False Assurance – Kiểm soát nội bộ

April 2015 (Trường kinh doanh West Oruna, khóa học quản trị ban điều hành)
Công ty Merton:
 cty có lợi nhuận cao với doanh thu trên 400 triệu;
 đã phát triển mạnh mẽ kể từ khi mua lại công nghệ S1
 tạo ra cuộc cách mạng về hệ thống ra-da cách đây vài năm
 ra đời đầu tiên là S1A; tiếp theo là S1B và S1C; chuẩn bị ra đời S1D dự kiến sẽ thay
đổi tương lai (nhưng họ đã sai)
1/2011
Giám đốc tài chính (CFO) tại D-Merton: dự định có cuộc họp HĐQT đầu tiên dưới sự chủ trì
của Roger Tillman; Roger được bổ nhiệm làm người kế nhiệm (chủ tịch lâu năm chuẩn bị
nghỉ hưu do sức khỏe yếu)
Giám đốc điều hành (CEO): đã gia nhập cty cách đây 2 năm trước khi S1C ra đời; lương
khủng; người đã mang lại doanh thu ấn tượng cho S1C; hưởng chế độ thưởng bằng cổ phiếu
trả sau nhằm đảm bảo anh ta sẽ tập trung vào việc làm tăng trưởng giá cổ phiếu của cty trong
dài hạn
Cuối năm 2020
 Đối thủ của D-merton cho ra đời một loạt hệ thống mới; D-merton chuẩn bị ra đời
S1D dự kiến sẽ thay đổi tương lai (nhưng họ đã sai)
6 January 2011 (Cuộc họp HĐQT)
Trưởng bộ phận IT lo lắng “các vụ tấn công của hệ thống phòng vệ của X”
Chủ tịch UBKT và quản lý rủi ro cho rằng “UBKT đã xem xét kết quả kiểm tra tính năng
chống xâm nhập (Pentest) cách đây vài tháng ngay trước khi Trưởng phòng IT vào và không
phát hiện bất kỳ vấn đề lớn nào”
Chủ tịch trả lời “Cty thực hiện kiểm tra tính năng bảo mật cũng là cty thiết kế hệ thống phòng
vệ. Việc kiểm tra chỉ được giới hạn ở cơ sở dữ liệu thiết kế chính”
Thành viên HĐQT không điều hành hỏi “Cơ sở dữ liệu thiết kế thường là mục tiêu chính của
các vụ tấn công mạng?”
Chủ tịch trả lời “Đúng. Nhưng những kẻ tấn công mạng sẽ tìm kiếm bất kỳ điểm yếu nào trên
hệ thống của D-merton để truy cập”
Thành viên HĐQT không điều hành nữ hỏi “Dự định của chủ tịch như thế nào?”
Chủ tịch trả lời “Cần đánh giá một cách độc lập khả năng phòng vệ chống tấn công mạng trên
toàn bộ hệ thống”
(Sau khi kết thúc cuộc họp)
Chủ tịch hỏi “UBKT có định bổ nhiệm TYSL tiếp tục kiểm toán vào năm tới không? Và ông
cho rằng thay đổi công ty kiểm toán là một quyết định hợp lý
Chủ tịch UBKT “UBKT cũng đang xem xét vấn đề này và họ có gửi đơn đề xuất”
Thành viên HĐQT độc lập “Chủ tịch UBKT có ý định lên Chủ tịch và cô ấy cũng ủng hộ điều
đó; nhưng Ủy ban bổ nhiệm cho rằng Chủ tịch hiện tại là ứng cử viên mạnh hơn; vấn đề an
ninh mạng này vị Chủ tịch đang nghi ngờ phán đoán của Chủ tịch UBKT”
11 January 2011
Giám đốc điều hành (CEO) hỏi “Tại sao các KTV lại cho rằng suy giảm giá trị?”
Giám đốc tài chính (CFO) trả lời “Doanh thủ của S1A sụt giảm và ông cũng là người được
yêu cầu lập bảng dự báo dòng tiền để xác định giá trị hiện tại.
