Tải bản đầy đủ (.docx) (21 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

TÌM HIỂU CÁC PHƯƠNG PHÁP, QUY TRÌNH PHÂN TÍCH RỦI RO

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (489.79 KB, 21 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN

BÀI TẬP LỚN MƠN HỌC

QUẢN LÝ & XÂY DỰNG CHÍNH SÁCH AN
TỒN THƠNG TIN
Đề tài:
TÌM HIỂU CÁC PHƯƠNG PHÁP, QUY TRÌNH
PHÂN TÍCH RỦI RO.
ĐƯA RA ĐÁNH GIÁ CÁC PHƯƠNG PHÁP ĐĨ.

Hà Nội, 12/2021
1


Mục Lục

2


LỜI MỞ ĐẦU
Mục tiêu của quản trị rủi ro không chỉ dừng ở việc giảm thiểu rủi ro, mà là quản lý
các rủi ro một cách hiệu quả, toàn diện, làm cơ sở cho việc bảo toàn và phát triển
các giá trị của tổ chức. Nói cách khác, quản trị rủi ro giúp cấp quản lý đưa ra các
quyết định chính xác, hiệu quả; giảm thiểu thiệt hại trong quá trình vận hành tổ
chức.
Tầm quan trọng của quản trị rủi ro thể hiện ở những nội dung sau:
-

-



-

Đánh giá khả năng xảy ra và ảnh hưởng của các tình huống xấu, xây dựng
các biện pháp ngăn ngừa, ứng phó, hoặc quản lý ảnh hưởng của các tình
huống tới tổ chức trong trường hợp xảy ra.
Quản trị rủi ro không tập trung vào các rủi ro cụ thể mà vào nguồn gốc gây
ra thiệt hại cho tổ chức. Từ đó, hỗ trợ cấp quản lý trong việc cải thiện hiệu
quả hoạt động của tổ chưc.
Ứng phó hiệu quả với mơi trường kinh doanh thay đổi thông qua việc nhận
diện, ưu tiên và lập kế hoạch ứng phó với các rủi ro, giúp tổ chức chủ động
xử lý tình huống khủng hoảng.

Mục tiêu của đề tài:
-

Tìm hiểu các phương pháp, quy trình phần tích rủi ro và đưa ra các đánh giá
về các phương pháp đó

Nội dung của đề tài:
-

Nêu ra khái niệm, định nghĩa về rủi ro và phân tích rủi ro.
Giới thiệu và nêu tầm quan trọng của khâu đánh giá rủi ro.
Chỉ ra quy trình phân tích rủi rỏ.
Đưa ra các phương pháp phân tích rủi rỏ và đánh giá các phương pháp đó.

3



KIẾN THỨC TỔNG QUAN
1.1 Giới thiệu
- Quản lý là các hoạt động nhằm đảm bảo sự tuân thủ các chính sách, các quá
trình xử lý, các chuẩn và các hướng dẫn. Mục tiêu của hoạt động này nhằm
thỏa mãn các yêu cầu của tổ chức, đảm bảo mọi người hiểu rõ và tuân theo
luật lệ.
- Quản lý chính sách ATTT là vô cùng quan trọng, giúp người quản trị biết
được mục tiêu của tổ chức được thỏa mãn và sự đầu tư của tổ chức được
quản lý phù hợp. Giúp người điều hành biết những rủi ro được quản lý phù
hợp.
a)

b)

1.2 Khái niệm, định nghĩa rủi ro
Khái niệm
Rủi ro là hậu quả tiềm tàng gây ra đối với các tài ngun hoặc thuộc tính có
giá trị. Quản lý rủi ro chun nghiệp là sự tính tốn xác suất xảy ra sự kiện và hậu
quả của sự kiện đó trong các hoàn cảnh khác nhau.
Định nghĩa
Rủi ro là sự mất mát gây ra bởi các sự kiện cùng với xác suất xảy ra sự kiện
đó. Đo lường rủi ro là rất khó vì các sự kiện rủi ro rất khó đốn trước, và các mất
mát về tinh thần của con người thì lại khơng thể lường trước hậu quả được.
Ta có công thức:
Rủi ro = (xác suất xảy ra rủi ro) x (tổn thất gây ra bởi rủi ro đó)
1.3 Mơ hình quản lý và xây dựng chính sách ATTT:
1. Đánh giá rủi ro

2. Xây dựng chính
sách


3. Thực thi

4. Giám sát và duy
trì

Đánh giá rủi ro là sự xác định phạm vi hay khu vực mà các tài sản của tổ
chức khơng được bảo vệ. Cần kiểm sốt để giảm thiểu rủi ro tới dữ liệu và hệ thống
thông tin của tổ chức đến mức chấp nhận được.
4


