Kịp thời. Mục tiêu của tính kịp thời hướng tới việc đảm bảo rằng dữ liệu được thu thập, xử lý, lưu trữ và truy cập theo cách hiệu quả nhất về mặt thời gian nhằm mang đến cho người dùng hệ thống các thông tin thực sự hữu ích. Tính kịp thời đối với HTTT không nhất thiết có nghĩa là tất cả các giao dịch phải được xử lý ngay lập tức, mà là chúng phải được xử lý cho thích hợp theo nhu cầu của tổ chức.
2.2.2. Quản lý rủi ro
Các tổ chức hoạt động trong một môi trường năng động. Một kế hoạch quản trị rủi ro được hoạch định và thực hiện tốt sẽ giảm thiểu rủi ro của tổ chức
trong môi trường luôn thay đổi. Để được nó.
quản lý rủi ro, các tổ
chức phải xác định
Rủi ro là sự kết hợp của các lỗ hổng có thể bị khai thác bởi các mối đe dọa cùng với tác động tiềm tàng đối với tài sản. Trong đảm bảo thông tin, rủi ro tồn tại khi kết quả của mối quan hệ trước đó là tích cực. Quản lý rủi ro đề cập đến việc áp dụng một phương pháp bao gồm các chính sách, thủ tục và thông lệ được sử dụng để xác định các sự kiện rủi ro này. Mục tiêu là xác định, phân tích, xử lý, đánh giá và tiếp tục cải tiến cách thức tổ chức quản lý hồ sơ rủi ro của mình. Tóm lại, quản lý rủi ro là một phương tiện để xác định, quản lý và kiểm soát rủi ro.
Các tổ chức nên hiểu rằng xác định và quản lý rủi ro là quá trình chủ động chứ không phải quá trình phản ứng. Việc thiếu hiểu biết hoặc quản trị rủi ro kém đưa đến mất mát giá trị tài sản, sự giàu có và danh tiếng của các bên liên quan và các hậu quả không mong muốn khác. Quản lý rủi ro không phải là tránh rủi ro hoàn toàn. Đó là nhận thức hậu quả của rủi ro theo cách có hệ thống và chủ ý, tránh những rủi ro không cần thiết và quản lý cẩn thận những rủi ro bằng cách chấp nhận rủi ro còn sót lại.
Quản lý rủi ro tốt mang lại nhiều lợi ích. Quản lý rủi ro chủ động gợi lên
Có thể bạn quan tâm!
-
Khoảng Trống Nghiên Cứu Và Định Hướng Nghiên Cứu Của Luận Án -
Ảnh hưởng của rủi ro công nghệ thông tin đến chất lượng thông tin kế toán trong các doanh nghiệp tại Việt Nam 1738937919 - 6 -
Quản Lý Rủi Ro Htttkt Trong Môi Trường Máy Tính -
Các Giả Thuyết Nghiên Cứu Và Mô Hình Nghiên Cứu -
Ảnh hưởng của rủi ro công nghệ thông tin đến chất lượng thông tin kế toán trong các doanh nghiệp tại Việt Nam 1738937919 - 10 -
Quy Trình Nc Định Tính (Nguồn: Xây Dựng Từ Tác Giả)
Xem toàn bộ 405 trang tài liệu này.
cảm giác sẵn sàng chống lại những bất ngờ
hoặc sự
cố không mong muốn.
Chuẩn bị sẵn sàng thúc đẩy sự tự tin và khuyến khích hành vi tích cực trong văn hóa tổ chức. Nếu đánh giá rủi ro được thực hiện tốt sẽ nhận dạng được các hiểm hoạ và lỗ hổng thực sự đối với tài sản của tổ chức. Nếu một chiến lược dựa trên đánh giá này, nó sẽ tốt hơn và thường là đáng tin cậy hơn. Do đó, các nguồn lực hạn chế có thể được tập trung hiệu quả hơn để quản trị các rủi ro được ưu tiên (Schou và Hernandez, 2015).
2.2.3. Nhận diện rủi ro
Công nghệ đã thâm nhập vào môi trường kinh doanh nhiều hơn bao giờ hết so với trước đây; trở nên thành thạo với CNTT không còn là lựa chọn cho riêng một doanh nhân nào, đáng chú ý là các kế toán viên. Tội phạm hiểu được điểm yếu của công nghệ và cách thiết lập, nên kế toán viên phải đi trước một bước để duy trì chất lượng của hệ thống kế toán.
