Quản lý rủi ro trong triển khai hệ thống CNTT

Bộ Tài chính đang thực hiện nhiều dự án tư vấn đánh giá về độ sẵn sàng, cũng như mức độ bảo mật của hệ thống công nghệ thông tin (CNTT). Trong bất cứ cuộc khảo sát nào tại các phân hệ, một phần nhỏ nhưng không thể thiếu là các thảo luận liên quan đến quản lý rủi ro. Các bên tư vấn đều quan tâm đến hồ sơ quản lý rủi ro mà phân hệ đang có.

Ảnh minh họa - nguồn internet.Ảnh minh họa - nguồn internet.

Ngành Tài chính đang triển khai rất nhiều hệ thống CNTT lớn và phức tạp. Hầu hết lãnh đạo cấp cao đều luôn luôn chú ý đến thực tế đang xảy ra trong dự án. Họ có nhiều vấn đề hiện tại để quan tâm hơn, do đó dành ít thời gian cho việc quản lý rủi ro và có thể có thái độ "tại sao tôi nên dành thời gian cho những điều mà có thể không xảy ra". Thực tế thì rủi ro là điều không ai mong muốn, nhưng phải được quan tâm và được hoạch định kế hoạch cụ thể và ghi lại đầy đủ vào tài liệu của mỗi dự án. Bài viết này sẽ chỉ ra một vài rủi ro chính trong việc triển khai hệ thống CNTT nói chung và vai trò quan trọng của lãnh đạo trong việc giảm thiểu những rủi ro đó.

Phân loại rủi ro

Rủi ro có thể được phân ra các loại sau (tuy nhiên cũng chỉ là tương đối): công nghệ, quy trình nghiệp vụ, con người, cấu trúc tổ chức.

Công nghệ: Công nghệ đang thay đổi nhanh chóng và không ai có thể dự đoán chính xác những gì sẽ xảy ra trong vài năm tới. Điều tốt nhất ngày hôm nay sẽ trở nên tốt hơn trong tương lai. Có nhiều cấu phần của công nghệ hạ tầng nền tảng có trong việc triển khai chuyển đổi từ hệ thống hiện tại sang hệ thống đang xây dựng, và những rủi ro tiềm tàng về công nghệ phải được quan tâm và quản lý chặt chẽ

Con người: Hệ thống CNTT mới được tạo ra để phục vụ nhân viên, tin học hóa những công việc họ đang thực hiện. Nhân viên phải xác định nhu cầu công nghệ và có thể sử dụng nó một cách hiệu quả. Khi công nghệ liên quan đến sự thay đổi, một số người sẽ chống lại công nghệ này vì các lý do khác nhau. Do đó, vấn đề con người phải là một yếu tố quan trọng, trong việc xác định và giải quyết các rủi ro trong việc phát triển hệ thống.

Quy trình nghiệp vụ: Những rủi ro chính xảy ra khi quy trình nghiệp vụ không được xem xét và định nghĩa cẩn thận, đi kèm với đó là những quy trình phù hợp phải được cung cấp tại thời gian thích hợp.

Cơ cấu tổ chức: Khi triển khai hệ thống CNTT mới sẽ dẫn đến những thay đổi trong cơ cấu tổ chức bao gồm: phải được thực hiện một cách cẩn thận và vào đúng thời điểm, do đó liên quan đến rủi ro. Thay đổi cơ cấu tổ chức, cũng như các công nghệ mới, có nghĩa là thay đổi nhất định trong phạm vi của đơn vị, có thêm nhiều vấn đề phát sinh mới. Do đó, bất kỳ hoạt động hoặc lĩnh vực nào ảnh hưởng tiêu cực đến sự thành công của dự án CNTT, phải được chỉ ra trong kế hoạch quản lý rủi ro với những hành động phù hợp, để đối phó và giải quyết những vấn đề hoặc rủi ro có nguy cơ xảy ra cao nhất.

Quá trình quản lý rủi ro

Việc quản lý rủi ro phải được xác định rõ ràng trong quản lý thực hiện triển khai dự án, với phương pháp tiếp cận thích hợp để có thể quản lý được trong đội dự án. Kinh nghiệm cho thấy lãnh đạo phải phê duyệt kế hoạch quản lý rủi ro, vì ảnh hưởng của nó đối với sự thành công của dự án nói chung. Hơn nữa, kế hoạch quản lý rủi ro là chìa khóa quan trọng trong việc kiểm soát rủi ro.

