GIỚI THIỆU CHUNG

Slide: Tokio Marine & Nichido Systems (TMN Systems) là một công ty dịch vụ công nghệ thông tin chuyên cung cấp các giải pháp IT cho Tokio Marine Group. Đây là một tập đoàn có quy mô toàn cầu của Nhật Bản.

Slide: TMN Systems đã phát triển một hệ thống quản trị, đánh giá rủi ro và tuân thủ (GRC) dựa trên COBIT 5 để giúp tổ chức tạo ra giá trị cho các bên liên quan cũng như tối ưu hóa rủi ro và các nguồn lực cho việc tạo ra giá trị.

XÂY DỰNG HẸ THỐNG GRC

Slide:

Nguy cơ: Trong quá khứ, Công ty này phát triển các giải pháp tin học cho công tác quản lý DN dựa trên nguyên tắc quản lý rủi ro hoạt động và sự tuân thủ. Tuy nhiên, Giám đốc của công ty cho rằng hướng phát triển này lai sẽ không tạo ra sự vững chắc cho tương lai công ty.

Yêu cầu: Công ty cảm thấy cần thiết lập một mối quan hệ giữa kinh doanh và công nghệ thông tin, các vai trò và trách nhiệm cần được xây dựng cân bằng phù hợp.

Đó cũng là nguyên do cho sự ra đời của hệ thống GRC dưa trên COBIT 5.

Slide: TMN xác định ba lĩnh chủ chốt: quản trị, quản lý rủi ro và tuân thủ. Quản trị để tạo ra giá trị, quản lý rủi ro để tối ưu hóa rủi ro và tuân giữ luật lệ. Ba lĩnh vực có thể trở nên không hiệu quả hoặc có mâu thuẫn nếu hoạt động của từng lĩnh vực được thực hiện một cách độc lập từ GRC. Do đó, TMN Systems đã tích hợp GRC thành một hệ thống quản lý duy nhất, gọi là Hệ thống GRC, phát triển như một hệ thống kiểm soát nội bộ.

Slide: Theo nguyên tắc thứ 3 của COBIT 5, "áp dụng một khuôn khổ tích hợp duy nhất", TMN Systems đã sử dụng Khuôn khổ kiểm soát nội bộ của Tokio Marine Group (TMG-ICF) như một khuôn khổ tích hợp duy nhất. TMG-ICF được thiết lập vào năm 2002 bởi Tokio Marine Holdings để tuân theo luật doanh nghiệp ở Nhật Bản.

Slide: Hệ thống GRC có 16 phạm vi kiểm soát nội bộ. Trong đó, phạm vi quản lý rủi ro được chia thành 9 phạm vi rủi ro chi tiết. Trong từng phạm vi kiểm soát nội bộ, các chính sách đã được xác định để thiết lập tương ứng với 7 loại điều kiện cần thiết (enabler) của COBIT 5.

Slide: Phạm vi dịch vụ IT là phạm vi kiểm soát nội bộ quan trọng của TMN Systems, bởi vì nó là hoạt động kinh doanh cốt lõi tại TMN Systems. Trên ảnh là thông tin trích từ Mục 3 của Chính sách cơ bản của dịch vụ IT.

Slide: Trên ảnh là mô hình khái quát hệ thống GRC của TMN Systems

Slide: TMN systems đã ứng dụng những nguyên tắc của COBIT 5 vào hệ thống GRC của mình như sau: Tách biệt quản trị khỏi quản lý (nguyên tắc 5); Đáp ứng nhu cầu của các bên liên quan (nguyên tắc 1); Tạo ra giải pháp tiếp cận toàn diện ( nguyên tắc 4); Bao phủ toàn bộ hoạt động của DN (nguyên tắc 2); Áp dụng duy nhất một khuôn khổ tích hợp (nguyên tắc 3).

Slide: Trong hệ thống GRC, hiệu suất hoạt động của công ty, hiệu quả của kiểm soát nội bộ và tình hình tuân thủ được giám sát dựa trên những quy trình được đề cập trong lĩnh vực giám sát (Monitor) MEA của COBIT 5.

Slide: Hình trên slide cho ta thấy cách làm việc của hệ thống giám sát trong hệ thống GRC

Đối với nhóm quản trị, để hoàn thành vòng quy trình quản trị EDM đúng hạn, những báo cáo giám sát được gọi là những báo cáo quản lý sẽ được báo cáo hằng tháng tới ban giám đốc. Các báo cáo này sẽ được đánh giá bởi nhóm quản trị và sau đó những bước tiếp theo sẽ được thực hiện.

Các quy trình này được thực hiện theo các quy định được đề cập trong lĩnh vực Quản trị EDM của COBIT 5.

Slide: Quy trình Quản trị và Quản lý theo miêu tả được xác định và phê chuẩn bởi ban giám đốc của TMN Systems. Việc tạo ra giá trị cho các bên liên quan được đảm bảo luôn luôn diễn ra.

Tokio Marine & Nichido Systems đã thiết lập hệ thống GRC tập trung vào việc tạo ra giá trị cho các bên liên quan của doanh nghiệp. Việc thay đổi từ hệ thống quản lý kiểm soát nội bộ thụ động sang hệ thống GRC chủ động là tất yếu và được điều khiển bởi nhu cầu của các bên liên quan. Trong suốt quá trình đưa hệ thống GRC vào hoạt động, COBIT 5 đã thúc đẩy và hỗ trợ rất nhiều trong việc thực hiện thay đổi này.