Xây dựng chính sách an tồn thơng tin là q trình hiểu rõ hệ thống bằng
việc trả lời những câu hỏi như: ai chịu trách nhiệm? Bảo vệ cái gì? Phạm vi áp
dụng? Khi nào áp dụng chính sách? Tại sao lại phát triển và giám sát sự tuân thủ
như thế nào?
Thực thi chính sách an tồn, khi đưa chính sách vào hệ thống cần giải quyết
các vấn đề như: chính sách có phù hợp và được người dùng chấp thuận hay không?
Phù hợp với tổ chức trong bao lâu? Thêm nữa cần phát triển nâng cao nhận thức về
an tồn cho nhân viên.
Giám sát, duy trì và cải tiến ở giai đoạn này cần đưa ra những bản báo cáo,
nhật kí về viêc thực hiện các chính sách, bản báo cáo phân tích, đánh giá rủi ro,…
Từ đó đưa ra hướng phát triển, cập nhật.
1.4 Đánh giá rủi ro
Đánh giá rủi ro là sự xác định phạm vi hay khu vực mà các tài sản của tổ
chức không được bảo vệ.
Gồm 4 cơng việc chính:


Xác định rủi ro:

- Xác định tài sản: liệt kê, phân loại tài sản. Bao gồm mọi thứ của hệ thống
trong tổ chức như con người, các thủ tục, dữ liệu và thông tin, phần mềm,
phần cứng và mạng. Sau đó lập bảng phân loại mức độ quan trọng của tài
sản.
- Xác định và phân loại các mối đe dọa: là xác định và phân loại các thực thể
được cho là nguy hại cho tài sản của tổ chức. Nghiên cứu các mối đe dọa đến
từ nhiều nguồn khác nhau như: moi tin, lỗi/không phù hợp, cố ý phá hoại, tấn
công phần mềm, lỗi kĩ thuật của phần cứng, phần mềm,… thiết lập bảng
đánh giá mối đe dọa.
- Xác định điểm yếu: là xác định những chỗ trong hệ thống mà tại đó khơng có
biện pháp hoặc biện pháp kiểm sốt khơng có tác dụng. Xem xét lại với mỗi
mối đe dọa ảnh hưởng tới tài sản, sau đó lập danh sách các điểm yếu.


Quá trình xác định rủi ro cần đạt được bảng tài liệu về tài sản, mối đe dọa,
điểm yếu.

5




Đánh giá rủi ro: gán tỉ lệ hoặc mức điểm số rủi ro cho mỗi tài sản và khả năng
xuất hiện điểm yếu. Sau đó sử dụng cơng thức tính rủi ro:
RR = P x V – R + U

trong đó:
o RR: rủi ro
o P: khả năng xuất hiện một điểm yếu
o V: giá trị của tài sản

o R: tỉ lệ phần trăm của rủi ro đã được kiểm soát hiện có giảm thiểu
o U: sự khơng chắc chắn của tri thức hiện tại về điểm yếu


Phân tích rủi ro:
là quá trình thực hiện và trả lời những câu hỏi như: ai sẽ là người phân tích
rủi ro? Mất bao lâu cho quy trình phân tích? Quy trình phân tích có thể khảo
sát những gì? Kết quả của quy trình phân tích? Sử dụng các biện pháp phân
tích và đưa ra được kết luận có căn cứ và có ích cho tổ chức.



Quản lý rủi ro:
là xem xét, nhận định những thơng tin quan trọng của doanh nghiệp, từ đó
đáp ứng các yêu cầu riêng để bảo vệ tài nguyên thơng tin của mình. Và được
văn bản hóa thành các chính sách và phương pháp. Nhằm bảo vệ 3 tính chất
cơ bản: tính tồn vẹn, tính bí mật, tính sẵn sàng.

6


2. PHÂN TÍCH RỦI RO
Đây là giai đoạn quan trọng nằm ở giữa trong quá trình dự báo rủi ro của doanh
nghiệp.
2.1 Những câu hỏi thường gặp
Để quá trình phân tích rủi ro được đầy đủ, rõ ràng chúng ta cần đi tìm hiểu
và một số câu hỏi thường gặp trong q trình phân tích.
- Tại sao phải tiến hành khảo sát và phân tích rủi ro?
Việc phân tích rủi ro tốt giúp chúng ta có được những chiến lược, hành động
cần thiết. Từ đó giúp bảo vệ an tồn thông tin và giảm thiểu những bất lợi đến với

