Quản lý rủi ro trong các doanh nghiệp bị ảnh hưởng bởi COVID-19

Các chức năng Quản trị Rủi ro là trọng tâm của các chính sách xử lý khủng hoảng.

Hội đồng quản trị, ban giám đốc, ban điều hành, cơ quan pháp lý, khách hàng và các bên liên quan khác cần có thông tin cập nhật nhất về những rủi ro mà doanh nghiệp đang gặp phải cũng như hiệu quả của những biện pháp ứng phó đã thực hiện. Việc cập nhật thông tin rủi ro và báo cáo kịp thời là rất quan trọng để đưa ra quyết định đúng đắn.

Các doanh nghiệp quản trị rủi ro cũng chịu tác động bởi cuộc khủng hoảng này. Doanh nghiệp có thể gặp phải những hạn chế khi làm việc từ xa, giảm lực lượng lao động, gián đoạn kỹ thuật hoặc quá tải do tăng khối lượng công việc. Chúng tôi khuyên rằng doanh nghiệp nên nhận diện và khoanh vùng các loại dịch vụ quan trọng để bảo vệ doanh nghiệp, đồng thời tuân thủ các yêu cầu của pháp luật.

Những câu hỏi cần xem xét

• Doanh nghiệp có những cơ chế tăng tần suất báo cáo cho cơ quan quản lý, hội đồng quản trị và ban giám đốc hay không? Các báo cáo này có thể được trích xuất nhanh hay không? Trong trường hợp có những sự cố hệ thống, cần làm thủ công các công đoạn nào?
• Các phòng ban có quyền truy cập các Chỉ số rủi ro chính (KRI)/ Các chỉ số đo lường hiệu suất chính (KPI) mới nhất để thấy được trạng thái rủi ro và hiệu suất trong lĩnh vực thuộc trách nhiệm của mình không?
• Tình hình lực lượng lao động thuộc các dịch vụ quan trọng của doanh nghiệp thế nào? Doanh nghiệp có những phương án làm việc nào đối với nhân viên và ban lãnh đạo?
• Doanh nghiệp có dự án, sáng kiến hay các hoạt động nào có thể giảm sự ưu tiên không?
• Doanh nghiệp có KPI nhằm theo dõi sự gia tăng khối lượng các hoạt động kiểm soát của tuyến phòng vệ đầu và thứ hai không?
• Doanh nghiệp có liên hệ với các cơ quan quản lý chính không? Doanh nghiệp đã thiết lập các cách thức làm việc nào, và các đầu mối liên hệ chưa?

Các dịch vụ quan trọng

• Báo cáo Rủi ro: Các bên liên quan (ví dụ như các cơ quan quản lý, hội đồng quản trị và ban giám đốc) cần được cập nhật thông tin về rủi ro kịp thời để có thể đưa ra quyết định đúng đắn.
• Đánh giá KRI: Tình trạng khủng hoảng làm gia tăng nhiều rủi ro, do đó cần một bộ máy quản trị rủi ro làm việc rõ ràng, chính xác để quét toàn diện những chỉ số rủi ro chính và cho phép giám sát các thay đổi liên quan tới khả năng xảy ra và mức độ ảnh hưởng của các rủi ro chính.

Các doanh nghiệp nói chung cần tuân thủ yêu cầu, quy định của pháp luật ngay cả khi bị ảnh hưởng bởi COVID-19. Đồng thời, các doanh nghiệp cung cấp dịch vụ tuân thủ cũng chịu các tác động và có thể gặp phải những hạn chế khi làm việc từ xa, giảm lực lượng lao động, gián đoạn kỹ thuật hoặc quá tải do tăng khối lượng công việc.

Các doanh nghiệp thường gặp nhiều khó khăn với môi trường pháp lý phức tạp và thường đầu tư nhiều vào các hoạt động tuân thủ, nhưng các sai sót về tuân thủ vẫn còn phổ biến, và đã đến lúc tìm kiếm những cơ hội trong việc tiết kiệm chi phí và đón nhận những giải pháp công nghệ dẫn đầu về tuân thủ.

