bộ stakeholders về khía cạnh lợi ích thu được cũng như tầm nhìn chiến lược dài lâu

• Quản trị công nghệ thông tin là một lĩnh vực rộng lớn và bao trùm rất nhiều khía cạnh và bản thân quản trị thông tin có một cơ chế mở từ văn hoá, tổ chức, chính sách cho đến thực tiễn Điều này có nghĩa là quản

trị công nghệ thông tin có khả năng thay đổi linh hoạt để đáp ứng được

những thay đổi tới từ những nhân tố bên trong hay những tác động bên ngoài Quản trị công nghệ thông tin là một lĩnh vực chuyên sâu trong một lĩnh vực lớn hơn là quản trị tổng hợp (Corporate Governance) với

những đặc trưng và mục tiêu chuyên biệt tập trung vào công nghệ thông tin nhằm phát huy tối đa thế mạnh của công nghệ thông tin Lợi ích của việc quản lý rủi ro, sự giám sát và thông tin rõ ràng trong quản trị công nghệ thông tin không chỉ giúp giảm giá thành và hạ thấp những nguy cơ từ các sự cố mà còn mang đến sự tin cậy lớn hơn ( sự tin cậy

lớn hơn có được do những cơ chế và quy trình trong quản trị công nghệ thông tin đã đảm bảo khả năng đối ứng hết sức linh hoạt và hiệu quả của hệ thống

1.2.2 Những lợi ích từ quản trị CNTT

Trên cơ sở những mục đích được hướng tới như một kim chỉ nam trong quá trình thực thi quản trị công nghệ thông tin trong tổ chức và doanh nghiệp

đã được đề cập ỏ trên những lợi ích thu nhận được dễ dàng nhận thấy là:

• Cải thiện theo hướng hạ thấp những chi phí được dành cho công nghệ thông tin, các tiến trình công nghệ thông tin, những danh mục đầu tư dành cho công nghệ thông tin (các dự án và các dịch vụ…) Để làm

được điều này nhiệm vụ của quản trị công nghệ thông tin là tối ưu hóa quy trình hoạt động của doanh nghiệp và tổ chức Điều này đồng nghĩa với sự giảm chi phí dành cho những tiến trình nghiệp vụ cũng như chi phí cho hoạt động của bộ phận công nghệ thông tin nói riêng trong lúc vẫn giữ nguyên và tăng cường những lợi ích thu nhận được

• Giải trình về trách nhiệm ra quyết định một cách rõ ràng và định nghĩa mối quan hệ với nhà cung cấp và khách hàng Trong một khung làm

việc công nghệ thông tin thì những tiến trình công việc(ti ến trình nghi ệp vụ) được coi như những lu ồng công việc Trong một luồng công việc xác định những nhiệm vụ đã được chi tiết hóa Với mỗi một công việc thì những thông tin về cá nhân(hay tập thể) chịu trách nhiệm cũng như hướng dẫn thực hiện nghiệp vụ, đầu vào hợp lệ và đầu ra mong muốn đều được xác định Chính điều này đóng vai trò như một

sự dẫn hướng rất tốt cho hoạt động nghiệp vụ nhằm đảm bảo sự hiệu quả Điều này giúp cho những nhiệm vụ được phân công một cách minh bạch và rõ ràng Một quy trình công việc rõ ràng nhưng linh động (do hệ thống có cơ chế mở) chính là một lợi ích nổi bật trong việc áp

dụng quản trị công nghệ thông tin cho hoạt động của doanh nghiệp và

tổ chức

• Kết quả đạt được từ hoạt động đầu tư chính là những lợi ích của các stakeholders Trên cơ sở sự tối ưu và minh bạch hóa trong quy trinh hoạt động của tổ chức thì mục đích cuối cùng là tăng lợi ích thu được của những stakeholders Sự tăng trưởng đáng kì vọng này đạt được thông qua:

Giảm chi phí của hoạt động nghiệp vụ dựa trên sự tối ưu hóa trong vận hành của hệ thống công nghệ thông tin và hoạt động của toàn

tổ chức nói chung Tối ưu hoấ quy trình hoạt động đồng nghĩa với giảm thiểu chi phí dành cho những hoạt động do vậy tỷ số giữa lợi ích thu được và những chi phí phải bỏ ra sẽ là cao nhất

Những stakeholders được phép biết thông tin về các rủi ro và cùng nhau xem xét góp ý đưa ra một giải pháp hiệu quả nhất Những

rủi ro được truyền thông sâu rộng trong tổ chức giúp cho tổ chức luôn

chủ động và có những phương sách đối ứng hiệu quả và chủ động với những rủi ro trong quá trình vận hành và hoạt động của mình

• Định hướng để nhận diện những cơ hội còn chưa nhận được quan tâm thích đáng và trách nhiệm của người chịu trách nhiệm chính Cải thiện

và bảo vệ danh tiếng cũng như hình ảnh của tổ chức Trong quá trình

hoạt động của mình quản trị công nghệ thông tin giúp cho tổ chức nhận

biết và quản lý rủi ro hiệu quả Quản lý rủi ro là một trong những lĩnh

vực chuyên sâu thu được nhiều sự quan tâm nhất từ phía những nhà công nghệ thông tin trong quá trình khai phá lĩnh vực quản trị công nghệ thông tin Quản lý rủi ro giúp cho doanh nghiệp dự báo, đối phó

với những rủi ro, chính những tác dụng này giúp cho tổ chức tránh khỏi hay hạn chế tới mức tối thiểu những thiệt hại đáng tiếc

• Cơ hội và sự cộng tác Quản trị công nghệ thông tin giúp cho nền tảng truyền thông trong nội bộ cũng như đối với khách hàng và nhà cung

cấp của doanh nghiệp có những cải thiện đáng kể Điều đó giúp cho cơ hội và sự cộng tác của doanh nghiệp và tổ chức tăng lên về chất cũng như về lượng Giảm nhẹ sự mạo hiểm trong mối liên kết với các công

ty khác Tạo điều kiện thuận lợi cho các mối quan hệ mang tính chất kinh doanh tác nghiệp với các đối tác công nghệ thông tin (nhà cung cấp hay nhà phân phối)

• Quản lý rủi ro được thường trực trong hoạt động và được tích hợp vào trong khung làm việc của tổ chức Quản lý rủi ro được chú trọng và thường trực trong tổ chức giúp cho những tác hại của rủi ro được hạn

chế tới mức ảnh hưởng tối thiểu và tăng cường những tác động có tính

chất tích cực của rủi ro Cơ chế đối phó và xử lý với rủi ro luôn hết sức linh hoạt (với nhiều sự lựa chọn như tránh rủi ro,chuyển rủi ro hay giảm nhẹ rủi ro) giúp cho tổ chức đối phó với rủi ro hiệu quả

• Cho phép công nghệ thông tin tham gia vào các chiến lược kinh doanh của tổ chức Điều này có được do sự căn chỉnh giữa những chiến lược

và những hoạch định của CNTT sao cho CNTT hỗ trợ tốt nhất cho doanh nghiệp trong việc duy trì và mở rộng những giá trị thu được Chính sự căn chỉnh hợp lý trong chiến lược hoạt động nghiệp vụ và chiến lược công nghệ thông tin giúp cho tổ chức có được một đường lối phát triển đúng đắn trong đó công nghệ thông tin hỗ trợ tốt nhất cho

hiệu quả kinh doanh của doanh nghiệp và tổ chức

• Quản trị công nghệ thông tin giúp cải thiện khả năng đáp ứng đối phó nhanh với những tình huống, sẵn sàng đón nhận sự thay đổi cũng như

những vận hội Đó chính là tác dụng có được thông qua chiến lược quản lý sự thay đổi trong quản trị công nghệ thông tin Quản lý sự thay đổi là một lĩnh vực hẹp trong quản trị công nghệ thông tin Quản trị sự thay đổi có mục đích giúp cho những tổ chức và doanh nghiệp luôn chủ động Quy trình hoạt động quản lý thay đổi giúp cho tổ chức và doanh nghiệp giảm thiểu tối đa ảnh hưởng của những thay đổi có tính chất tiêu cực và tăng cướng ảnh hưởng của những thay đổi mang tính chất tích cực Bên cạnh đó những chiến lược trong quá trình xử lý và đối

phó với những thay đổi cũng mang tới cho tổ chức một vị thế hết sức

chủ động trong đối phó với những thay đổi

• Quản trị công nghệ thông tin giúp cải thiện hiệu năng của tổ chức thông qua một loạt cơ chế