doanh nghiệp.
- Khi nào cần phải tiến hành khảo sát, phân tích rủi ro?
Trước khi triển khai các hoạt động, dự án, có sử dụng đến tài nguyên của
doanh nghiệp nhằm giúp cho việc sử dụng tài nguyên đúng nguồn và đúng mức.
- Ai sẽ là người phân tích rủi ro?
Cần kết hợp giữa nhóm làm phân tích chính và những người có liên quan
trực tiếp đến q trình phân tích đó.
- Quy trình phân tích rủi ro mất bao lâu?
Cần hoàn thiện càng nhanh càng tốt, tránh ảnh hưởng đến cơng việc của các
nhân viên khác.
- Quy trình phân tích rủi ro có thể khảo sát những gì?
Khảo sát tất cả các nhiệm vụ, dự án, ý tưởng,… Quyết định dự án nào cần
hoãn lại, biện pháp quản lý nào cần áp dụng, dự án hiện tại có bị các mối đe dọa
nào hay khơng.
- Kết quả của quy trình phân tích rủi ro?
Các nhà quản lý có thể khảo sát những mối quan tâm đã được nhận diện,
phân cấp cho các lỗ hổng, chọn lựa được các mức kiểm soát phù hợp. Hỗ trợ các
nhà quản lý giảm thiểu rủi ro đến mức thấp nhất.
2.2 Khái niệm phân tích rủi ro (Risk analysis)
Phân tích rủi ro là q trình nhận diện các tài sản và các mối đe dọa cho các
tài sản đó, phân loại các mức nguy hại và đưa ra các giải pháp phòng ngừa khắc
phục. Phân tích rủi ro phải được xem như một phần trong quy trình hoạt động của
doanh nghiệp: phải đảm bảo cho quá trình quản lý rủi ro, hỗ trợ trực tiếp cho các
mục tiêu và nhiệm vụ của doanh nghiệp; phân tích rùi ro hiệu quả phải tìm ra được
các nhu cầu hoạt động của doanh nghiệp và đưa ra các biện pháp bảo vệ để có thể
đạt được các nhu cầu đó
7


Rủi ro là một phần của mọi dự án công nghệ thông tin và các tổ chức doanh

nghiệp. Việc phân tích rủi ro cần được thực hiện thường xuyên và phải cập nhật các
mối đe dọa tiềm ẩn mới. Phân tích rủi ro là một chiến lược giúp giảm thiểu xác suất
rủi ro và thiệt hại trong tương lai.
Doanh nghiệp và tổ chức đã sử dụng phân tích rủi ro:
-

Để dự đoán và giảm thiểu ảnh hưởng của các kết quả có hại xảy ra từ các yếu

-

tố bất lợi.
Để lên kế hoạch cho những hư hỏng, tổn thất của công nghệ hoặc thiết bị do

-

các yếu tố bất lợi, cả do tự nhiên và do con người gây ra.
Để đánh giá xem các rủi ro tiềm ẩn của một dự án có được cân bằng trong

-

q trình quyết định khi đánh giá để tiếp tục với dự án hay không.
Để xác định tác động của và chuẩn bị cho những thay đổi trong môi trường
doanh nghiệp.
Mọi tổ chức, doanh nghiệp cần phải hiểu về các rủi ro liên quan đến hệ thống

thông tin của họ để bảo vệ hiệu quả các tài sản CNTT của họ. Phân tích rủi ro có
thể giúp một tổ chức, doanh nghiệp cải thiện tính bảo mật của họ. Một số về lợi ích
của việc áp dụng phân tích rủi ro:
8



-

Liên quan đến các tác động vào tài chính và tổ chức, doanh nghiệp. Giúp xác
định, đánh giá và so sánh các tác động tổng thể của các rủi ro liên quan đến

-

tổ chức, doanh nghiệp đó.
Giúp xác định các lỗ hổng trong bảo mật thông tin và xác định các bước tiếp

-

theo để loại bỏ các rủi ro về bảo mật.
Nâng cao quá trình trao đổi và đưa ra quyết định liên quan đến an tồn thơng

-

tin.
Cải thiện các chính sách và thủ tục bảo mật cũng như phát triển các phương
pháp tối ưu về chi phí để thực hiện các chính sách và thủ tục an tồn thơng

-

tin.
Làm tăng nhận thức của nhân viên về các rủi ro và các biện pháp bảo mật
trong q trình phân tích rủi ro và hiểu được các tác động tài chính của các
rủi ro về an tồn thơng tin tiềm ẩn.

Đặc trưng

-

Cùng với nhận dạng và đo lường rủi ro, đây là giai đoạn quan trọng nằm ở
giữa trong quá trình dự báo rủi ro của doanh nghiệp.
Phân tích rủi ro thông qua việc xác định những hiểm họa, mối nguy và nguy
cơ rủi ro sẽ giúp chúng ta xác định được những rủi ro có thể chấp nhận và
khơng thể chấp nhận, những rủi ro nhiều khả năng xảy ra và ít khả năng xảy
ra để từ đó có cơ sở cho những biện pháp né tránh, phòng ngừa hoặc tài trợ,
khắc phục rủi ro.