Nhưng hiện Giams đốc kinh doanh đang thương thảo một số hợp đồng lớn để lắp đặt hệ thống
số S1A (chỉ có ích cho hiện tại vì nó là hợp lý nếu tính đến cả doanh thu của S1B và S1C)
KTV đang xem xét có lợi hay không nếu tính đến việc công nghệ đã phát triển rất nhiều so
với nguyên bản. Nếu chỉ dựa vào doanh thu của riêng S1A thì giá trị tài sản sẽ giảm đi đáng
kể.
Ông không thể trình bày về việc công nghệ nguyên bản đang được sử dụng ở mức độ nào”
Giám đốc điều hành hỏi “Vậy ông có nên cử một cán bộ kỹ thuật để cung cấp cho KTV sự
đảm bảo mà họ cần hay không?
(Quay về lớp học)
Giám đốc tài chính (CFO) hỏi các học viên “công nghệ orange peel paraboloid – công nghệ
về ăng ten hình vỏ của túi cam”
Và không một ai biết kể cả giám đốc tài chính và còn nhiều người khác
Giám đốc tài chính (CFO) cho rằng “3 hệ thống đều có cùng thành phần cho thấy sự tương
đồng giữa chúng”
9 March 2011 (Cuộc họp UBKT và quản lý rủi ro)
Chủ tịch UBKT “nếu ghi nhận không bao gồm doanh thu của S1B và S1C trong dự báo thì sẽ
phải ghi nhận một khoản suy giảm giá trị tài sản đáng kể hay không?
Ông chủ tịch phần hùn kiểm toán “đúng vậy”
Thành viên HĐQT độc lập “dự báo doanh thu cho S1A có vẻ khả quan nếu dựa vào doanh thu
năm ngoái và những mẫu mã mới trên thị trường.”
Ông chủ tịch phần hùn kiểm toán “Các nước nghèo không có nhiều tiền để mua những mẫu
mã mới nhất có vẻ là thị trường tốt cho sản phầm này. Cty hiện đang thương thảo việc bán
nhiều hệ thống S1A cho 2 nước nhỏ hơn”
Thành viên HĐQT không điều hành nữ “những giao dịch này chắc chắn sẽ đến đâu?”
Ông chủ tịch phần hùn kiểm toán “ông đã thấy Thư bày tỏ ý định (Letter of Intent” đã ký kết”
Thành viên HĐQT không điều hành nữ “bà đoán nó phụ thuộc vào mứ độ yên tâm của ông về
việc các hệ thống mới vẫn dựa vào công nghệ nguyên bản”
Ông chủ tịch phần hùn kiểm toán “Công nghệ này tương đối khó nên ông đã gặp Trưởng
phòng công nghệ và có được sự đảm bảo rằng hệ thống S1B và S1C vẫn được xây dựng dựa
vào công nghệ nguyên bản”
Chủ tịch UBKT cho rằng “bà không chắc chắn có ai trong họ có đủ chuyên môn để bình luận
được gì về ý kiến của các chuyên gia hay về phán đoán của Chủ tịch phần hùn kiểm toán là có
sự liên kết đầy đủ giữa các hệ thống
11 March 2011 (Buổi tiệc rượu khi kết thúc cuộc kiểm toán”
Trưởng phòng kiểm toán cấp cao hỏi “anh ấy đang có cơ hội trở thành phó tổng giám đốc cao
cấp không và hỏi lần đầu đi kiểm toán cô ấy cảm thấy thế nào?
Trợ lý kiểm toán “quá nhiều đêm dài, quá nhiều bảng biểu (too days long night)”
Cô ấy hỏi “những khoản thanh toán cho Premintel mà cô cho anh xem sẽ được giải quyết như
thế nào?”
Trưởng phòng kiểm toán cấp cao nói “anh ấy đã nói với chủ phần hùn kiểm toán nam rằng
anh đã gặp giám đốc điều hành và có được sự đảm bảo cần thiết”
Anh ấy nghĩ là “giám đốc điều hành đã xác nhận là mối liên hệ với Premintel đã chấm dứt “
Trợ lý kiểm toán hỏi “vậy Premintel phải là bên liên quan?”