Nhận định xem một dịch vụ hay một dự án công nghệ thông tin chỉ hỗ trợ cho những nhu cầu mang tính chất hiện thời của công ty hay phải đáp ứng những mục đích trong tương lai Sự nhận định này giúp cho những dự án công nghệ thông tin đi đúng hướng

Sự tăng cường tính minh bạch làm tăng hiệu suất trong thực thi

Tránh những phí tổn không cần thiết: những phí tổn phải khớp

và thực sự cần thiết với những mục tiêu kinh doanh và nghiệp vụ cần đạt được

• Tăng cường khả năng đạt chuẩn Bản thân quản lý công nghệ thông tin

sẽ đưa ra một quy trình hoạt động có tính chất chuẩn hóa Đó là một khung làm việc với những luồng công việc được chi tiết hóa giúp cho

khả năng chuẩn hóa là rất cao

• Cho phép một hướng tiếp cận giúp cho doanh nghiệp và tổ chức đáp ứng được tính hợp pháp và sự điều tiết của môi trường thông qua sự linh động trong quản trị công nghệ thông tin

1.3 Mô hình t ổng thể của quản trị CNTT và một số khung làm việc phổ

bi ến

1.3.1 Các thành phần cơ bản cấu thành khung quản trị CNTT

Để quản trị công nghệ thông tin cho một tổ chức hay một doanh nghiệp thì điều đầu tiên là phải thiết lập được một khung quản trị công nghệ thông tin

ết lập được thực hiện thông qua một số bước sau:

• Các cấu trúc quản trị: Những cấu trúc quản trị là một khái niệm tổng hợp Để thiết lập được một cấu trúc quản trị ta phải xác định được

những vị trí quản trị và nắm được mối quan hệ tác động qua lại giữa

những vị trí quản trị này

• Các quy trình quản trị: Trong một khung làm việc thì những quy trình luôn hết sức quan trọng Xác lập quy trình trong một khung làm việc quản trị công nghệ thông tin của một tổ chức không hề đơn giản Vì để quy trình hoạt động được hiệu quả thì quy trình phải tương hợp với quy trình nghiệp vụ chung của doanh nghiệp và tổ chức

• Các liên lạc quản trị: Sự liên lạc trong tổ chức đóng vai trò thiết yếu trong việc đảm bảo một môi trường truyền thông dễ dàng và hiệu qủa

vốn là thế mạnh của quản trị công nghệ thông tin Về phương diện công nghệ những liên lạc trong khung quản trị công nghệ thông tin thường đựơc tạo ra dưới dạng một cổng giao dịch điện tử (portal) Cổng giao dịch điện tử này sẽ là đầu não tập trung lưu trữ và xử lý thông tin cho toàn bộ hoạt động quản trị công nghệ thông tin trong tổ chức và doanh nghiệp

1.3.2 Thiết lập cho khung làm việc quản trị CNTT

1.Kh ảo sát hệ thống

Để xây dựng được một khung làm việc hiệu quả cho quản trị công nghệ thông tin thì một điều hết sức quan trọng là phải khảo sát và thiết lập một môi trường có đầy đủ những điều kiện trên đó sẽ triển khai khung làm việc quản

trị công nghệ thông tin

Khảo sát cấu trúc : Trả lời cho những câu hỏi như cấu trúc tổ chức của tổ chức được khảo sát để ứng dụng quản trị công nghệ thông tin là gì? Những vị