2.3 Nhận dạng rủi ro (Risk identification)
Định nghĩa:
Nhận dạng rủi ro trong tiếng Anh là Risk identification. Nhận dạng rủi ro là quá trình xác
định một cách liên tục và có hệ thống các rủi ro có thể xảy ra trong hoạt động kinh doanh
của doanh nghiệp
2.3.1. Các vấn đề cơ bản của nhận dạng rủi ro
- Mối hiểm họa: gồm các điều kiện tạo ra hoặc làm tăng mức độ tổn thất của rủi ro.
- Mối nguy hiểm: là nguyên nhân của tổn thất.
- Nguy cơ rủi ro: là một tình huống có thể tạo nên ở bất kì lúc nào, có thể gây nên những
tổn thất (hay có thể là những lợi ích) mà cá nhân hay tổ chức khơng thể tiên đốn được.

9


2.3.2. Cơ sở nhận dạng rủi ro
- Nguồn rủi ro (phát sinh mối hiểm họa và mối nguy hiểm) thường được tiếp cận từ các
yếu tố môi trường hoạt động của doanh nghiệp.
- Nhóm đối tượng chịu rủi ro: tài sản, nguồn nhân lực.
2.3.3. Phương pháp nhận dạng rủi ro
a. Phương pháp chung: Xây dựng bảng liệt kê

- Xây dựng bảng liệt kê là việc đi tìm câu trả lời cho các câu hỏi đặt ra trong các tình
huống nhất định, để từ đó nhà quản trị có những thơng tin nhận dạng và xử lý các đối
tượng rủi ro.
- Thực chất của phương pháp sử dụng bảng liệt kê là phương pháp phân tích SWOT.
b. Các phương pháp nhận dạng cụ thể
- Phương pháp phân tích báo cáo tài chính
- Phương pháp lưu đồ;
- Phương pháp thanh tra hiện trường
- Phương pháp làm việc với các bộ phận khác của doanh nghiệp
- Phương pháp làm việc với các bộ phận khác bên ngồi doanh nghiệp
- Phương pháp phân tích hợp đồng
- Phương pháp nghiên cứu số lượng các tổn thất trong quá khứ
* Lưu ý:
- Nhà quản trị không nên chỉ dựa vào một phương pháp.
- Việc nhận dạng rủi ro phải được tiến hành thường xuyên, liên tục.
- Việc sử dụng các bảng liệt kê phải linh hoạt để áp dụng từng phương pháp nhận dạng
cho thích hợp.

2.4 Quy trình phân tích rủi ro (Risk analysis process)
Quy trình phân tích rủi ro cần phải được thực hiện và hoàn thành trước bất
kỳ các hoạt động nào khác của doanh nghiệp. Các chuyên gia công nghệ thông tin
phải giúp cho các nhà quản lý nhận diện được các tài nguyên, trí tuệ và triển khai
các biện pháp bảo vệ hiệu quả với chi phí thấp.Trên thực tế, tất cả các quy trình
phân tích rủi ro đều mang một ý tưởng hoàn toàn giống nhau.
10


2.4.1 Các bước cơ bản được thực hiện theo quy trình phân tích rủi ro là:

Bước 1. Nhận diện các tài nguyên sử dụng:

Tiếp nhận ý kiến đóng góp từ cấp quản lý. Khảo sát, đánh giá rủi ro đề cập đến, ghi
lại các rủi ro hoặc mối đe dọa của từng bô phận.
Bước 2. Xác định các rủi ro, các hiểm họa, các mối quan tâm và các vấn đề liên
quan đến tài ngun thơng tin đó:
Bước này được sử dụng để đánh giá hệ thống CNTT hoặc các khía cạnh khác của
tổ chức, doanh nghiệp nhằm xác định rủi ro liên quan đến phần mềm, phần cứng,
dữ liệu và nhân viên CNTT. Nó xác định các sự kiện bất lợi có thể xảy ra trong một
tổ chức như lỗi của con người, lũ lụt, hỏa hoạn, động đất,…
Bước 3. Phân cấp rủi ro, tìm ra các điểm yếu gây ra các hiểm họa cho tài nguyên
thông tin:
Sau khi các rủi ro được đánh giá và xác định, quá trình phân tích rủi ro cần phân
tích từng rủi ro sẽ xảy ra, cũng như xác định hậu quả liên quan đến từng rủi ro. Nó
cũng xác định cách chúng có thể ảnh hưởng đến các mục tiêu của một dự án CNTT.
Bước 4. Triển khai các biện pháp đo lường, quản lý, bảo vệ hoặc là phải chấp nhận
với rủi ro đó:
Mục tiêu chính của bước này là thực hiện các biện pháp để loại bỏ hoặc giảm thiểu
các rủi ro đã phân tích. Chúng ta có thể loại bỏ hoặc giảm thiểu rủi ro từ khi bắt đầu
với mức độ ưu tiên cao nhất hoặc ít nhất là giảm thiểu từng rủi ro để nó khơng cịn
là mối đe dọa.
Bước 5. Theo dõi hiệu quả của các biện pháp quản lý và đánh giá hiệu quả của nó:
Bước này có trách nhiệm theo dõi các rủi ro bảo mật một cách thường xuyên để xác
định, xử lý và quản lý các rủi ro phải là một phần thiết yếu của bất kỳ quy trình
phân tích rủi ro nào.
2.4.2 Nội dung phân tích rủi ro
(1) Phân tích hiểm họa
- Nhà quản trị tiến hành phân tích những điều kiện tạo ra rủi ro hoặc những điều
kiện làm tăng mức độ tổn thất khi rủi ro xảy ra.
- Nhà quản trị có thể thơng qua q trình kiểm sốt trước, kiểm soát trong và kiểm
soát sau để phát hiện ra mối hiểm họa.
11



