Risk analysis technique (ITLC version)

RISK ANALYSIS TECHNIQUE

Lê Thành Trung

Aug 2014

Strictly Confidential – Do Not Distribute 2

GIỚI THIỆU

Strictly Confidential – Do Not Distribute

VỀ CÁ NHÂN

3

• Lê Thành Trung

– Senior Operation Manager

• Kinh nghiệm:

– 13 năm làm việc trong lĩnh vực IT

– 8 năm làm việc tại VNG

• 4 năm làm Software Development Manager

• 4 năm làm Operation Manager


VỀ VNG

4

• VNG là công ty hàng đầu Việt Nam trong lĩnh

vực Internet (www.vng.com.vn)

“Phát triển Internet để thay đổi cuộc sống

người Việt Nam”

http://www.vng.com.vn/

NỘI DUNG

• Risk và IT Risk

• Phân tích rủi ro

• Phản hồi lại rủi ro

• Đánh giá rủi ro

• Xử lý rủi ro

• Ứng dựng & Template

• Q&A


RISK VÀ IT RISK


RISK – RỦI RO

7

• Risk là khả năng bị mất một giá trị (value)

hoặc là khả năng không đạt đƣợc một giá

trị nào đó.

• Risk là một sự kiện hoặc điều kiện có thể

mà nếu xảy ra hoặc có ảnh hƣởng thì nó

sẽ làm ảnh hƣởng đến ít nhất một mục

tiêu (objectives).


ENTERPRISE RISK

8

• Là rủi ro liên quan đến hoạt động kinh

doanh


IT RISK

9

IT Risk là một phần của rủi ro doanh nghiệp

khi doanh nghiệp sử dụng IT cho hoạt động

kinh doanh của mình

RISK IT FRAMEWORK

Giúp doanh nghiệp hiểu và quản lý các IT Risk


RISK IT FRAMEWORK

10

BUSINESS (Business Risk)

IT (IT Risk)

Sử dụng


KẾT NỐI RISK IT VỚI BUSINESS

11


PHÂN TÍCH RỦI RO


PHÂN TÍCH RỦI RO THEO KỊCH BẢN

13

• Phân tích các kịch bản rủi ro (Risk

scenario analysis) là một kỹ thuật kết

hợp

–Điều kiện thực tế của tổ chức

–Kỹ năng cấu trúc và phân tích

để xác định rủi ro cho các vấn đề phức

tạp của IT


PHƢƠNG PHÁP TIẾP CẬN

14

• Top-down: Từ mục tiêu của Business, phân tích các kịch bản rủi ro của IT có thể gây ảnh hƣởng đến mục tiêu của Busines

• Bottom-up: Liệt kê (toàn bộ) các kịch bản rủi ro cụ thể có thể xảy ra đối với IT và đánh giá khả năng ảnh hƣởng đến Business

Khuyến nghị

Nên áp dụng cả 2 để đảm bảo có đánh giá đầy đủ các rủi ro


PHƢƠNG PHÁP TIẾP CẬN

15


CÁC YẾU TỐ RỦI RO – RISK FACTORS

16

• Là các yếu tố có ảnh hƣởng tới tần xuất

hoặc tác động/ảnh hƣởng đến Business

• Yếu tố môi trƣờng (Environmental factors)

– Yếu tố bên ngoài: không kiểm soát đƣợc

– Yếu tố bên trong: kiểm soát đƣợc

• Yếu tố năng lực (Capabilities)

– Năng lực quản lý rủi ro IT

– Năng lực IT (nói chung)

– Năng lực gắn IT với hoạt động kinh doanh


CÁC YẾU TỐ RỦI RO – RISK FACTORS

17


PHẢN HỒI LẠI RỦI RO



19

• Risk Appetite: Là mức rủi ro mà một tổ

chức có thể chấp nhận


PHẢN HỒI LẠI RỦI RO – RISK RESPONSE

20

• Risk Response: Là sự phản hồi lại rủi ro

theo đúng yêu cầu của Risk Appetite

– Né tránh rủi ro (Risk Avoidance)

– Xử lý rủi ro (Risk Mitigation)

– San sẻ rủi ro (Risk Transfer)

– Chấp nhận rủi ro (Risk Acceptance)

• Residual risk (Rủi ro còn lại): Là rủi ro còn

lại sau khi áp dụng risk response



21


ĐÁNH GIÁ RỦI RO


YẾU TỐ ĐÁNH GIÁ RỦI RO

23

• Tần xuất/Khả năng xảy ra

(Frequence/Likelyhood)

– Số lần có thể xảy ra hoặc xác xuất khả năng

có thể xảy ra của rủi ro

• Ảnh hƣởng (Impact)

– Hậu quả ảnh hƣởng đến business khi rủi ro

xảy ra


XÁC ĐỊNH GIÁ TRỊ CÁC YẾU TỐ

24

• Phƣơng pháp định tính (Qualitative)

– Sử dụng kinh nghiệm chuyên gia để ƣớc

đoán

– Dựa trên thống kê một lƣợng dữ liệu định tính

phản hồi

• Phƣơng pháp định lƣợng (Quantitative)

– Sử dụng phân tích các dữ liệu định lƣợng để

đánh giá các yếu tố


GIÁ TRỊ THAM KHẢO

25


XỬ LÝ RỦI RO – RISK CONTROL



27

• Risk IT Practitioner Guide COBIT 4.1



28


ỨNG DỰNG & TEMPLATE


OPERATIONAL RISK ANALYSIS

30

IT Assets Risk & Business

Impact Risk Response

& Control



ISMS RISK ANALYSIS

32

Information IT Assets Risk & Business

Impact Risk Response

& Controls


Q&A

33

Q&A

Date post:	02-Jul-2015
Category:	Engineering
Upload:	le-trung
View:	462 times
Download:	4 times

Risk analysis technique (ITLC version)

Engineering