Những câu hỏi cần xem xét

• Doanh nghiệp có khả năng phát hiện các rủi ro về tuân thủ không? 
• Doanh nghiệp có phụ thuộc vào các nhà cung cấp dịch vụ cho những dịch vụ quan trọng không - ví dụ như các nền tảng công nghệ, các nhà cung cấp dịch vụ giám sát, theo dõi?
• Tình hình lực lượng lao động cho các dịch vụ quan trọng của doanh nghiệp thế nào?
• Doanh nghiệp có những phương án làm việc nào đối với nhân viên và ban lãnh đạo?
• Are you in contact with your key regulators?
• Doanh nghiệp có liên hệ với các cơ quan quản lý chính không?
• Doanh nghiệp đã thiết lập các cách thức làm việc nào, và các đầu mối liên hệ chưa?

Các dịch vụ quan trọng

• Dịch vụ pháp lý: Trong giai đoạn khủng hoảng, các cơ quan quản lý có thể tăng cường giám sát, trong khi đó doanh nghiệp có thể không còn tập trung vào các yêu cầu về tuân thủ.
• Thời hạn tuân thủ: Đánh giá quy trình và các kiểm soát về pháp lý và thời hạn hợp đồng; đánh giá KPI về báo cáo pháp lý, và các nghĩa vụ với khách hàng.
• Kiểm tra sức khỏe pháp lý: Rà soát các dự án để đánh giá tác động của COVID-19, rà soát các hợp đồng quan trọng quyết định tới khả năng thực hiện dự án và kiểm tra khả năng của bên thứ ba trong việc cung cấp các hàng hóa/ dịch vụ theo các hợp đồng này.

Các doanh nghiệp phụ thuộc vào khách hàng và nhà cung cấp để thực hiện các yêu cầu tuân thủ có thể bị ảnh hưởng, do trong thời điểm này các nhà cung cấp và khách hàng có thể đang đối mặt với các khó khăn liên quan tới làm việc từ xa, gián đoạn chuỗi cung ứng, trì hoãn phân phối, mức độ dịch vụ không ổn định và nhiều vấn đề khác.

Các yêu cầu cung cấp thông tin về tính tuân thủ của bên thứ ba thông qua các công cụ, phần mềm, quy trình chuẩn có thể không còn khả thi, do thiếu hiệu quả trong việc cung cấp thông tin có chiều sâu, cung cấp thông tin theo phạm vi và tần suất cần thiết.

Trong bối cảnh đầy biến động như hiện nay, các doanh nghiệp nên liên tục kiểm tra các vấn đề tuân thủ mà bên thứ ba có khả năng cao vi phạm.

Các câu hỏi cần xem xét

• Doanh nghiệp giám sát mức độ tuân thủ của bên thứ ba như thế nào?
• Doanh nghiệp đã áp dụng hoặc đề xuất các yêu cầu về tuân thủ mới liên quan tới tài chính, vận hành và kiểm soát nội bộ với bên thứ ba chưa?
• Làm thế nào để duy trì liên tục việc báo cáo với bên thứ ba theo tần suất đã yêu cầu?
• Doanh nghiệp đã thiết lập cách thức làm việc mới để báo cáo sai sót tuân thủ của bên thứ ba chưa?
• Các quy trình và công cụ hiện tại của doanh nghiệp có cho phép việc thu thập thông tin cốt lõi một cách kịp thời từ bên thứ ba không?
• Doanh nghiệp quản lý việc thiếu hụt tài nguyên lao động và làm việc từ xa bằng cách nào?

Các dịch vụ quan trọng

• Rà soát sức khỏe tài chính và khả năng phục hồi: Chi phí kinh tế của cuộc khủng hoảng đang đều đặn gia tăng. Sức khỏe tài chính và khả năng phục hồi lại của các nhà cung cấp trọng yếu là quan trọng hơn bao giờ hết.
• Khả năng tuân thủ: Các bên thứ ba sẽ trải qua những thử thách tương tự về kiểm soát nội bộ. Do đó, khả năng tuân thủ với các điều kiện và điều khoản trong hợp đồng của họ cũng sẽ bị ảnh hưởng.
• Khả năng phục hồi liên tục trong kinh doanh (an ninh mạng và vận hành): Khi nhân viên phải làm việc từ xa, một số bên thứ ba sẽ phải dừng các hoạt động vận hành không trọng yếu và triển khai các phương thức làm việc thay thế. Ngoài ra, doanh nghiệp có thể bị gián đoạn liên lạc với các đầu mối kiểm soát chính.