- Phân tích hiểm hoạ khơng chỉ giới hạn ở các yếu tố đã gây ra tai nạn, mà phải xác
định cả các yếu tố có thể g yâ ra tai nạn theo kinh nghiệm của các tổ chức khác như
các công ty bảo hiểm, các đơn vị của Nhà nước…
(2) Phân tích nguyên nhân rủi ro
- Phân tích nguyên nhân rủi ro dựa trên quan điểm: Phần lớn các rủi ro xảy ra đều
liên quan đến con người.
- Phân tích nguyên nhân rủi ro dựa trên quan điểm: Phần lớn các rủi ro xảy ra là do
các yếu tố kĩ thuật, do tính chất lí hóa hay cơ học của đối tượng rủi ro.
- Phân tích nguyên nhân rủi ro dựa trên quan điểm kết hợp cả hai quan điểm trên:
Nguyên nhân rủi ro một phần phụ thuộc vào yếu tố kĩ thuật, một phần phụ thuộc
vào yếu tố con người.
(3) Phân tích tổn thất
Có thể phân tích tổn thất qua hai cách thức:
- Phân tích những tổn thất đã xảy ra: nghiên cứu, đánh giá những tổn thất đã xảy ra
để dự đoán những tổn thất sẽ xảy ra.
- Căn cứ vào hiểm họa, nguyên nhân rủi ro, người ta dự đốn những tổn thất có thể
có. Để có thơng tin về những tổn thất có thể có, nhà quản trị rủi ro cần triển khai
một mạng các nguồn thông tin và mẫu báo cáo rủi ro và st xảy rủi ro.
2.4.3 Phương pháp phân tích rủi ro

Có nhiều cách đánh giá hay phân tích rủi ro. Việc đánh giá và phân tích rủi
ro bao gồm những phương pháp khoa học và thỏa thuận với người sở hữu thơng tin.
Phải xác định được chi phí cần thiết cho việc thay thế những dữ liệu và hệ thống bị
đánh cắp, chi phí cho thời gian ngừng, hay tất cả những gì mà ta có thể tưởng tượng
ra được đối với các rủi ro.
Trong an tồn thơng tin, rủi ro được xem là 1 hàm gồm 3 biến:
RR() = F(Xác suất xảy ra hiểm họa, Xác suất xảy ra các điểm yếu, Các hậu quả
tiềm tàng)

Rủi ro tổng cộng = 0 nếu một trong các biến này tiến đến 0 . Quản lý các hiểm họa
này chính là q trình quản lý rủi ro.
1) Phân tích rủi ro theo phương pháp định lượng
12






Phương pháp đánh giá định lượng sử dụng các giá trị được biểu diễn bằng
các con số (thay vì là các mức độ/quy mô được mô tả bằng lời trong phương pháp
đánh giá định tính) đối với cả hai đại lượng là mức độ nghiêm trọng của hậu quả và
xác suất xảy ra sự cố, sử dụng các số liệu từ nhiều nguồn khác nhau. Chất lượng
của việc đánh giá phụ thuộc vào mức độ chính xác và mức độ hồn chỉnh của các
giá trị được lượng hóa sử dụng trong đánh giá.
Mức độ hậu quả có thể được ước lượng bằng cách mơ hình hóa hậu quả của
một hoặc nhiều sự cố, hoặc bằng cách phân tích dữ liệu của các cơng trình nghiên
cứu hoặc các số liệu trong quá khứ. Mức độ thiệt hại của hậu quả có thể được thể
hiện bằng số tiền, bằng các tiêu chuẩn về con người hoặc thiết bị công nghệ. Trong
một số trường hợp, có thể sử dụng đến hai giá trị biểu diễn bằng con số để xác định
hậu quả đối với các thời điểm, địa điểm, nhóm cơng việc hoặc tình huống khác
nhau.
Ưu điểm:
o Kết quả đều dựa trên các quy trình và tham số cụ thể độc lập.
o Việc định giá chi phí và lợi nhuận là cần thiết.
o Các đánh giá trực quan, dễ minh họa và diễn giải.
o Thích hợp sử dụng cho các cơng cụ phân tích và đánh giá tự động.
o Kết quả có thể được thể hiện bằng các tham số quản lý khác nhau như: giá trị
bằng tiền, phần trăm, xác suất,…