Ngoài việc lo lắng về tính an toàn của hệ thống CNTT của tổ chức, kế toán viên phải hiểu cách đánh giá HTTTKT của tổ chức. Nếu hệ thống của tổ chức có một điểm yếu trọng yếu và kế toán viên không thể phát hiện ra nó, thì tổ chức dễ bị ảnh hưởng bởi bất kỳ điều gì và mọi thứ sai sót có thể xuất hiện. Điều này
sẽ làm cho bất kỳ công việc của kế toán viên nào cũng gặp trở ngại, bất kể
người đó tham gia vào phần hành nào.
Các tổ chức nhỏ hay lớn, đều phụ thuộc rất nhiều vào HTTT để
có được
thông tin kịp thời cho các quyết định kinh doanh quan trọng. Khi sự phụ thuộc vào HTTT ngày càng tăng, thì những rủi ro mà tổ chức phải đối mặt cũng tăng theo. Vì vậy, bất kỳ ai khi ra quyết định cũng nên hiểu những rủi ro đó và cách chúng có thể tác động đến tổ chức (Hurt, 2010).
Tài sản là bất cứ thứ gì có giá trị đối với tổ chức. Một tài sản thông tin, nếu bị xâm phạm, có thể gây ra tổn thất nếu nó bị tiết lộ, bị thay đổi hoặc không sẵn sàng. Một tài sản thông tin có thể là hữu hình hoặc vô hình, chẳng hạn như phần cứng, phần mềm, dữ liệu, dịch vụ và con người.
Các tài sản thông tin đều có các lỗ hổng nhất định và chúng liên tục tiếp xúc với các mối đe dọa mới. Sự kết hợp của các lỗ hổng và các mối đe dọa góp phần
tạo nên rủi ro. Để
giảm thiểu và kiểm soát hiệu quả
rủi ro, các tổ
chức cần
nhận thức được những thiếu sót trong HTTT của mình và cần chuẩn bị để giải quyết chúng trong trường hợp những thiếu sót đó phát triển thành đe dọa cho các hoạt động. Việc hiểu rõ các đối tượng này và mối tương tác của chúng là rất quan trọng để bảo đảm các biện pháp kiểm soát có hiệu quả về chi phí và phù hợp.
Các mối đe dọa bắt nguồn từ công nghệ, con người và điều kiện môi trường. Chẳng hạn như lỗi của con người khi nhập thông tin, hệ thống được cấu hình sai, phần mềm độc hại và các thảm họa thiên nhiên như lũ lụt và động đất. Khi các mối đe dọa này tồn tại và các lỗ hổng liên quan thiếu sự kiểm soát, thông tin có thể bị mất, không khả dụng hoặc bị hỏng, do đó ảnh hưởng đến việc đảm bảo thông tin. Các mối đe dọa có thể được chia thành bốn loại: bất khả kháng, hành vi cố ý, lỗi do con người và lỗi kỹ thuật. Mọi người rất dễ mắc lỗi khi sử dụng máy tính, đặc biệt là sau nhiều giờ làm việc. Các lỗi đánh máy có thể xảy ra khi nhập dữ liệu và nếu những lỗi này không được kiểm tra, xác nhận và sửa chữa thì chúng sẽ ảnh hưởng đến tính chính xác và tính toàn vẹn của thông tin. Ngay cả những chương trình tiên tiến nhất cũng có thể không phát hiện được tất cả các lỗi đầu vào hoặc các sơ suất. Một chương trình nâng cao nhận thức thấu đáo cho tất cả nhân viên rất có lợi trong việc giảm thiểu hoặc loại bỏ lỗi và sự lơ là của nhân viên.
Một nguồn lỗi khác là hệ thống được định cấu hình sai và không thể vá lỗi phần mềm kịp thời. Trong khi đối với lỗi kỹ thuật, một hệ thống được định cấu hình sai có thể khiến các dịch vụ dễ bị tấn công. Các dịch vụ này đã chín muồi để tin tặc khai thác.