Có 5  bước chính trong kế hoạch quản lý rủi ro như sau:

Xác định rủi ro: Xác định bản chất và các nguồn gây ra rủi ro, thực hiện bằng phương thức làm việc nhóm áp dụng phương pháp brainstorming.

Đánh giá mức độ rủi ro: Các vấn đề, vướng mắc có thể được xác định là rủi ro hay không dựa trên quan điểm của từng cá nhân. Có thể nói rằng, tất cả các nhiệm vụ trong kế hoạch dự án là một nguy cơ, có thể tác động tiêu cực nếu công việc không hoàn thành. Quá trình quản lý rủi ro được thiết kế để chỉ tập trung vào những rủi ro đáng kể có khả năng xảy ra cao. Phần này sử dụng điểm số để đánh giá rủi ro và xác nhận những vấn đề cần được theo dõi và giải quyết.

 Biện pháp phòng và giảm thiểu rủi ro: Nếu các biện pháp phòng ngừa là chưa đủ, thì phải có thêm kế hoạch thực hiện để giảm thiểu thiệt hại khi rủi ro xảy ra. Chỉ ra những biện pháp là trách nhiệm của chủ sở hữu rủi ro. Điều quan trọng là đối với một số rủi ro, hành động phòng ngừa có thể được thực hiện và sau đó không phải theo dõi rủi ro này nữa. Tuy nhiên với một số rủi ro khác, các bước thực hiện để giảm nhẹ rủi ro phải được lên kế hoạch trước, và vẫn phải theo dõi rủi ro này cho đến thời điểm các nguy cơ rủi ro đã qua. Ví dụ, có thể rủi ro ứng dụng bị chậm khi phải cài đặt tạm lên máy chủ cũ nếu máy chủ mới chưa kịp về. Khi có máy chủ mới thì rủi ro này sẽ được loại bỏ.

Thỏa thuận giải quyết: Điều này cho thấy dù các hành động phòng ngừa hoặc giảm thiểu rủi ro đã được phê duyệt. Thẩm quyền phê duyệt phải là ở cấp lãnh đạo do các nguồn lực hoặc sự tham gia của các cá nhân, phòng ban khác nhau trong việc xử lý rủi ro. Một điều quan trọng nữa là chiến lược giảm nhẹ rủi ro phải được được sự chấp thuận trước để tránh sự chậm trễ trong thực hiện xử lý nếu các rủi ro hoặc nguy cơ xảy ra.

Xác định trách nhiệm: Chỉ rõ ai chịu trách nhiệm chính trong việc xử lý rủi ro. Cá nhân có trách nhiệm chính cũng phải được xác định để quy trách nhiệm tới người cụ thể.

Bên cạnh những bước nêu trên, kế hoạch quản lý rủi ro phải được rà soát, theo dõi và cập nhật. Khi các hành động được thực hiện hoặc rủi ro đã qua, thì rủi ro đó không cần theo dõi nữa. Tuy nhiên, khi đó lại có thể có những rủi ro mới phát sinh và lại phải tuân thủ đầy đủ các bước nêu trên. Rủi ro trong dự án chỉ hết khi dự án kết thúc, nhưng thực sự lại có những rủi ro khác trong quá trình vận hành hệ thống mới..

Ví dụ về rủi ro và các biện pháp giảm thiểu: Áp dụng 05 bước nêu trên vào một dự án CNTT, có thể chỉ ra một số rủi ro chính liệt kê ở các bảng phía dưới. Trong đó chỉ rõ tên rủi ro, khả năng xảy ra (P - probabilities), mức độ ảnh hưởng (I - impact) và hậu quả (E - exposures). Điểm cho P và I được tính từ 1 đến 5, trong đó 5 là cao nhất, 1 là thấp nhất. E=P*I.  Điểm số lần đầu được mô tả trong chữ có gạch ngang, sau khi thực hiện các hành động để giảm thiểu rủi ro, điểm số cho P, I (và tính được điểm cho E) sẽ giảm đi và được ghi lại ở cỡ chữ bình thường.

Công nghệ

STT

Rủi ro

P

I

E

Hành động giảm thiểu rủi ro

1

Phiên bản phần cứng, phần mềm thay đổi trong quá  trình thực hiện dự án

5

3

3

2

15

6

Người mua nên yêu cầu phiên bản mới nhất hoặc giải pháp trọn gói

2

Giao diện tới các hệ thống nội bộ và hệ thống bên ngoài có thể không hoàn thành đúng hạn.

4

 

2

3

 

1

12

 

2

1. Bắt đầu sớm, quy định chuẩn kết nối

2. Cập nhật hệ thống cũ lên chuẩn mới.

3. Làm việc ngay với các hệ thống bên ngoài để thống nhất chuẩn.

3

Triển khai thử nghiệm có thể không đầy đủ cho việc xác định đảm bảo hiệu năng khi triển khai diện rộng.