Nhược điểm:
o Tính tốn có thể rất phức tạp.
o Mất nhiều cơng sức cho việc định giá tài sản và các biện pháp khắc phục.
o Chỉ hoạt động tốt với các công cụ tự động đã được tích hợp hệ tri thức.
o Khối lượng công việc cần phải chuẩn bị trước rất lớn.
o Thơng thường rất khó tiến hành bởi một người.
o Khó khăn trong hướng dẫn những người tham gia xuyên suốt q trình.
o Rất khó khi muốn thay đổi định hướng.
o
2) Phân tích rủi ro theo phương pháp định tính
Mơ tả rủi ro về bản chất, tính chất, mức độ và phạm vi ảnh hưởng tới dự án
nếu rủi ro xảy ra. Cách phân tích này khơng gán những giá trị cụ thể cho các tham
số mà tùy thuộc vào từng ngữ cảnh nhất định hoặc dựa vào các mô ình câu hỏi “nếu
như”, “rất tốt, xấu, tốt”, “đạt, không đạt”.


Ưu điểm:
o Tính tốn rất đơn giản.
13


Không cần thiết định ra rõ ràng giá trị vật chất của các tài sản.
o Không cần phải định lượng tần suất của các hiểm họa.
o Dễ dàng trong liên kết các bộ phận phi kỹ thuật và phi bảo mật.
o Rất linh hoạt trong triển khai và báo cáo.
Nhược điểm:
o Mang tính chủ quan, dựa vào của nhóm dự án và nhận thức của các bên liên
quan về rủi ro, cho phép sai lệch, nhưng phải được xác định và sửa chữa.
o Kết quả phụ thuộc vào kinh nghiệm/chuyên môn của những người thực hiện
đánh giá rủi ro.

o Cũng cần có vài hoạt động định lượng cho các tài sản có giá trị đặc biệt quan
trọng.
o Khơng có các căn cứ rõ ràng cho việc phân tích chi phí khắc phục rủi ro.
o



2.5 Đánh giá rủi ro (risk assessment)
Định nghĩa:
Đánh giá rủi ro trong tiếng Anh là Risk assessment. Đánh giá rủi ro là việc xác
định và phân tích các rủi ro liên quan có ảnh hưởng đến hoạt động của doanh
nghiệp.
2.5.1 Nội dung đánh giá rủi ro

Để xác định và phân tích các rủi ro, nhà quản trị cần:
+ Thiết lập các mục tiêu của tổ chức, trên cơ sở xác định các mục tiêu đã được
xác định, nhà quản trị sẽ tiến hành phân tích, nhận dạng và quản trị rủi ro trong quá
trình thực hiện.
+ Nhận dạng rủi ro: Rủi ro có thể được tác động ở mức toàn đơn vị hay ảnh
hưởng đến một số bộ phận trong đơn vị.
Ở mức độ toàn đơn vị, các nhân tố phát sinh rủi ro có thể là: Sự đổi mới kĩ thuật,
sự đổi mới sản phẩm của đối thủ cạnh tranh, nhu cầu khách hàng thay đổi, các
chính sách của Nhà nước thay đổi...
Trong phạm vi từng hoạt động như bán hàng, mua hàng... rủi ro có thể phát sinh
và có thể tác động đến bản thân từng hoạt động trước khi gây ảnh hưởng dây
chuyền đến tồn bộ đơn vị.
Thơng thưởng, rủi ro liên quan đến từng bộ phận xuất phát từ các chính sách của
đơn vị. Do vậy để nhận dạng rủi ro, doanh nghiệp có thể sử dụng nhiều phương
14



pháp khác như: sử dụng phương pháp dự báo, phân tích các dữ liệu liên quan hay
thường xun rà sốt các hoạt động.
+ Phân tích và đánh giá rủi ro: Do rủi ro rất khó định lượng nên việc phân tích và
đánh giá rủi ro thường khá phức tạp. Tuy nhiên qui trình phân tích và đánh giá rủi
ro thường bao gồm các bước sau:
-

Ước lượng thiệt hại có thể xảy ra: Thiệt hại càng lớn thì rủi ro càng nghiêm
trọng.
Xem xét khả năng xảy ra rủi ro: Xác suất xảy ra thiệt hại càng lớn thì rủi ro
càng xảy ra thường xuyên hơn và số tiền thiệt hại sẽ lớn.
Số tiền thiệt hại lớn nhưng xác suất xảy ra nhỏ có thể khơng quan trọng bằng
một rủi ro khác có thiệt hại nhỏ hơn nhưng xác suất xảy ra lại cao hơn nhiều.
Biện pháp phòng ngừa: Trên cơ sở phân tích và đánh giá rủi ro, nhà quản trị
cần phải thiết lập các thủ tục kiểm sốt để có thể giảm thiểu thiệt hại do rủi
ro gây ra.