Khảo sát quy trình hoạt động : Dựa trên quy trình nghiệp vụ của tổ chức hay doanh nghiệp Một điểm lưu ý ở đây là bên cạnh quy trình nghiệp vụ còn phải chú ý tới những thủ tục, những lệ trong tổ chức vì chúng có ảnh hưởng tới những tiến trình công việc về sau trong quá trình hoàn thiện khung làm việc

Khảo sát sự truyền thông: Một trong những lợi ích lớn nhất của quản trị công nghệ thông tin cải thiện khả năng truyền thông của tổ chức (trên phương

diện nội bộ cũng như trong quan hệ truyền thông với những đối tác bên ngoài)

2 Xác định vị trí của tổ chức trong mối quan hệ tổng hòa với môi trường xung quanh

Một doanh nghiệp hay một tổ chức luôn nằm trong một môi trường vận hành và tương tác Quy trình của doanh nghiệp hay tổ chức do vậy cũng phụ thuộc vào môi trường Việc xác định vị trí và những mối quan hệ tương hỗ

của tổ chức trong môi trường vì vậy hết sức quan trọng

3.K ế hoach hành động cho quản trị CNTT

Quy trình quản lý công nghệ thông tin là một quy trình với khởi đầu là xác định những mục tiêu phải đạt được Trên cơ sở đó đưa ra những kế hoạch hành động để hiện thực hóa những mục tiêu đặt ra Một kế hoạch hành động tốt giữ vai trò hết sức quan trọng trong thành công của một tổ chức nói chung cũng như của hoạt động quản trị công nghệ thông tin nói riêng Một số dẫn hướng quan trọng được tổng kết thông qua quá trình thực thi là:

• Xác lập một khung tổ chức

• Căn chỉnh chiến lược và kế hoạch quản trị công nghệ thông tin sao cho những kế hoạch hành động thực sự hữu ích với tiến trình quản trị công nghệ thông tin

• Hiểu và nhận thức đầy đủ về những rủi ro

• Xác định những phạm vi

• Đo lường những kết quả thu nhận được

• Phát triển những chiến lược đổi mới

• Phân đích thực trạng và khắc phục những khuyết thiếu

1.3.3 Những khung làm việc phổ dụng cho quản trị CNTT

Tuy có thời gian phát triển chưa lâu song quản trị công nghệ thông tin đặc biệt thu hút sự quan tâm của cộng đồng phát triển công nghệ thông tin vì

vậy có khá nhiều những khung làm việc phổ dụng cho quản trị công nghệ thông tin Sau đây sẽ trình bày một số nét khái quát của những khung làm việc tiêu biểu trong số những khung quản trị công nghệ thông tin phổ dụng

hiện hành:

Bảng 1.1 Những khung làm việc phổ biến trong quản trị CNTT

TickIT IT Service CMM IT Balanced Scorecard

ISO 27001 Six Sigma AS 8015-2005

ISO/IEC 20000 eSCM-SP v2 CobiT

M_o_R GFIM BiSL

Cobit là một khung làm việc điều khiển những mục tiêu về thông tin và

những công nghệ có liên quan Cobit được đánh giá là một khung làm việc hội tụ từ những thực tiễn tốt nhất với một tập hợp những phương thức, những phương tiện chỉ báo, và những tiến trình được chấp nhận một cách rộng rãi Chính những yếu tố này giúp cho những nhà quản lý, những kiểm toán viên

và những người sử dụng công nghệ thông tin tối ưu hóa lợi ích thu được từ

việc sử dụng công nghệ thông tin và phát triển quản trị công nghệ thông tin và những điều khiển một một cách hợp lý trong một tổ chức

M_o_R (Management of risk)