Trưởng phòng kiểm toán cấp cao nói “cô nói với anh ấy là chị gái của giám đốc điều hành đã
từ chức trước khi hợp đồng với Premintel được ký kết & giám đốc điều hành nói với chủ phần
hùn kiểm toán nam là không thành viên nào trong gia đình ông ấy còn lợi ích tại Premintel”
26 March 2011 (cuộc họp HDQT)
Trưởng bộ phận IT “đã diễn ra hơn 20 cuộc kiểm tra tính năng chống xâm nhập (Pentest)
khác nhau; các phát hiện 50 lỗi phòng vệ nghiêm trọng trên toàn bộ hệ thống của họ bao gồm
cơ sở dữ liệu thiết kế. Cty đặc biệt dễ bị tấn công vì có 4 hệ thống IT khác nhau hoạt động
đồng thời trong tập đoàn. Các hệ thống này được kế thừa từ các cty được họ mua lại và mức
độ bảo vệ của chúng cũng khác nhau”
2 phương án:
Thứ nhất: thay thể trung tâm của cơ sở hạ tầng hiện tại của họ, đồng bộ một hệ thống duy nhất
trong tòa → mất 9 tháng và phải thuê ngoiaf một số chức năng IT chính (tốn kém hơn và yêu
cầu chi trước số tiền lớn)
Việc thuê ngoài có làm suy yếu thêm khả năng bảo vệ của chúng ta không? Không. Nếu họ sử
dụng những nhà cung cấp có uy tín và thận trọng trong quyết định sẽ thuê ngoai những chức
năng nào.
Cty đã vay hết hạn mức và nếu đàm phán lại với ngân hàng thì chi phí lãi vay sẽ cao hơn.
Thứ hai: nâng cấp sơ cở hạ tầng hiện tại trong khoảng thời gian 2 – 3 năm, không thuê ngoài
→ nhưng đây là hình thức chắp vá thay vì thay đổi toàn bộ. (phương án dàn trải ảnh hưởng về
chi phí và dòng tiền trong một khoảng thời gian dài → có thể sắp xếp đuợc)
Ngoài rủi ro mạng, nhu cầu cấp bách là phải thống nhất toàn bộ các hệ thống của họ
Chủ tịch UBKT “có ai đã thực sự xâm nhập được vào các hệ thống của họ chưa”
Trưởng bộ phận IT “chưa, nhưng số lượt thử xâm nhập thì tăng đáng kể trong 12 tháng qua và
tất cả đã không thành công”
Chủ tịch chọn “phương án thứ hai” nhưng với điều kiện dự án bắt đầu càng sớm càng tốt
(quay về lớp học)
Giám đốc tài chính “đề xuất của UBKT và quản lý rủi ro đề nghị tái bổ nhiệm TYSL thực
hiện kiểm toán năm tiếp theo và đã được chấp nhận mặc dù Chủ tịch muốn thay đổi”
UB đã bị thuyết phục bởi đề xuất “Chủ phần hùn kiểm toán nữ sẽ chỉ đạo cuộc kiểm toán năm
tới, cô ấy là giám đốc kiểm toán khi Chủ phần hùn kiểm toán nam giữ vị trí thành viên ban
giám đốc phụ trách cuộc kiểm toán và sau đó Chủ phần hùn kiểm toán nữ cũng được đề bạt
lên làm Phó tổng giám đốc kiểm toán
Giám đốc tài chính có chung niềm tin với chủ tịch UBKT và rủi ro là đây là sự kết hợp lý
tưởng
Giám đốc kinh doanh nói “không phải giám đốc điều hành nói doanh thu của S1A là ưu tiên
sao? Chúng ta có thể quyên góp bằng cách thực hiện thanh toán cho Premintel”
“giám đốc điều hành nói bên đó đã chấp nhận sự đảm bảo của ông mà, thậm chí họ còn không
đòi báo cáo. Họ có thể giảm sự chú ý bằng cách thực hiện nhiều khoản chi nhỏ để giảm bớt sự
chú ý”
Giám đốc điều hành “nhưng vẫn rủi ro”

Chủ đề: Phân tích những vấn đề trong môi trường nội bộ liên quan đến các yếu tố Triết lý
quản lý, phong cách điều hành và khả năng chấp nhận rủi ro của công ty
Giải
Thông qua bộ phim “False assurance”, môi trường nội bộ của công ty D-Merton gặp nhiều
vấn đề liên quan đén các yếu tố về Triết lý quản lý, phong cách điều hành và khả năng chấp
nhận rủi ro của công ty
 1. Về hệ thống kiểm soát
Việc bổ nhiệm ông Roger Tilman làm chủ tịch đã gây ra một tình huống không lường trước,