Phòng ngừa và bảo vệ là những hoạt động cần có trong một hệ thống kiểm soát.
2.5.2 Đánh giá kiểm soát rủi ro

Rủi ro kiểm soát là rủi ro xảy ra sai sót trọng yếu trong báo cáo tài chính khi tính
riêng rẽ hoặc tính gộp mà hệ thống kế tốn và hệ thống kiểm sốt nội bộ khơng
ngăn ngừa hết hoặc khơng phát hiện và sửa chữa kịp thời. Có thể hiểu theo cách
đơn giản: Rủi ro kiểm soát là sự tồn tại sai sót trọng yếu mà hệ thống kiểm sốt nội
bộ khơng phát hiện và ngăn chặn kịp thời.
Các yếu tố ảnh hưởng đến rủi ro kiểm sốt
- Tính chất mới mẻ và phức tạp của các loại giao dịch
- Khối lượng và cường độ của giao dịch (nhiều hay ít, mạnh hay yếu).
- Số lượng và chất lượng của hệ thống nhân lực tham gia kiểm soát trong doanh

nghiệp.
- Tính hiệu lực, hợp lí và hiệu quả của các thủ tục kiểm sốt và trình tự kiểm sốt
trong doanh nghiệp.
- Tính khoa học, thích hợp và hiệu quả của hệ thống kiểm soát nội bộ như: việc sắp
xếp phân cơng đúng người đúng việc, bố trí sử dụng một cách tối ưu các phương
tiện, thiết bị kết hợp với con người trong q trình kiểm sốt
Việc đánh giá rủi ro kiểm soát thực chất là việc đánh giá về tính hiệu lực, hiệu quả
của hệ thống kế tốn và hệ thống kiểm soát nội bộ trong doanh nghiệp có đủ khả
15


năng ngăn chặn, phát hiện và xử lí kịp thời các gian lận, sai sót trọng yếu xảy ra
trong doanh nghiệp một cách đáng tin cậy hay không.
2.5.2 Đánh giá phân tích rủi ro theo phương pháp định tính

Bản chất của kỹ thuật nghiên cứu định tính ln địi hỏi sự linh hoạt và sáng tạo
không ngừng nghỉ. Do vậy những nhà nghiên cứu không chỉ dựa vào những dữ liệu
thơ mà mình vừa thu thập được để viết thành báo cáo hay đưa ra những kết luận
được mà cần sử dụng các kỹ thuật để phân tích. Trong đó nổi bật là một số kỹ thuật
như:


Lý thuyết nội dung: Sử dụng để giải thích cho lý do tại sao nhu cầu của con
người lại thay đổi theo thời gian? Đâu sẽ là yếu tố để thúc đẩy hành vi của
con người? Và động lực để con người thực hiện một hành động là gì?



Lý thuyết nền tảng: Phương pháp quy nạp này cung cấp một quy trình thu
thập, tổng hợp, phân tích và khái niệm hóa dữ liệu định tính lại cho mục đích

xây dựng lý thuyết.



Phân tích theo chủ đề: Đây chính là một trong những hình thức phổ biến nhất
trong nghiên cứu định tính. Được đánh giá là khá linh hoạt do nó cho phép
lựa chọn khung lý thuyết. Do đó sẽ tùy thuộc vào từng phần hay từng chủ đề
cụ thể mà nhà nghiên cứu sẽ áp dụng bất kỳ dạng lý thuyết nào.



Phân tích biện luận: Phương pháp này sẽ bao gồm tương tác, nói chuyện trực
tiếp hoặc thơng qua biểu tượng, hình ảnh, tài liệu để giải thích cách thức và ý
nghĩa của các hành vi thu thập được.

2.5.3 Đánh giá phân tích rủi ro theo phương pháp định lượng

Khác với phân tích dữ liệu định tính, việc phân tích dữ liệu định lượng sẽ thơng kê
để tóm tắt dữ liệu, mơ tả mẫu, các mối quan hệ và sự kết nối với các biến số với
nhau. Từ đó hình thành lên báo cáo với thơng số hữu ích, dễ nhìn và dễ đưa ra
quyết định hơn.
Kỹ thuật phân tích dữ liệu định lượng sẽ bao gồm 2 loại như sau:


Thống kê mơ tả: Bao gồm các phương pháp liên quan đến việc thu thập số
liệu, việc tóm tắt, trình bày cũng như tính tốn và mơ tả để từ đó phản ánh
một cách tổng quát nhất đối tượng nghiên cứu.

16





Thống kê suy luận: Nó sẽ bao gồm các phương pháp phân tích, ước lượng
mối liên hệ giữa các hiện tượng được nghiên cứu hoặc đưa ra những quyết
định dựa trên cơ sở thu thập thông tin từ kết quả của việc quan sát mẫu.