Thật không may, các mối quan tâm về bảo mật thường bị bỏ qua trong quá trình phát triển sản phẩm do phải cam kết đúng thời hạn. Ngoài ra, giai đoạn
thiết kế đôi khi bỏ qua việc xem xét các biện pháp xác nhận và xác thực dữ liệu
đầy đủ trước khi đưa vào sản xuất thực tế. Tất nhiên, luôn có những lỗi lập
trình, đã phát triển thành đe dọa với tổ chức và trong một số trường hợp là gây
thiệt hại cho tổ chức. Một lỗi thường thấy là lỗi tràn bộ đệm, là một lỗi lập
trình do xác thực dữ liệu không đúng cách (Schou và Hernandez, 2015).
Nhiều người đã lập luận rằng mỗi công ty đều có văn hóa DN riêng và chính văn hóa DN này thúc đẩy hoặc cản trở hành vi đạo đức. Văn hóa DN gắn liền với niềm tin, thông lệ và thái độ chung của nhân viên. Quy tắc ứng xử tốt đến đâu không quan trọng bằng việc nếu có những vấn đề nghiêm trọng trong văn hóa DN (Bodnar và Hopwood, 2013).
Hành động của nhân viên và mức độ rủi ro của họ khi làm việc trực tuyến sẽ ảnh hưởng đến thành công hay thất bại trong triển khai an toàn HTTT. Một trong những khía cạnh bị bỏ qua nhiều nhất của an toàn HTTT trong các tổ chức là yếu tố con người. Thành công của một tổ chức trong an toàn HTTT, ở một mức độ lớn, có thể được cải thiện bằng cách tập trung vào hành vi của nhân viên.
Để giảm thiểu rủi ro về các lỗi an toàn, các tổ chức nên tập trung nhiều hơn vào hành vi của nhân viên. Việc trau dồi văn hóa nhận thức cho sự an toàn của thông tin sẽ giảm thiểu rủi ro cho tài sản này. Tuy nhiên, mặc dù là một vấn đề tiềm ẩn, nhưng nhân viên có năng lực vẫn là một lợi thế lớn trong việc giảm thiểu rủi ro đối với tài sản thông tin. Chìa khóa để tăng cường cho sự an toàn của thông tin là bắt buộc nhân viên tuân thủ các quy tắc và quy định an toàn. Những nhân viên được đào tạo đúng cách có tiềm năng trở thành mắt xích mạnh nhất trong cơ sở hạ tầng của tổ chức. Các tổ chức nên cung cấp cho nhân viên nhận thức và các chương trình đào tạo nhằm bảo đảm rằng họ được trang bị phù hợp để tuân thủ các quy định chính sách liên quan đến an toàn của thông tin. Việc bảo vệ thông tin phải là bản chất thứ hai đối với nhân viên và là một phần tự nhiên trong các hoạt động hàng ngày của họ. Điều này đảm bảo rằng an toàn thông tin được tích hợp vào văn hóa DN. Hành vi an toàn của nhân viên nên được hun đúc
vì họ
bị ảnh hưởng bởi văn hóa tổ
chức (Nel và Drevin, 2019 trích dẫn từ
Thomson và cs, 2006; Da Veiga và Eloff, 2010; Bulgurcu và cs, 2010).
Người ta thấy rằng HTTT cải thiện được hiệu quả của công việc thông qua giao tiếp hiệu quả và tự động hóa công việc. Các tổ chức cần kiểm soát và ngăn ngừa khả năng rủi ro cho HTTT để phát huy thế mạnh cạnh tranh và hiệu quả hoạt động bền vững. Do đó, ban điều hành của tổ chức có trách nhiệm hướng dẫn, chỉ đạo và kiểm soát công tác quản trị rủi ro HTTT để đạt được lợi thế về hiệu quả.
Sự phát triển của CNTT đã giúp các tổ chức kinh doanh thực hiện quản lý rủi ro HTTT như một phương pháp bảo vệ DN cũng như thông tin bí mật của tổ chức. Ngày nay, CNTT đã giúp các đơn vị thực hiện được mục tiêu của hệ thống xử lý thông tin tự động. Thông tin được xem như tài sản vô hình và có giá trị liên quan đến việc thu thập kiến thức, bí mật thương mại, năng lực tổ chức và lợi thế đổi mới, do đó, chúng cần được bảo vệ trước bất kỳ hình thức đe dọa hoặc rủi ro nào liên quan đến HTTT.