mang tính kịch tính và gợi lên những mâu thuẫn nội bộ trong công ty. Điều này khiến cho bà
Liz Harris và một số thành viên trong Hội đồng quản trị không hài lòng, vì họ nghĩ rằng vị trí
này sẽ thuộc về bà Liz. Kết quả là công ty phải đối mặt với một tình hình đáng báo động trong
triết lý quản lý và phong cách điều hành, khiến sự tranh chấp và mâu thuẫn giữa các thành
viên đứng đầu phát sinh. Điều này dẫn đến rủi ro trong việc truyền đạt thông tin đến ban
Giám đốc và Hội đồng quản trị, dẫn đến việc ra quyết định có thể sai lầm và tạo ra môi trường
làm việc thiếu đoàn kết và chia rẽ. Vấn đề mà công ty D-Merton phải đối mặt không chỉ là
việc tìm ra hướng phát triển và giải pháp an ninh mạng, mà còn là vấn đề mâu thuẫn nội bộ.
2. Quyền lực của tân chủ tịch Roger Tilman
Roger Tilman đã được bổ nhiệm làm chủ tịch, đứng đầu cơ cấu tổ chức của công ty D-
Merton. Tuy nhiên, khi xem xét phong cách lãnh đạo, có những nghi ngờ về hiệu lực của
Roger Tilman dựa trên hai tình huống.
Trước hết, Roger Tilman đã đưa ra lo ngại về khả năng chống lại các vụ tấn công từ hệ thống
phòng vệ của X, nhưng Liz Harris cho biết đã kiểm tra ra một thời gian trước khi Kris gia
nhập công ty và không phát hiện ra bất kỳ vấn đề lớn nào. Ban HĐQT cũng không đặc biệt
quan tâm và rõ ràng hướng về quan điểm của Liz Harris. Roger Tilman cũng đề cử một công
ty kiểm toán khác thay vì duy trì TYSL, và bà Liz Harris đã có phản ứng thờ ơ đối với đề xuất
này.
Trong tình huống thứ hai, khi cuộc họp HĐQT phát hiện ra 50 lỗi nghiêm trọng trên toàn bộ
hệ thống, bao gồm cả cơ sở dữ liệu thiết kế, Roger Tilman là người duy nhất ủng hộ phương
án thứ nhất. Tuy nhiên, phương án thứ hai đã nhận được sự đồng thuận của đa số trong ban
HĐQT do ảnh hưởng của yếu tố chi phí và tiềm năng thu lợi trong dài hạn.
Từ hai tình huống trên, có thể đặt câu hỏi về quyền lực của Roger Tilman trong công ty. Có
thể nhận thấy Roger là một người thiếu quyết đoán, chưa có quan điểm rõ ràng hoặc đang
nhún nhường để tránh mâu thuẫn với ban HĐQT và ban Điều hành sau khi mới được bổ
nhiệm làm chủ tịch không lâu.
3. Hệ thống bảo mật công ty còn yếu kém
Xét về hệ thống bảo mật của công ty, có những nghi ngờ về hiệu quả của ý kiến được đưa ra
bởi ông Roger Tilman trong cuộc họp Hội Đồng Quản Trị đầu tiên. Ông đã bày tỏ lo ngại
rằng trưởng phòng IT Kris có thể không đủ khả năng đối phó với các cuộc tấn công mạng vào
hệ thống X. Bà Liz Harris phản ứng rằng trước khi Kris gia nhập công ty, đã có một quá trình
kiểm tra được thực hiện và không phát hiện ra vấn đề nào lớn. Điều này bắt nguồn từ việc
công ty thực hiện kiểm tra tính năng bảo mật của mình, trong đó cũng bao gồm việc thiết kế
hệ thống phòng vệ. Tuy nhiên, kiểm tra chỉ tập trung vào cơ sở dữ liệu thiết kế chính. Điều
này đề cập đến việc điều hành cùng một công ty thực hiện kiểm tra bảo mật và thiết kế hệ
thống phòng vệ, mà có thể gây khó khăn trong việc phát hiện lỗi hệ thống (ví dụ: khả năng
chống xâm nhập) và nhìn ra được các rủi ro có thể tồn tại trong hệ thống khi tất cả các hoạt
động được thực hiện bởi cùng một công ty. Hơn nữa, giới hạn kiểm tra chỉ trong phạm vi cơ
sở dữ liệu thiết kế chính cũng tạo cơ hội cho kẻ tấn công mạng lợi dụng để xâm nhập vào bất
kỳ điểm yếu nào (ngoài cơ sở dữ liệu chính), nhằm vượt qua các biện pháp phòng vệ.