2.5.4 Sự khác biệt giữa nghiên cứu định tính và định lượng
Nếu xét trong lĩnh vực nghiên cứu khoa học thì nghiên cứu định tính và định
lượng có vai trị rất quan trọng trong đề tài nghiên cứu. Giúp cho nhà nghiên cứu có
thể thu thập được các dữ liệu một cách chính xác nhất. Tuy nhiên 2 phương pháp
này lại trái ngược nhau và phương pháp và cách thực hoạt động.

Về đặc điểm


Nghiên cứu định tính thu thập dữ liệu bằng chữ, tiếp cận để tìm cách mơ tả,
phân tích đặc điểm của nhóm người từ quan điểm của nhà nhân học.



Nghiên cứu định lượng thu thập dữ liệu bằng số và giải quyết quan hệ trong
nghiên cứu và trong lý thuyết bằng quan điểm diễn dịch.

Về việc sử dụng lý thuyết
17





Trong nghiên cứu định tính thì các nhà nghiên cứu sẽ sử dụng theo hình thức
quy nạp, tạo ra lý thuyết, sử dụng quan điểm diễn giải, không chứng minh
chỉ có giải thích và dùng thuyết kiến tạo trong nghiên cứu. Điều này có nghĩa
là nhà nghiên cứu sẽ dựa vào các lý thuyết để xây dựng cho mình một hướng
nghiên cứu phù hợp nhất với điều kiện.



Cịn trong nghiên cứu định lượng sẽ chủ yếu kiểm dịch lý thuyết, sử dụng
mơ hình khoa học tự nhiên thực chứng luận, phương pháp có thể chứng minh
được trong thực tế, theo chủ nghĩa khách quan và là phương pháp sử dụng
chủ yếu các con số, tính khách quan cao nên có độ trung thực khá tốt.

Về cách thức thực hiện nghiên cứu


Nghiên cứu định tính địi hỏi nhà nghiên cứu phải có kỹ năng quan sát cực
cao, khả năng chọn mẫu tương thích do đây là giai đoạn đầu hình thành lên
đề tài. Đó sẽ là những phương pháp như: phỏng vấn sâu, thảo luận nhóm hay
quan sát tham dự.



Nghiên cứu định lượng lại được thực nghiệm thông qua các biến, nghiên cứu
đồng đại chéo, lịch đại, nghiên cứu trường hợp, nghiên cứu so sánh,...

Về cách chọn mẫu nghiên cứu


Trong nghiên cứu định tính: Cách chọn mẫu bao gồm chọn theo xác xuất,

xác suất ngẫu nhiên, xác suất chùm, mẫu hệ thống, cụm, phân tầng hay chọn
mẫu phi xác suất.



Trong nghiên cứu định lượng: Cách chọn mẫu sẽ bao gồm: chọn mẫu theo
thứ tự, câu hỏi đóng - mở, câu hỏi được soạn, câu hỏi ngắn gọn, xúc tích, câu
hỏi khơng gây tranh luận.

Khi nào sử dụng nghiên cứu định tính và định lượng

18


Nguyên tắc chung để quyết định sử dụng dữ liệu định tính hay định lượng là:


Sử dụng nghiên cứu định lượng nếu bạn muốn xác nhận hoặc kiểm tra điều
gì đó (một lý thuyết hoặc giả thuyết)



Sử dụng nghiên cứu định tính nếu bạn muốn hiểu điều gì đó (khái niệm, suy
nghĩ, kinh nghiệm)

Tóm lại, đối với hầu hết các chủ đề nghiên cứu, có thể chọn phương pháp định tính,
định lượng hoặc phương pháp hỗn hợp (kết hợp cả định tính và định lượng). Bằng
cách sử dụng cả hai phương pháp có thể đạt được mức độ hiểu biết sâu hơn về vấn
đề nghiên cứu.


19


PHẦN KẾT LUẬN
Phân tích và quản lý rủi ro cho phép bạn kiểm tra những rủi ro mà bạn hoặc tổ chức
của bạn phải đối mặt dựa trên một cách thức tiếp cận với suy nghĩ thông qua những
mối đe dọa, sau đó bằng cách đánh giá xác suất và chi phí của các sự kiện xảy ra.
Trong nghiên cứu thị trường, nên cân nhắc sử dụng cả hai phương pháp định
tính và định lượng để có được những kết quả có giá trị nhất. Để có được câu
trả lời hoàn hảo nhất về hành vi, thái độ của khách hàng và lý do của những
hành vi đó, từ đó kết quả nghiên cứu có thể góp phần tạo nên những quyết
định quản trị có tính chính xác cao hơn.

20


TÀI LIỆU THAM KHẢO
[1] />%E1%BB%A7i-ro/
[2] />[3] />[4] />[5] />
21



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×