Việc triển khai quản trị hiệu quả rủi ro HTTT mang lại ý nghĩa hết sức quan trọng để bảo vệ tài sản HTTT. Các tổ chức cần tập trung vào mọi khía cạnh quản lý rủi ro chứ không nên chỉ chú trọng vào các tài sản tài chính. Lãnh đạo cấp cao phải thể hiện cam kết và trách nhiệm cuối cùng đối với việc hoàn thành việc triển khai quản lý rủi ro HTTT. Quản lý cấp cao nên xem quản lý rủi ro HTTT như một phần của chức năng quản lý và đảm bảo rằng mọi nguồn lực cần thiết luôn sẵn sàng cung cấp các khả năng đạt được mục tiêu quản lý rủi ro
HTTT. Ngoài ra, lãnh đạo cấp cao nên đánh giá quản lý rủi ro HTTT để được sự thất bại hay thành công của chương trình.
biết
Hơn nữa, để kết hợp kết quả đánh giá rủi ro vào việc ra quyết định của tổ chức, lãnh đạo cấp cao phải thể hiện sự hỗ trợ và cam kết đối với các chương trình thực hiện quản lý rủi ro HTTT nhằm giảm thiểu rủi ro liên hệ đến nó. Cả tổ chức vì lợi nhuận và phi lợi nhuận cần phải thúc đẩy hoạt động tài chính hiệu
quả và an toàn bằng cách luôn chủ động trong việc quản lý các rủi ro khác nhau liên quan đến HTTT (Sanusi và Johl, 2021 trích dẫn từ AlWohaibi, Masoud, và Edwards, 2004; Roland, 2008; Westner và Strahringer, 2010).
Như vậy, nhận diện rủi ro đối với HTTTKT là một vấn đề sống còn của tổ chức, các rủi ro tiềm tàng hay các rủi ro kiểm soát như rủi ro phần cứng, rủi ro phần mềm, rủi ro dữ liệu, rủi ro nguồn lực con người, rủi ro văn hoá tổ chức, rủi ro cam kết quản lý và rủi ro ứng dụng tiến bộ CNTT khi được nhận diện sẽ giúp các tổ chức có thể thiết lập được các biện pháp ứng phó phù hợp nhằm đảm bảo cho HTTTKT trong môi trường ứng dụng CNTT được an toàn và hoạt động hiệu quả.
2.2.4. Đánh giá rủi ro
Trong đánh giá rủi ro, các nguồn gốc của rủi ro được xét lại, sau đó là ước tính về khả năng xảy ra. Tổ chức nên xác định giá trị tài sản, xác suất các mối đe dọa có thể khai thác các lỗ hổng và các tác động. Điều này cho phép tổ chức tính toán ước tính tốt nhất về mức độ rủi ro. Để tính toán rủi ro, các kỹ thuật toán học cũng có thể được vận dụng. Một nguyên tắc chung đơn giản là rủi ro là kết quả của tác động và khả năng xảy ra.
Rủi ro được ước tính bằng cách phân tích tác động tiềm ẩn, cũng như khả năng các mối đe dọa có thể khai thác các lỗ hổng khi sử dụng các biện pháp kiểm soát hiện tại. Mục tiêu của việc này là thu được một đánh giá khả năng tổng thể, đưa ra ước tính về tính dễ bị tổn thương đang được khai thác trong môi trường bị đe dọa. Ngược lại, kết quả xác định các tác động bất lợi phát sinh từ việc thành công của mối đe dọa đối với lỗ hổng.
Bước cuối cùng trong đánh giá về rủi ro là chỉ ra các cơ chế kiểm soát rủi ro hiện có, tiếp theo là đánh giá điểm yếu và điểm mạnh về hệ thống. Chỉ khi nào xác định được những giải pháp kiểm soát hiện có, các tổ chức mới xác định được hậu quả và khả năng xảy ra rủi ro. Các giá trị về khả năng xảy ra có thể dựa trên dữ liệu lịch sử hoặc phân tích thống kê để xác định (Schou và Hernandez, 2015).
Có thể thấy rằng, đánh giá rủi ro giúp tổ chức dự đoán khả năng xảy ra rủi ro, tần suất xảy ra và mức độ rủi ro có thể ảnh hưởng đến tổ chức trong việc đạt được các mục tiêu hay mức độ thiệt hại mà rủi ro có thể gây ra, qua đó giúp tổ chức xác định được đâu là các rủi ro quan trọng cần phải đối phó.