Tình huống tiếp theo cho thấy sự yếu kém của hệ thống bảo mật của công ty được nêu trong
cuộc họp Hội Đồng của công ty D-Merton. Trong báo cáo của Kris Perry - trưởng phòng IT,
thông qua 20 phân tích thủ công, đã phát hiện được 50 lỗi nghiêm trọng trên toàn bộ hệ thống,
bao gồm cả cơ sở dữ liệu thiết kế. Việc có 4 hệ thống IT khác nhau hoạt động song song trong
cùng một hệ thống, và chúng được kế thừa từ các công ty mua lại, đã dẫn đến việc bảo mật
của 4 hệ thống này không đồng đều. Có hai phương án được đề xuất và phương án thứ 2,
được hầu hết mọi người trong công ty lựa chọn, cho thấy khả năng chấp nhận rủi ro của công
ty. Phương án này là nâng cấp cơ sở hạ tầng hiện tại, được thực hiện bởi nhân sự trong công
ty, không thuê ngoài và mất từ 2 đến 3 năm. Ngược lại, phương án 1 là thuê ngoài IT chính,
mất thời gian 9 tháng để thay thế trung tâm cơ sở hạ tầng và đồng bộ hóa tất cả vào một hệ
thống duy nhất. Việc lựa chọn phương án 2 xuất phát từ việc công ty đã đạt tới hạn mức tín
dụng, việc vay thêm sẽ gây lãi suất cao hơn. Mặc dù chi phí có thể được phân bổ trong
khoảng thời gian 2 đến 3 năm và không thuê ngoài, công ty cũng phải chấp nhận rủi ro rằng
hệ thống có thể bị xâm nhập bất cứ lúc nào trong giai đoạn này. Đây chỉ là một giải pháp tạm
thời và hiệu quả chưa được đảm bảo.
4. Về tính trung thực trong quá trình truyền đạt thông tin trong cuộc họp HĐQT
Trong nội bộ Ban Điều Hành và HĐQT gặp nhiều vấn đề trong việc truyền đạt thông tin.
Thông tin được Ban điều hành truyền đến HĐQT đã bị sai, điều này rõ ràng được thể hiện qua
tình huống sau.
1) Alex Frayn đã báo cáo rằng doanh thu của S1A giảm, trong khi S1B và S1C tăng.
2) Báo cáo dự kiến tình hình kinh doanh tại cuộc họp HĐQT, lại được báo cáo rằng S1A
đang có triển vọng, trong khi S1B và S1C đang giảm.
Từ đó, ta nhận thấy môi trường kiểm soát tại D-Merton còn yếu kém, không minh bạch và
thiếu trung thực. Những sai sót trong việc truyền đạt thông tin này sẽ gây ra những hậu quả
nghiêm trọng trong quyết định của HĐQT.
5. Đánh giá chung
Để khắc phục những sai sót về triết lý đã được đề cập trên, công ty cần phải chú trọng đến
việc lựa chọn một người đứng đầu trong môi trường nội bộ của công ty một cách rõ ràng, tỉ
mỉ và phù hợp. Điều này rất quan trọng để đảm bảo sự điều hành hiệu quả của các hoạt động
nội bộ và quan hệ giữa các thành viên trong ban quản trị, từ đó tránh phát sinh các rủi ro trong
quá trình làm việc.
