Nhận diện và phân tích rủi ro bên thứ ba
I. Giới thiệu khóa học:
Trong bối cảnh doanh nghiệp ngày càng phụ thuộc vào mạng lưới nhà cung cấp, đối tác gia công, đơn vị cung cấp dịch vụ công nghệ và các bên liên kết khác để vận hành và mở rộng hoạt động kinh doanh, rủi ro không còn giới hạn trong phạm vi nội bộ tổ chức mà đã lan rộng ra toàn bộ chuỗi giá trị. Một sự cố xảy ra tại nhà cung cấp - từ gián đoạn dịch vụ, rò rỉ dữ liệu, vi phạm hợp đồng cho đến các vấn đề tuân thủ pháp lý - đều có thể tác động trực tiếp đến uy tín, tài chính và hoạt động của doanh nghiệp sử dụng dịch vụ.
Thực tế quản trị tại nhiều tổ chức cho thấy một số biểu hiện phổ biến của khoảng trống trong quản lý rủi ro bên thứ ba:
- Thiếu quy trình đánh giá rủi ro có hệ thống trước khi ký kết hợp đồng với nhà cung cấp mới.
- Không phân loại nhà cung cấp theo mức độ trọng yếu và rủi ro, dẫn đến nguồn lực giám sát bị dàn trải hoặc bỏ sót các đối tác then chốt.
- Hợp đồng và SLA thiếu các điều khoản ràng buộc về bảo mật, liên tục kinh doanh và quyền kiểm toán.
- Thiếu cơ chế giám sát định kỳ trong suốt vòng đời hợp tác, chỉ dừng lại ở khâu thẩm định ban đầu.
Khóa học được thiết kế theo cách tiếp cận thực chiến, dựa trên các khung tham chiếu quốc tế được thừa nhận rộng rãi như COSO ERM, ISO 27036 và NIST Cybersecurity Framework, kết hợp cùng kinh nghiệm thực tế trong tư vấn và kiểm toán quản trị rủi ro công nghệ thông tin. Học viên sẽ được trang bị một khung quản lý rủi ro bên thứ ba xuyên suốt vòng đời hợp tác - từ thẩm định trước ký kết, giám sát trong quá trình vận hành, đến chấm dứt hợp đồng - và trực tiếp thực hành xây dựng công cụ đánh giá áp dụng được ngay vào công việc.
II. Thời lượng: 08 giờ (1 ngày)
III. Hình thức đào tạo:
Đào tạo trực tiếp tại lớp học, đào tạo online tương tác với giảng viên, đào tạo kết hợp online và trực tiếp tại lớp học, đào tạo tại văn phòng khách hàng theo yêu cầu.
IV. Mục tiêu khóa học:
- Nắm vững khái niệm, phân loại và các khung quản trị rủi ro bên thứ ba được công nhận quốc tế (COSO ERM, ISO 27036, NIST).
- Phân tích được các nhóm rủi ro thường gặp từ bên thứ ba - vận hành, tài chính, pháp lý, an ninh thông tin, danh tiếng - và dấu hiệu cảnh báo sớm tương ứng.
- Có trong tay checklist thẩm định, mẫu tiêu chí đánh giá và khung giám sát định kỳ có thể tùy biến theo đặc thù tổ chức.
- Hiểu và vận dụng được quy trình quản lý rủi ro bên thứ ba xuyên suốt từ due diligence, ký kết hợp đồng, giám sát đến chấm dứt hợp tác.
- Vận dụng được vai trò và phương pháp kiểm toán nội bộ trong việc đánh giá nhà cung cấp/đối tác trọng yếu thông qua case study thực tế.
- Kết nối được vai trò của kiểm toán nội bộ, quản lý rủi ro và kiểm soát nội bộ trong một cơ chế quản trị rủi ro bên thứ ba thống nhất.
V. Đối tượng tham gia:
- Nhân sự Kiểm toán nội bộ trực tiếp thực hiện hoặc phụ trách các cuộc kiểm toán liên quan đến nhà cung cấp, đối tác gia công.
- Nhân sự Quản lý rủi ro doanh nghiệp (ERM) chịu trách nhiệm xây dựng và vận hành khung quản trị rủi ro bên thứ ba.
- Nhân sự Kiểm soát nội bộ/Compliance tham gia thẩm định, giám sát tuân thủ đối với nhà cung cấp và đối tác.
- Cấp quản lý phụ trách mua sắm, pháp chế, CNTT có liên quan trực tiếp đến việc lựa chọn, ký kết và giám sát nhà cung cấp.
- Các đối tượng khác có quan tâm.
VI. Nội dung khóa học:
Phần 1: Tổng quan & khung quản trị rủi ro bên thứ ba
- Khái niệm bên thứ ba và rủi ro bên thứ ba trong doanh nghiệp.
- Phân loại nhà cung cấp/đối tác theo mức độ trọng yếu và rủi ro.
- Các khung tham chiếu quốc tế: COSO ERM, ISO 27036, NIST.
- Vai trò của KTNB, QLRR và KSNB trong quản trị rủi ro bên thứ ba.
- Kết quả mong đợi: Học viên nắm được khái niệm, phân loại nhà cung cấp và các khung tham chiếu quốc tế làm nền tảng cho toàn khóa học.
Phần 2: Phân tích các rủi ro thường gặp của bên thứ ba
- Rủi ro vận hành: gián đoạn dịch vụ, phụ thuộc nhà cung cấp.
- Rủi ro tài chính: năng lực tài chính, khả năng duy trì hoạt động của đối tác.
- Rủi ro pháp lý & hợp đồng: điều khoản lỏng lẻo, tranh chấp, vi phạm cam kết.
- Rủi ro an ninh thông tin & bảo vệ dữ liệu cá nhân.
- Rủi ro danh tiếng & tuân thủ (ESG, chống tham nhũng, lao động).
- Minh họa bằng case thực tế theo từng nhóm rủi ro.
- Kết quả mong đợi: Học viên phân tích và nhận diện được các nhóm rủi ro thường gặp của bên thứ ba cùng dấu hiệu cảnh báo sớm tương ứng.
Phần 3: Quy trình quản lý rủi ro bên thứ ba theo vòng đời
- Due diligence trước khi ký kết hợp đồng.
- Đánh giá rủi ro ban đầu (initial risk assessment).
- Xây dựng điều khoản hợp đồng & SLA có tính ràng buộc rủi ro.
- Giám sát định kỳ trong suốt quá trình hợp tác (ongoing monitoring).
- Quy trình chấm dứt hợp tác (offboarding) an toàn.
- Kết quả mong đợi: Học viên hiểu và vận dụng được quy trình quản lý rủi ro bên thứ ba xuyên suốt vòng đời hợp tác.
Phần 4: Thực hành đánh giá & kiểm toán rủi ro bên thứ ba
- Xây dựng bộ tiêu chí/checklist đánh giá nhà cung cấp.
- Case study thực tế: đánh giá một nhà cung cấp trọng yếu.
- Vai trò và phương pháp của KTNB trong kiểm toán nhà cung cấp.
- Thảo luận nhóm & phản hồi.
- Kết quả mong đợi: Học viên thực hành xây dựng được checklist đánh giá và vận dụng được phương pháp kiểm toán nhà cung cấp trọng yếu.
Học trực tuyến
Học tại Hồ Chí Minh
Học tại Hà Nội