M_o_R một phương pháp luận đảm bảo điều khiển hiệu quả rủi ro Ban đầu M_o_R được phát triển bởi cơ quan quản lý bộ thương mại Anh (OGC) Trên bình diện quốc tế khung làm việc này được sử dụng trên đồng thời những lĩnh vực công và tư M_o_R có khả năng được sử dụng bởi những tổ chức ở đủ mọi quy mô để nhận biết, quản lý, giảm nhẹ và loại trừ rủi ro M_o_R được phát hành và tiếp cận tới cộng đồng những nhà phát triển công nghệ thông tin thông qua một tài liệu được xuất bản đại trà với nội dung trình bày về những thực tiễn tốt nhất được đúc rút từ quá trình quản lý công nghệ thông tin Một phiên bản với những cập nhật mới nhất của phương pháp luận M_o_R được hoàn thiện vào tháng ba năm 2007 Phiên bản mới của phương pháp luận này đã tạo được điểm nhấn trong một số lĩnh vực như quản trị kết hợp hay những điều khiển nội bộ Bên cạnh đó những tiến trình trong M_o_R được cập nhật và mở rộng để những ngyên lý về phương pháp luận trong M_o_R phản ánh được những yêu cầu của quản trị kết hợp và điều khiển nội

bộ

Calder Moir

Đây là một siêu khung làm việc vì khung làm việc này kết hợp tất cả

một tổ chức tối ưu hóa những lợi ích thu được từ việc sử dụng khung làm việc này

TickIT

Đây là một khung làm việc mang tính chuyên sâu được sử dụng để quản trị chất lượng phần mềm Trung tâm của TickIT gồm những lĩnh vực như phát triển phần mềm, bảo trì, và những dịch vụ Đây là một sự thể hiện quan trọng

của chuẩn ISO 9001, chuẩn này đã chi tiết hóa những yêu cầu của một hệ thống quản lý chất lượng Mục đích của TickIT là cải tiến chất lượng phần mềm và triển khai những tiến trình nội bộ hiệu quả hơn do vậy giảm đi nguy

cơ chi phí vượt quá hạn định và ngăn chặn những hỏng hóc của sản phẩm TickIT cũng cung cấp một dẫn hướng cho những tổ chức sao cho họ có được một hệ thống quản lý chất lượng được công nhận bởi chuẩn ISO 9001 do một bên thứ ba cấp phép và chứng nhận

ISO 27001 Chu ẩn ITSM

ISO 20000 là một chuẩn quốc tế trong đó chi tiết hóa những yêu cầu cho việc thiết lập và bảo trì một hệ thống quản trị an toàn thông tin (ISMS- Information SecurCNTTy Management Systems) ISMS là một hướng tiếp cận có tổ chức và để quản lý tính an toàn của thông tin trong tổ chức Một hệ

thống quản trị an toàn thông tin là một hệ thống đa diện gồm có con người,

tiến trình và những hệ thống công nghệ thông tin (cả phần cứng và phần mềm)

ISO 27001 thường được sử dụng kết hợp với ISO 27002 là chuẩn cung

cấp một dẫn hướng thực thi cho những điều khiển trong tổ chức Để chuẩn hóa tổ chức của mình theo chuẩn này thì phải có những công cụ đáp ứng mục đích và có những tài nguyên hỗ trợ cho sự thực thi của ISO 27001

ẩn ITSM

ISO 20000 là một chuẩn quốc tế thiết lập những đặc trưng cho việc thực thi tiến trình với thực tiễn tốt nhất cho quản trị dịch vụ công nghệ thông tin Khung làm việc này còn bao trùm lên khía cạnh bảo trì những tiến trình và dẫn hướng để đảm bảo khung làm việc này sẽ mang tới những cải thiện thực

sự Đây là một chuẩn cho phép tổ chức xây dựng và triển khai hiệu quả những

dịch vụ công nghệ thông tin để đáp ứng những yêu cầu của doanh nghiệp

IT Service CMM Mô hình thu ần thục chất lượng dịch vụ công nghệ thông tin

Là một thang đánh giá với năm cấp độ giúp đo lường lượng hóa chất lượng triển khai dịch vụ công nghệ thông tin của tổ chức Khung làm việc này cũng chi tiết hóa và hướng dẫn làm sao để cải thiện chất lượng của dịch vụ công nghệ thông tin Mỗi một thang độ trong khung sẽ đưa ra một quy trình với những đặc tả đầy đủ về những bước phải hoàn thiện trong khi những tiến trình đó được thực hiện Vì vậy khi một tổ chức thực thi những tiến trình thực

tiễn tốt nhất này, tổ chức sẽ chuyển sang một cấp độ cao hơn trong trong những thang độ của khung làm việc này