4

 

2

3

 

1

12

 

2

1. Chuẩn bị, kiểm tra và tuân theo kế hoạch thử nghiệm chi tiết, xác định những cấu phần quan trọng và những nghiệp vụ thiết yếu bắt buộc phải thử nghiệm.

2.  Chấp nhận thực tế việc triển khai thí điểm sẽ không hoàn hảo và chỉ ra những gì cần sửa trước khi triển khai diện rộng cũng như những việc cần điều chỉnh sau đó.

4

Biện pháp phòng ngừa thảm họa có thể không như mong đợi

3

2

3

3

9

6

Chỉ ra yêu cầu rõ ràng và cụ thể, yêu cầu kịch bản kiểm tra hệ thống phòng ngừa thảm họa.

 

Quy trình nghiệp vụ

STT

Rủi ro

P

I

E

Hành động giảm thiểu rủi ro

1

Quy trình nghiệp vụ có thể thay đổi trong khi triển khai dự án CNTT

5

 

3

5

 

3

25

 

9

1. Ban quản lý cấp cao phải tham gia vào quá trình xây dựng chính sách để đảm bảo hiểu rõ được ảnh hưởng của bất kỳ thay đổi quan trọng nào.
2. Xây dựng các thay đổi cần thiết vào hệ thống thông qua quy trình quản lý thay đổi đã được phê duyệt.

2

Phạm vi và yêu cầu có thể tăng, dẫn đến thiếu kinh phí.

5

3

5

3

25

9

1. Mọi thay đổi về phạm vi sẽ phải qua tiến trình phê duyệt sự thay đổi và phải đảm bảo phù hợp với kinh phí được phê duyệt trước đó.
2. Đặt các mức ưu tiên cho yêu cầu nghiệp vụ và yêu cầu kỹ thuật vào tiến trình ra quyết định.

3

Hệ thống có thể không đáp ứng nhu cầu hoặc mong đợi của người dùng

3

 

1

4

 

2

12

 

2

1. Đảm bảo nhân viên ở các cấp tham gia vào việc tái thiết kế quy trình nghiệp vụ và hệ thống.
2. Huy động người dùng vào việc kiểm tra và,
3. Thử nghiệm nhiều chức năng chính

4

Có những yêu cầu nghiệp vụ đặc biệt mà dự án không thể đáp ứng.

3

2

3

2

9

4

Báo cáo lên ban quản lý dự án những vấn đề này để chỉ ra ảnh hưởng tới quy trình nghiệp vụ và chiến lược kinh doanh.

Con người

STT

Rủi ro

P

I

E

Hành động giảm thiểu rủi ro

1

Nguy cơ nhân viên giỏi sẽ rời khỏi dự án giữa chừng vì chênh lệch thu

5

 

3

5

 

3

25

 

9

Tạo ra cơ hội thăng tiến, học tập tại nước ngoài

Lắng nghe cán bộ, đánh giá và áp dụng cải tiến của họ vào công việc

2

Người dùng có thể không muốn sử dụng hoặc từ chối hệ thống mới

5

3

5

3

25

9

Thuyết phục, tập huấn, tuyển nhân viên mới, định kỳ luân chuyển cán bộ giữa các phòng ban

3

Người dùng có thể không biết cách sử dụng hệ thống mới.

5

 

2

5

 

3

25

 

6

1. Thực hiện đào tạo và hỗ trợ người sử dụng, cung cấp kiến thức về hệ thống mới

2. Biên soạn, tập hợp đầy đủ tài liệu tập huấn.

3. Thường xuyên theo dõi, giám sát việc hiểu và chấp nhận hệ thống mới (thông qua các ứng dụng hỗ trợ, thực hiện khảo sát), điều chỉnh việc tập huấn dựa trên các kết quả đánh giá này.

4. Truyền thông rõ ràng về hệ thống mới tới nhân viên, nhấn mạnh việc nhân viên sẽ tham gia triển khai thí điểm để đảm bảo hệ thống mới đáp ứng yêu cầu của họ.

4

Lãnh đạo ở các cơ quan trực thuộc có thể không ủng hộ hệ thống mới

3

 

1

5

 

3

15

 

3

1. Lãnh đạo cấp cao quan tâm thường xuyên tới dự án, thường  xuyên gửi những báo cáo tích cực về dự án cũng như mong muốn về dự án tới các cấp lãnh đạo phía dưới.
2. Lãnh đạo cấp cao làm việc với lãnh đạo chính quyền địa phương để đảm bảo truyền thông điệp về dự án mới, đảm bảo sự chỉ đạo cũng như hỗ trợ của chính quyền địa phương trong khi thực hiện, triển khai dự án.