2.2.5. Phòng ngừa rủi ro
Dựa vào đánh giá về
rủi ro và kết quả
của việc phân tích lỗ
hổng, các
phương án hoặc giải pháp kiểm soát phù hợp và hợp lý để giải quyết rủi ro sẽ được xác định, chọn lựa và cụ thể hoá thành văn bản trong kế hoạch xử lý rủi ro. Để giảm thiểu rủi ro đến mức chấp nhận được, các phương án và giải pháp kiểm soát sẽ do cấp quản lý quyết định. Người đưa ra kế hoạch phòng ngừa sẽ chịu trách nhiệm về việc triển khai kế hoạch. Một số lựa chọn xử lý rủi ro được
đưa ra như sau:
Tránh rủi ro: Không tiến hành hoạt động có khả năng gây ra rủi ro.
Giảm thiểu khả năng xảy ra: Thực hiện các chương trình đánh giá và tuân thủ, đánh giá chính thức, kiểm tra và kiểm soát quá trình cũng như duy trì phòng ngừa.
Giảm hậu quả: Giảm hậu quả bằng cách lập kế hoạch dự phòng, lập kế hoạch liên tục trong kinh doanh, hoặc giảm sự phụ thuộc lẫn nhau của các hoạt động.
Chuyển giao rủi ro: Sử dụng bảo hiểm, quan hệ đối tác và liên doanh.
Chấp nhận rủi ro: Một số rủi ro không thể được loại bỏ hoặc giảm thiểu. Ban quản lý cần quyết định mức rủi ro nào có thể được chấp nhận cho rủi ro còn sót lại.
Khi giải quyết rủi ro, quản lý cấp cao phải cảnh giác với việc bỏ qua rủi ro. Bỏ qua rủi ro chỉ đơn giản là lựa chọn từ chối thực tế của rủi ro và các tác động tiềm ẩn có thể xảy ra sau đó.
Các nhà quản lý cấp cao phải thận trọng khi hiểu và chấp nhận rủi ro. Họ cũng phải sẵn sàng chấp nhận thực tế rằng các hệ thống an toàn trước đây giờ có thể dễ bị tấn công chỉ trong vài phần nghìn giây. Cách tiếp cận tồi tệ nhất mà một nhà quản lý cấp cao có thể áp dụng là bỏ qua rủi ro. Trường hợp này mặc định chấp nhận rủi ro mà không cần hiểu đầy đủ các lựa chọn giảm thiểu hoặc tác động đến tổ chức (Schou và Hernandez, 2015).
2.3. Các lý thuyết nền có liên quan đến nghiên cứu
2.3.1. Lý thuyết cấu trúc
Lý thuyết cấu trúc (Structuration Theory) là một lý thuyết xã hội về việc tạo ra các hệ thống xã hội dựa vào phân tích các tác nhân và phân tích cấu trúc. Lý thuyết này được đưa ra và phát triển bởi Giddens dựa trên thuyết nhị nguyên luận tác nhân/ cấu trúc cổ điển được khái niệm hoá lại như là một sự đối ngẫu – tính hai mặt của cấu trúc (Wanyama, I., và Zheng, Q., 2010 trích dẫn theo Giddens 1979, 1984). Cấu trúc bao gồm các chuẩn mực, quy tắc và nguồn lực mà con người sử dụng trong các tương tác hàng ngày của mình. Hành vi và cấu trúc được đan quyện vào nhau; con người trải qua quá trình xã hội hóa và trở nên phụ thuộc vào các cấu trúc xã hội hiện có, nhưng đồng thời cấu trúc xã hội cũng bị thay đổi bởi các hoạt động của họ. Nói khác đi, điều đó có nghĩa là các cấu trúc xã hội là phương tiện hoạt động của con người cũng như kết quả của các hoạt động đó. Cấu trúc xã hội không chỉ hạn chế hành vi mà còn tạo ra khả năng cho hành vi
của con người. Giddens (1984) mô tả
cấu trúc như
là quá trình xã hội về sự
tương tác qua lại của tác nhân và đặc điểm cấu trúc của tổ chức.
Lý thuyết cấu trúc ban đầu được áp dụng trong khoa học xã hội nhưng dần dần được nhiều tác giả ứng dụng vào lĩnh vực CNTT trong mối quan hệ đến văn hóa của tổ chức. Với tính phổ biến của công nghệ trong các hoạt động thường ngày của các tổ chức, đặc biệt là vai trò của CNTT trong các tổ chức hiện đại, đã có một số nỗ lực nhằm mở rộng những ý tưởng của Giddens bằng cách đưa ra