Đánh giá, quản lý rủi ro công nghệ là rất quan trọng để dự án công nghệ thành công mặc dù chúng ta đều hiểu với nhau là khôg ai muốn

Rủi ro có thể được phân ra các loại sau (tuy nhiên cũng chỉ là tương đối): công nghệ, quy trình nghiệp vụ, con người, cấu trúc tổ chức.

Công nghệ đang thay đổi nhanh chóng và không ai có thể dự đoán chính xác những gì sẽ xảy ra trong vài năm tới. Điều tốt nhất ngày hôm nay sẽ trở nên tốt hơn trong tương lai. Có nhiều cấu phần của công nghệ hạ tầng nền tảng có trong việc triển khai chuyển đổi từ hệ thống hiện tại sang hệ thống đang xây dựng, và những rủi ro tiềm tàng về công nghệ phải được quan tâm và quản lý chặt chẽ.

--> Chuyển đổi công nghệ hiện tại sang công nghệ mới thường tiềm tàng rủi ro về migrate data từ hệ thông cũ.

Hệ thống CNTT mới được tạo ra để phục vụ nhân viên, tin học hóa những công việc họ đang thực hiện. Nhân viên phải xác định nhu cầu công nghệ và có thể sử dụng nó một cách hiệu quả. Khi công nghệ liên quan đến sự thay đổi, một số người sẽ chống lại công nghệ này vì các lý do khác nhau. Do đó, vấn đề con người phải là một yếu tố quan trọng, trong việc xác định và giải quyết các rủi ro trong việc phát triển hệ thống.

--> Tâm lý chống đối lại những sự thay đổi đã sẵn có trong mỗi người chưa thực sự giác ngộ. Cần phải khéo và từ từ theo kinh nghiệm của mình thì sẽ tiếp cận với nhân viên theo kênh email với nội dung cửa dưới như: Tôi và bạn đều hiểu việc chuyển đối số là rất quan trọng để công ty phát triển, trong quá trình sử dụng phần mềm bạn có gặp khó khăn gì không,....

Những rủi ro chính xảy ra khi quy trình nghiệp vụ không được xem xét và định nghĩa cẩn thận, đi kèm với đó là những quy trình phù hợp phải được cung cấp tại thời gian thích hợp.

--> Để đáp ứng được qui trình nghiệp vụ thay đổi nhanh thì trong sản phẩm công nghệ phải được tách rời để tránh ảnh hướng tới các chức năng lõi. Thù thắng cho việc này là dựa trên nguyên tắc DDD.

Khi triển khai hệ thống CNTT mới sẽ dẫn đến những thay đổi trong cơ cấu tổ chức bao gồm: phải được thực hiện một cách cẩn thận và vào đúng thời điểm, do đó liên quan đến rủi ro. Thay đổi cơ cấu tổ chức, cũng như các công nghệ mới, có nghĩa là thay đổi nhất định trong phạm vi của đơn vị, có thêm nhiều vấn đề phát sinh mới. Do đó, bất kỳ hoạt động hoặc lĩnh vực nào ảnh hưởng tiêu cực đến sự thành công của dự án CNTT, phải được chỉ ra trong kế hoạch quản lý rủi ro với những hành động phù hợp, để đối phó và giải quyết những vấn đề hoặc rủi ro có nguy cơ xảy ra cao nhất.

--> Cơ cấu tổ chức thay đổi dẫn đến chức năng có sự thay đối theo bộ phận, dẫn đến cấu trúc phần mềm phải linh họat, có thể hình dung Microservice là yếu tố quyết định

Bảo mật từ bên trong nội bộ và từ bên ngoài, quan trong nhất là bên trong.

VD: Bảo mật bên trong: Công ty mất dần khách hàng trung thành lâu năm vì hệ thống để lộ đầu ra và đầu vào của sản phẩm dẫn đến đối thủ kéo khách trung thành thông qua cơ chế giá.