Công việc đánh giá thang độ thuần thục của một tổ chức thường do sự

khảo sát đánh giá của một bên thứ ba Khi thực hiện đánh giá sẽ có rất nhiều phương thức để lựa chọn tuy vậy do tính chất tương đồng giữa mô hình đánh giá thuần thục CMMI và IT Service CMM do vậy một phương pháp đánh giá

có thể áp dụng chung cho đồng thời hai đánh giá này

Six Sigma C ải thiện tiến trình và chất lượng

Sig Sigma là một phương pháp luận cải thiện tiến trình và chất lượng dựa vào những độ đo về khả năng đáp ứng có thể được sử dụng để triển khai những dịch vụ công nghệ thông tin có chất lượng cao Six Sigma cũng đưa ra

một cấu trúc trong đó tổ chức sẽ cải tiến những tiến trình công nghệ thông tin

thường ngày một cách bền vững và liên tục, tránh những khuyết điểm, tránh

những sự lãng phí và ngăn chặn việc gia tăng chi phí cho hoạt động vận hành thông qua đó tăng cường chất lượng của dịch vụ cũng như sự thỏa mãn của khách hàng Mục đích chính của Six Sigma là giảm giảm đi sự khác biệt trong những tiến trình để đạt được mục đích này

IT Balanced Scorecard(IBS) Cân b ằng những mục tiêu công nghệ thông tin

IBS là một cơ cấu dựa vào độ đo được sử dụng với mục đích giúp cho công nghệ thông tin đạt được hiệu năng cao hơn đồng thời cho phép đồng bộ

những mục đích tổng quan của doanh nghiệp với những mục đích của công nghệ thông tin IBS cung cấp cho nhà quản trị những độ đo hiệu năng dẫn tới thành công Trong quá trình thực thi IBS có rất nhiều điểm phải xem xét Cơ cấu cân bằng về mục tiêu bản thân nó được phát triển với quy mô ứng dụng ở mức toàn doanh nghiệp bởi Robert Kaplan và David Norton Trong những công trình nghiên cứu của mình họ chỉ ra làm thế nào những công ty ngày nay

có thể tránh được sự không chắc chắn trong việc đạt được các giá trị thông qua sự điều phối của doanh nghiệp và qua cơ cấu cân bằng mục tiêu

AS 8015-2005

AS 8015-2005 là một chuẩn của chính phủ Australia dành cho quản trị công nghệ thông tin Chuẩn này cung cấp những nguyên lý định hướng cho cán bộ quản lý cấp cao như những giám đốc, những chủ sở hữu doanh nghiệp, trưởng phòng có thể sử dụng để việc sử dụng công nghệ thông tin và những công nghệ hỗ trợ truyền thông được hiệu quả trong tổ chức của họ Như vậy đây là một khung làm việc theo hướng hướng đối tượng đó là những đối tượng là những nhân sự cấp cao của những cơ quan quan trọng trong chính

phủ và những tổ chức quan trọng của Australia

Generic Framework for Information Management (Khung làm vi ệc chung qu ản lý thông tin)

Khung làm việc chung quản lý thông tin là một mô hình quản lý thông tin được áp dụng cho bất kì một tổ chức nào để căn chỉnh tốt hơn giữa công nghệ thông tin và những mục tiêu chiến lược của tổ chức Khung làm việc này thường được áp dụng cho những tổ chức có quy mô lớn Chức năng chính yếu

của khung làm việc này là phân tích ở cấp độ cao những vấn đề về tổ chức và trách nhiệm Khung làm việc chung dành cho quản lý thông tin giúp xác định một ánh xạ cho toàn bộ hệ thống quản lý thông tin với mục đích định vị

những vấn đề về quản lý thông tin đang đươc đưa ra thảo luận trong tổ chức

và gán trách nhiệm Khung làm việc này đóng vai trò như một công cụ chẩn đoán những vấn đề tổ chức gặp phải trong việc quản lý thông tin trong tổ chức