Phân tích chi tiết một vài rủi ro chính

Sau khi xem xét các bảng phía trên, có thể nhận thấy các rủi ro liên quan đến nhân tố con người có hậu quả lớn. Nhân viên trong tổ chức tham gia từ đầu đến cuối dự án, hơn nữa họ là người thực tế sử dụng sản phẩm cuối cùng và quyết định vào sự thành công của dự án.

Dự án có thể được triển khai tốt, tuy nhiên sẽ là thừa nếu nhân viên không sẵn sàng sử dụng và dựa vào đó để cải tiến công việc. Bên cạnh vai trò của lãnh đạo, nhân viên cũng có vai trò quan trọng. Một khi tất cả nhân viên trong đơn vị có được cảnh báo và có nhận thức về rủi ro, họ sẽ có phản ứng tích cực và hiệu quả để phòng tránh và giảm thiểu rủi ro.

Rủi ro khi nhân viên quan trọng nghỉ việc: Davenport and Prusak (2000) chỉ ra rằng nhân viên có kinh nghiệm được coi trọng hơn người có trình độ và sự thông minh bởi vì họ hiểu được tầm quan trọng của tri thức đã được phát triển và chứng minh bằng thực tế qua thời gian.

Các lãnh đạo cấp cao cũng nhận ra sự quan trọng của những nhân viên có kinh nghiệm trong tổ chức. Tuy nhiên, một trong những vấn đề chính là thu nhập của nhân viên trong cơ quan nhà nước thường thấp hơn nhân viên của nhà thầu, hay của các công ty bên ngoài tham gia thực hiện dự án. Vấn đề này hiển nhiên là lãnh đạo biết, bởi vì đây là mối quan tâm được Chính phủ đang dần giải quyết trong chiến lược lâu dài.

Để giữ chân nhân viên và giảm thiểu rủi ro nhân viên giỏi và kinh nghiệm có thể xin nghỉ việc, bên cạnh việc tạo ra môi trường làm việc thoải mái và chú trọng đến văn hóa của tổ chức; lãnh đạo nên sử dụng thời gian nhất định để lắng nghe nhân viên, hiểu được những gì họ đang nghĩ và trăn trở, khuyến khích nhân viên đưa ra ý tưởng để chru động cải tiến môi trường làm việc.

Thường thì mỗi nhân viên tham gia triển khai các dự án đều có nhiều lý do với sự kết hợp khác nhau của thái độ và mục tiêu nghề nghiệp. Lãnh đạo nên tìm hiểu rõ động lực, bao gồm sự phát triển, sự thừa nhận, mức độ yêu thích công việc, thử thách tại mỗi vị trí. Thêm vào đó, có thể cử nhân viên tham gia các khóa học ngắn hạn và dài hạn ở trong và ngoài nước, tạo cơ hội cho đơn vị và nhân viên hiểu rõ nhau hơn, nhân viên gắn bó lâu dài hơn. Bộ phận nhân sự cũng phải thể hiện vai trò quan trọng, thường xuyên theo dõi và báo cáo lãnh đạo các vấn đề liên quan đến nhân sự chủ chốt của dự án.

Rủi ro khi không chấp nhận và không hiểu cách sử dụng hệ thống mới: Sẽ là khó khăn để thay đổi từ hệ thống hiện tại đã rất phức tạp để sang sử dụng một hệ thống, mà thậm chí khó khăn hơn để sử dụng. Một ví dụ nhỏ là khi thay đổi từ việc sử dụng Microsoft Office (MSO) 2003 MSO 2007, việc chuyển từ menu bình thường sang dạng ruy-băng đã gây ra khó khăn cho nhân viên và phải mất một thời gian dài để huấn luyện và giúp họ làm quen với ứng dụng mới.

Với hệ thống mới, nhân viên phải học không chỉ là một cách thức khác để sử dụng các ứng dụng CNTT, mà còn chính sách mới có ảnh hưởng đến các quá trình nghiệp vụ. Người dùng cuối có thể không biết làm thế nào để sử dụng hệ thống mới và có thể dẫn đến họ sẽ biểu hiện thái độ không muốn tìm hiểu bất cứ điều gì mới, hoặc thậm chí chống lại hệ thống mới. Đó là một thực tế mà các nhà lãnh đạo phải chấp nhận và suy nghĩ về các giải pháp để ngăn ngừa và giảm thiểu rủi ro.