Cần thực hiện các biện pháp tăng cường hệ thống bảo mật, nâng cao khả năng phòng ngừa và
chống xâm nhập vào hệ thống một cách chặt chẽ hơn. Mục tiêu là giảm thiểu các rủi ro có thể
xảy ra, ví dụ như việc phát hiện 50 lỗi nghiêm trọng trên toàn bộ hệ thống, bao gồm cả cơ sở
dữ liệu thiết kế dựa trên báo cáo của Kris Perry - trưởng phòng IT từ 20 phân tích thủ công.
Điều này cho phép công ty đưa ra các giải pháp phù hợp với ngân sách của mình và tránh tình
trạng phụ thuộc quá mức vào vay mượn, điều này gây ra lãi suất cao.
Bên cạnh đó, đạo đức nghề nghiệp được xem là vô cùng quan trọng và phải tuân thủ chặt chẽ
các nguyên tắc và tiêu chuẩn trong quá trình truyền đạt thông tin cho bất kỳ ai hoặc bất kỳ
phòng ban nào. Việc ghi nhận mọi thông tin một cách trung thực và không có sự sai lệch là rất
cần thiết, vì những sai sót có thể có những hậu quả nghiêm trọng đối với việc đưa ra các quyết
định.
-------------------
Chủ đề: Xem phim False assurance, trình bày tóm tắt nguyên nhân và kết quả của sự cố hệ
thống thông tin của công ty D-Merton bị tấn công, đánh cắp dữ liệu.
Thảo luận theo nhóm 5 thành viên, mỗi thành viên đóng vai các nhân vật sau: Roger Tillman,
Kris Perry, Alex Frayn, Liz Harris, Amisha Chorpa, các bạn sẽ làm gì?
Bài làm
Tóm tắt nguyên nhân
6/1/2011:
Trưởng bộ phận IT Kris Perry đã lo lắng về các vụ tấn công của hệ thống phòng vệ của X.
Với giá trị của những thiết kế mang tính đổi mới của D-Merton, ... Nhưng Chủ tịch Ủy ban
Kiểm toán và quản lý rủi ro Liz Harris lại khẳng định uỷ ban của cô ấy đã xem xét kết quả
kiểm tra tính năng chống xâm nhập (Pentest) chỉ cách đây vài tháng ngay trước khi Kris vào
công ty và không phát hiện bất kỳ vấn đề lớn nào. Chủ tịch Roger Tillman đã quyết định cần
đánh giá một cách độc lập khả năng phòng vệ chống tấn công mạng trên toàn bộ hệ thống của
công ty.
26/3/2011, tại buổi Họp hội đồng:
Trưởng bộ phận IT Kris báo cáo về các cuộc kiểm tra và đã phát hiện ra 50 lỗi phòng vệ
nghiêm trọng trên toàn bộ hệ thống của công ty bao gồm cơ sở dữ liệu thiết kế. Hệ thống đặc
biệt dễ bị tấn công vì có 4 hệ thống IT khác nhau hoạt động đồng thời trong tập đoàn. Các hệ
thống nà được kế thừa từ các công ty được D-Merton mua lại và mức độ bảo vệ của chúng
cũng khác nhau.
Có 2 phương án lựa chọn giải quyết:
- Phương án thứ nhất là thay thế trung tâm của cơ sở hạ tầng hiện tại của chúng ta, đồng bộ
một hệ thống duy nhất trong tòa, sẽ mất 9 tháng và phải thuê ngoài một số chức năng IP
chính. Công ty sẽ phải sử dụng những nhà cung cấp có uy tín và thận trọng trong quyết định
sẽ thuê ngoài những chức năng nào.
- Phương án thứ hai là nâng cấp cơ sở hạ tầng hiện tại của chúng ta trong khoảng thời gian 2
đến 3 năm và không có thuê ngoài - đây là hình thức chắp vá thay vì thay đổi toàn bộ. Phương
án 2 dàn trải ảnh hưởng về chi phí và dòng tiền trong một khoảng thời gian dài nên có thể thu
xếp được. Phương án 1 tốn kém hơn và yêu cầu chia trước số tiền lớn. Mà công ty đã vay hết
hạn mức, có thể sẽ phải đàm phán ngân hàng với mức lãi suất cao hơn-> Vì chưa có ai đã thực
sự xâm nhập được vào các hệ thống của D-Merton và quan ngại về việc phải tăng hạn mức tín
dụng (có giới hạn về ngân sách) nên để tối ưu lợi nhuận cho công ty hội đồng đã quyết định
lựa chọn phương án 2.