Các chuyên gia về an ninh mạng của PwC đang theo dõi chặt chẽ những diễn biến của COVID-19, và đang tham gia thảo luận với các doanh nghiệp thuộc nhiều lĩnh vực khác nhau.

Hiện nay, nhiều công ty cho phép nhân viên làm việc từ xa dẫn tới gia tăng yêu cầu về thiết lập mới hoặc xây dựng cơ sở hạ tầng Công nghệ thông tin (CNTT). Điều không may mắn là COVID-19 lại là một cơ hội tốt cho nhiều tin tặc tấn công vào cơ sở hạ tầng CNTT của doanh nghiệp.

Những câu hỏi cần xem xét

• Doanh nghiệp có kết nối VPN đầy đủ và an toàn không?
• Doanh nghiệp đã tăng cường hệ thống CNTT và giám sát an toàn mạng chưa?
• Doanh nghiệp có cài đặt các giải pháp phòng chống mã độc tiên tiến trên máy chủ và các thiết bị phụ trợ của mình chưa?
• Doanh nghiệp đã cài đặt các bản vá lỗi và cấu hình bảo mật mới nhất chưa?
• Cần phải làm gì trong trường hợp gia tăng hoạt động lừa đảo bên ngoài?
• Doanh nghiệp có cái nhìn rõ ràng về quyền truy cập của nhân viên làm việc từ xa không?

Các dịch vụ quan trọng

Các quan sát của chúng tôi cho thấy các loại hình dịch vụ sau có thể bị gián đoạn vì COVID-19. Các dịch vụ sau đây sẽ mô tả phương thức doanh nghiệp quản lý cơ sở hạ tầng CNTT của mình và tránh bị tổn hại bởi sự tấn công của tin tặc.

• Công nghệ làm việc từ xa
• Quản lý hoạt động liên tục / Kế hoạch khắc phục thảm họa
• Quản lý truy cập
• Lừa đảo và tấn công xã hội
• Anti-malware/Anti-ransomware solutions;
• Giải pháp chống phần mềm độc hại / Chống mã độc
• Phần mềm vá lỗi và quản lý lỗ hổng
• Ứng phó sự cố.

Những tác động trong kinh doanh hiện nay là rất phức tạp. Sự lan rộng mang tính toàn cầu của COVID-19 và những chuyển biến không đoán trước được khiến cho tất cả chúng ta gặp khó khăn.

Đối với hầu hết các doanh nghiệp, phương thức làm việc hiện tại được thiết kế để tập trung vào các lĩnh vực rủi ro chính và hệ thống kiểm soát nội bộ theo kịch bản Kinh doanh bình thường.

Trong bối cảnh đầy biến động hiện nay, các doanh nghiệp nên tập trung sự chú ý vào các kế hoạch kinh doanh liên tục và nhận diện các cơ hội phục hồi kinh tế.

Những câu hỏi cần xem xét

• Làm thế nào để xác định và chuẩn bị cho các sự kiện có thể làm gián đoạn hoạt động kinh doanh?
• Làm thế nào để giảm thiểu tác động của việc gián đoạn đến kinh doanh?
• Làm thế nào để cải thiện thời gian phục hồi?
• Làm thế nào để hoạt động liên tục và đưa ra các phương án dự phòng trong trường hợp khẩn cấp?
• Làm thế nào để xác định điểm yếu và các tác động của COVID-19 (liên quan tới chuỗi cung ứng, lực lượng lao động, nhu cầu khách hàng,...)

Các dịch vụ quan trọng

• Rà soát các phương án kinh doanh liên tục: Phân tích những điểm yếu của kế hoạch kinh doanh liên tục và xác định những tác động của COVID-19 tới chuỗi cung ứng, lực lượng lao động, nhu cầu khách hàng,... Việc rà soát này bao gồm kiểm tra căng thằng (stress test) các kịch bản dự phòng, các kế hoạch kinh doanh liên tục và đánh giá tác động của các kế hoạch này đến các quy trình và hệ thống kiểm soát.
• Lập kế hoạch dự phòng: Rà soát các quy trình và các kiểm soát chính theo kịch bản kinh doanh bình thường và phân tích các thay đổi của các quy trình và kiểm soát này dưới những phương án dự phòng khác nhau.