Bảo mật bên ngoài: Hệ thống có lỗ hổng bảo mật, hacker lấy được thông tin khách hàng bán cho những cá nhân lừa đảo thông tin khách hàng, sản phẩm...

Việc quản lý rủi ro phải được xác định rõ ràng trong quản lý thực hiện triển khai dự án, với phương pháp tiếp cận thích hợp để có thể quản lý được trong đội dự án. Kinh nghiệm cho thấy lãnh đạo phải phê duyệt kế hoạch quản lý rủi ro, vì ảnh hưởng của nó đối với sự thành công của dự án nói chung. Hơn nữa, kế hoạch quản lý rủi ro là chìa khóa quan trọng trong việc kiểm soát rủi ro.

Xác định rủi ro: Xác định bản chất và các nguồn gây ra rủi ro, thực hiện bằng phương thức làm việc nhóm áp dụng phương pháp brainstorming.

Đánh giá mức độ rủi ro: Các vấn đề, vướng mắc có thể được xác định là rủi ro hay không dựa trên quan điểm của từng cá nhân. Có thể nói rằng, tất cả các nhiệm vụ trong kế hoạch dự án là một nguy cơ, có thể tác động tiêu cực nếu công việc không hoàn thành. Quá trình quản lý rủi ro được thiết kế để chỉ tập trung vào những rủi ro đáng kể có khả năng xảy ra cao. Phần này sử dụng điểm số để đánh giá rủi ro và xác nhận những vấn đề cần được theo dõi và giải quyết.

Biện pháp phòng và giảm thiểu rủi ro: Nếu các biện pháp phòng ngừa là chưa đủ, thì phải có thêm kế hoạch thực hiện để giảm thiểu thiệt hại khi rủi ro xảy ra. Chỉ ra những biện pháp là trách nhiệm của chủ sở hữu rủi ro. Điều quan trọng là đối với một số rủi ro, hành động phòng ngừa có thể được thực hiện và sau đó không phải theo dõi rủi ro này nữa. Tuy nhiên với một số rủi ro khác, các bước thực hiện để giảm nhẹ rủi ro phải được lên kế hoạch trước, và vẫn phải theo dõi rủi ro này cho đến thời điểm các nguy cơ rủi ro đã qua.

Ví dụ, có thể rủi ro ứng dụng bị chậm khi phải cài đặt tạm lên máy chủ cũ nếu máy chủ mới chưa kịp về. Khi có máy chủ mới thì rủi ro này sẽ được loại bỏ.

Thỏa thuận giải quyết: Điều này cho thấy dù các hành động phòng ngừa hoặc giảm thiểu rủi ro đã được phê duyệt. Thẩm quyền phê duyệt phải là ở cấp lãnh đạo do các nguồn lực hoặc sự tham gia của các cá nhân, phòng ban khác nhau trong việc xử lý rủi ro. Một điều quan trọng nữa là chiến lược giảm nhẹ rủi ro phải được được sự chấp thuận trước để tránh sự chậm trễ trong thực hiện xử lý nếu các rủi ro hoặc nguy cơ xảy ra.

Xác định trách nhiệm: Chỉ rõ ai chịu trách nhiệm chính trong việc xử lý rủi ro. Cá nhân có trách nhiệm chính cũng phải được xác định để quy trách nhiệm tới người cụ thể.

Bên cạnh những bước nêu trên, kế hoạch quản lý rủi ro phải được rà soát, theo dõi và cập nhật. Khi các hành động được thực hiện hoặc rủi ro đã qua, thì rủi ro đó không cần theo dõi nữa. Tuy nhiên, khi đó lại có thể có những rủi ro mới phát sinh và lại phải tuân thủ đầy đủ các bước nêu trên.

Rủi ro trong dự án chỉ hết khi dự án kết thúc, nhưng thực sự lại có những rủi ro khác trong quá trình vận hành hệ thống mới..