Để có được một nhìn nhận rõ hơn về một khung làm việc cho quản trị công nghệ thông tin phần sau sẽ trình bày những đặc điểm của một khung làm việc hết sức phổ dụng đó là khung làm việc Cobit

1.3.4 Giới thiệu về khung làm việc Cobit

Hình 1.2 Khung làm việc Cobit tổng quan

Hình 1.3 Những thành phần của khung làm việc Cobit trong mối tác

động tương hỗ

Hình v ẽ này được trích dẫn từ nguồn : //www.isaca.org/ Chú gi ải

• IT Resources : Ngu ồn lực công nghệ thông tin

• Effectiveness : Tính hi ệu quả

• Efficiency : Hiệu năng

• Confidentiality : Tính bảo mật

• Intergrity : Tính toàn v ẹn

• Availability : Tính s ẵn dùng,tính đáp ứng sẵn sàng

• Compliance : Tính đáp ứng yêu cầu

• Reliability : Tính tin cậy

• Business Requirement : Những yêu cầu nghiệp vụ

• IT Processive : nh ững tiến trình công nghệ thông tin

Khung làm vi ệc Cobit tổng quan

Hình 1.2 và 1.3 đã thể hiện được một góc nhìn tổng quan và cơ bản về khung làm việc Cobit

Nguồn tài nguyên công nghệ thông tin bao gồm :

• Trình ứng dụng

• Thông tin

• Cơ sở hạ tầng

• Con người

Đơn vị quan trọng nhất trong khung làm việc Cobit là những tiến trình

và những tiến trình trong khung làm việc Cobit được phân định theo những hạng mục chính sau:

Bảng 1.2 Bảng Ánh xạ giữa những tính năng của khung làm việc Cobit với những lĩnh vực ứng dụng trong quản trị công nghệ thông tin

Những mục đích

P : Primary Enabler cơ chế cho phép ưu tiên chính yếu

S : Secondary Enabler cơ chế cho phép ưu tiên thứ cấp

Cobit thường được sử dụng ở mức độ quản lý cao nhất cung cấp một khung làm việc mang tính chất tổng quan chung và đồng bộ dựa vào mô hình tiến trình công nghệ thông tin để có thể đáp ứng được yêu cầu cho mọi doanh nghiệp hoạt động trên nhiều lĩnh vực khác nhau Những thực tiễn và chuẩn

xác định bao trùm lên những lĩnh vực riêng biệt có thể ánh xạ vào trong khung làm việc Cobit, mang tới một nhìn nhận mang tính chất phân cấp Cobit được xây dựng dựa trên sự hòa hợp và phân tích các chuẩn công nghệ thông tin hiện tại và những thực tiễn tốt nhất tuân theo những nguyên tắc quản trị chung được chấp nhận một cách phổ dụng Cobit được xây dựng

phục vụ cho quản trị ở mức độ cao và nó thực sự bao trùm một tầm vực rộng

lớn những hoạt động công nghệ thông tin và Cobit tập trung trả lời cho câu hỏi phải đạt được cái gì nhiều hơn là cho câu hỏi làm thế nào để quản trị và điều chỉnh cho hiệu quả Điều này giúp cho Cobit giữ được tính tổng quan

phải có được ở cấp độ quản lý cao nhất này Một điểm rất hay của Cobit là Cobit được thiết kế sao cho có khả năng mở và tương thích giúp cho Cobit dễ dàng hòa hợp và bổ sung cho nhưng chuẩn và thực tiến tốt nhất khác

Hình 1.4 Sự chuyển hóa từ những mục tiêu thành những tiến trình thực

thi có tính chất dẫn hướng

Hình v ẽ này được trích dẫn từ : http://www.isaca.org

Chú gi ải :

Compare : So sánh

Process : Ti ến trình

Norms Standards Objectives :Nh ững mục tiêu chuẩn hóa

Các điều khiển được định nghĩa như các chính sách, các thực tiễn và các

cấu trúc tổ chức được thiết kế để đảm bảo về tính logic rằng các mục tiêu kinh doanh sẽ đạt được và các sự kiện không mong muốn sẽ được ngăn ngừa hoặc phát hiện và chỉnh sửa