Trước hết, đơn vị cần thực hiện các hoạt động đào tạo và hỗ trợ để cung cấp cho người sử dụng những kỹ năng và kiến thức để sử dụng các giải pháp, giảm thiểu sự thiếu quan tâm của nhân viên. Tất cả các tài liệu đào tạo và chất lượng đào tạo (cho giảng viên hướng dẫn và đào tạo dựa trên máy tính) phải được ghi lại và công bố rộng rãi có thể được nhân viên tiếp cận bất cứ lúc họ cần.

Các nhà lãnh đạo cũng yêu cầu tạo ra một hệ thống chính thức để thu thập thông tin về sự hiểu biết và chấp nhận hệ thống mới (hệ thống hỗ trợ, khảo sát người sử dụng) một cách thường xuyên và điều chỉnh đào tạo, hướng dẫn sử dụng theo thông tin phản hồi này.

Ngoài ra, đơn vị nên phổ biến hệ thống mới cho nhân viên trước, nhấn mạnh sự tham gia của nhân viên trong việc kiểm tra và thử nghiệm, hay nói cách khác, một chiến dịch toàn diện với sự tham gia của người sử dụng nên được tạo ra (Turban & Volonino, 2010) để đảm bảo đáp ứng nhu cầu của họ.

Để giảm sự chống đối, bên cạnh việc thuyết phục nhân viên, các nhà lãnh đạo nên xây dựng một chính sách thu hút cán bộ trẻ và tài năng trong việc tuyển dụng. Điều này hữu ích khi định kỳ luân chuyển nhân viên giữa các phòng ban dựa trên nguyện vọng và khả năng của họ.

Bên cạnh đó, cần tăng cường và thúc đẩy nhân viên cách làm việc trong nhóm. Cuối cùng nhưng không kém phần quan trọng, các nhà lãnh đạo phải giữ một thái độ tích cực, đó sẽ là một yếu tố quan trọng giúp họ kiểm soát. Điều này cũng sẽ tạo ra một môi trường thoải mái cho tất cả nhân viên thấm nhuần và thay đổi tổ chức như một lời thách thức để tất cả mọi người có thể thành công.

Chính sách và quy trình nghiệp vụ có thể thay đổi trong quá trình triển khai dự án: Một dự án triển khai khó có thể đáp ứng 100% yêu cầu của nghiệp vụ, bởi vì triển khai hạ tầng kỹ thuật thường chậm hơn sự phát triển của nghiệp vụ.

Thống kê chỉ ra rằng gần 70% ứng dụng được phát triển không phù hợp với sự thay đổi của nghiệp vụ (Chong & Brown, 2000). Sẽ cần thời gian dài cho sự phát triển của hệ thống, với kế hoạch 1 hoặc 2 năm. Những gì xây dựng hôm nay, có thể không hoạt động hoặc vô dụng trong tương lai. Lãnh đạo nhận thức rõ điều này và nên chú ý ngay khi dự án được khởi động.

Văn phòng quản lý dự án sẽ nằm trong chu trình quản lý thay đổi để đảm bảo yêu cầu thay đổi được phổ biến và mọi người đều hiểu được vấn đề cũng như rủi ro và có hành động ngay tức thì để giảm thiểu rủi ro nếu có. Hơn nữa, cần có một quy tắc bất biến là mọi yêu cầu thay đổi phải được kiểm soát và được thảo luận bởi những nhân vật chính quyết định dự án.

Mặc dù có một số loại rủi ro và tất cả trong số đó đã được lãnh đạo đưa vào xem xét, các rủi ro liên quan tới con người là yếu tố quan trọng nhất mà các nhà lãnh đạo phải nhận ra và quan tâm chú ý đặc biệt, cũng như tập hợp những người liên quan để tìm giải pháp giảm thiểu rủi ro. Tuy nhiên, những rủi ro trên chỉ là những vấn đề chung được nêu ra trong quá trình khởi động một dự án; do đó, cần phải nghiên cứu sâu hơn về rủi ro và phải được viết chi tiết hơn ở từng giai đoạn của dựa án. Bên cạnh đó, cần để xem xét thêm việc chỉ định một giám đốc quản lý rủi ro - người sẽ có ba vai trò: xây dựng quy trình, thực hiện, ra quyết định và chịu trách nhiệm cho việc xây dựng văn hóa nhận thức rủi ro trong đơn vị (Hampton, 2009).

(Vũ Lê Huy - Cục CNTT - Tổng cục Thuế)