Nh ững nội dung chính bao gồm:

• Điều khiển các mục tiêu

và lợi ích của tổ chức COSO là một khung làm việc cho quản trị doanh nghiệp nói chung và có rất nhiều những lĩnh vực quản trị nói riêng với quản trị công nghệ thông tin là một trong số đó và quản lý rủi ro

Các ngu ồn lực công nghệ thông tin bao gồm :

Đầu tư cho công nghệ thông tin hiệu quả

Đảm bảo thực thi được giá trị

Có các độ đo phù hợp

Nhi ệm vụ của khung làm việc Cobit:

• Tạo một sự kết nối tới các yêu cầu kinh doanh

• Tổ chức các hoạt động công nghệ thông tin trong một mô hình tiến trình chung được thông qua

• Xác định các nguồn lực công nghệ thông tin chính để thúc đẩy những hoạt động kinh doanh của tổ chức

• Định nghĩa các mục tiêu cụ thể trong điều khiển và quản lý

Nhìn chung thì nhiệm vụ của khung làm việc Cobit là cung cấp thông tin

mà doanh nghiệp cần để đạt được các mục tiêu và để làm được như vậy thì các nguồn lực công nghệ thông tin phải được quản lý bởi một tập hợp các tiến trình được phân nhóm một cách tự nhiên

1.4 Vai trò c ủa quản lý rủi ro trong quản trị công nghệ thông tin

Quản lý rủi ro là phần trung tâm trong chiến lược hoạt động của mọi tổ

định những rủi ro gắn với những hoạt động của mình với mục đích duy trì và

mở rộng những mục tiêu và lợi ích mà doanh nghiệp thu được trong từng hoạt động riêng lẻ cũng như trong toàn bộ hoạt động của hệ thống nói chung Quản

lý rủi ro tốt sẽ đặt sự tập trung vào việc nhận biết và đối phó với những rủi ro Mục đích của nó là tăng cường tối đa những giá trị thu được cho toàn bộ hoạt động của tổ chức và cho toàn thể stakeholders Quản lý rủi ro sẽ xem xét tất

cả những yếu tố có khả năng tác động lên doanh nghiệp và tăng cường khả năng thành công và giảm thiểu nguy cơ thất bại do những yếu tố tiềm tàng đó tác động lên tổ chức, giảm đi sự không chắc chắn trong việc đạt được những

mục tiêu của tổ chức

Quản lý rủi ro là một tiến trình liên tục và thông suốt trong chiến lược của tổ chức và sự thực thi của chiến lược đó Quản lý rủi ro xác định tất cả những rủi ro xung quanh những hoạt động của tổ chức trong quá khứ, hiện tại

và trong tương lai Tiến trình quản lý rủi ro phải được tích hợp vào trong khung làm việc và văn hóa chung của tổ chức với một chính sách hiệu quả và

một chương trình được chỉ đạo bởi những lãnh đạo ở cấp độ cao nhất của doanh nghiệp Quản lý rủi ro phải được chuyến tải thành những mục tiêu mang tính chiến lược và những mục tiêu mang tính vận hành, gắn kết trách nhiệm quản lý rủi ro trong toàn tổ chức cho những nhà quản lý, những nhân viên chịu trách nhiệm quản lý rủi ro Đồng thời quản lý rủi ro còn hỗ trợ tính giải trình trách nhiệm do trong tiến trình quản lý rủi ro, mỗi rủi ro được gán cho một nhân vật, nhân vật này sẽ có trách nhiệm cao nhất đối với rủi ro mình

có nhiệm vụ giám sát đồng thời trong quá trình thực thi mọi nhiệm vụ đều được phân định hết sức rõ ràng, đo lường hiệu năng cũng như những lợi ích khác Tổng quan là quản lý rủi ro sẽ hỗ trợ tích cực cho tính hiệu quả trong hoạt động của tổ chức