Kết quả:
Tại ngày 6/9/2012 đã phát hiện: 4 lần cơ sở dữ liệu thiết kế bị truy cập vào 23/2 bao gồm truy
cập vào bản thiết kế S1D. Những kẻ tấn công không truy cập trực tiếp mà truy cập vào từ hệ
thống tài chính của một trong những công ty con của D-Merton sau đó chúng có thể xâm nhập
vào hệ thống tài chính trung tâm của D-Merton tạo ra thông tin đăng nhập nội bộ riêng của
chúng. Những ID đó cho phép truy cập vào toàn bộ hệ thống bao gồm cơ sở dữ liệu thiết kế.
Không phát hiện sớm bởi vì địa chỉ IP được tạo ra tuân thủ định dạng nội bộ của D-Merton
nên phần mềm dò tìm tự động của công ty không phát hiện được vụ tấn công sớm. Với những
đơn hàng bị huỷ sẽ có khả năng bị giảm lợi nhuận mạnh.
Đóng vai Alex Frayn:
  Tại buổi Họp hội đồng 26/3/2011:
Sau khi Trưởng bộ phận IT Kris báo cáo về nguy cơ hệ thống dữ liệu của công ty bị tấn công
và đưa ra 2 phương án giải quyết thì sẽ đưa ra ý kiến:
- Phương án thứ nhất là thay thế trung tâm của cơ sở hạ tầng hiện tại của chúng ta, đồng bộ
một hệ thống duy nhất trong tòa, sẽ mất 9 tháng và phải thuê ngoài một số chức năng IP
chính. Công ty sẽ phải sử dụng những nhà cung cấp có uy tín và thận trọng trong quyết định
sẽ thuê ngoài những chức năng nào.
+ Ảnh hưởng tiêu cực: Phương án 1 tốn kém hơn và yêu cầu chia trước số tiền lớn. Mà công
ty đã vay hết hạn mức, có thể sẽ phải đàm phán ngân hàng với mức lãi suất cao hơn.
+ Ảnh hưởng tích cực: Nếu sử dụng những nhà cung cấp có uy tín và thận trọng trong quyết
định sẽ thuê ngoài những chức năng nào thì sẽ không làm ảnh hưởng đến khả năng bảo vệ dữ
liệu của công ty.
- Phương án thứ hai là nâng cấp cơ sở hạ tầng hiện tại của chúng ta trong khoảng thời gian 2
đến 3 năm và không có thuê ngoài - đây là hình thức chắp vá thay vì thay đổi toàn bộ.
+ Ảnh hưởng tiêu cực: Phương án 2 lại chỉ là hình thức chắp vá thay vì thay đổi toàn bộ.
+ Ảnh hưởng tích cực: Phương án 2 dàn trải ảnh hưởng về chi phí và dòng tiền trong một
khoảng thời gian dài nên có thể thu xếp được.
Ngoài rủi ro mạng, nhu cầu cấp bách là phải thống nhất toàn bộ các hệ thống của công ty. Nếu
kéo dài thời gian giải quyết thì sẽ có khả năng cao ảnh hưởng đến tiến độ ra mắt S1D. Hơn
hết, vào cuối năm 2010, các đối thủ của D-Merton đã cho ra đời một loạt những hệ thống mới
nên áp lực cạnh tranh cũng sẽ lớn hơn nếu thời gian giải quyết vấn đề nguy cơ bị tấn công
mạng quá lâu.
 Dựa trên những phân tích trên thì nên chọn phương án 1 để giải quyết vấn đề nguy cơ bị tấn
công vào hệ thống dữ liệu của công ty.
 Tại ngày 6/9/2012:
Sau khi phát hiện hệ thông dữ liệu của công ty đã bị tấn công, sao chép dữ liệu thì Alex Frayn
sẽ đưa ra lời khuyên:
Quyết định trình bày công bố thông tin về vấn đề xảy ra một cách trung thực cho nhà đầu tư
cũng như người sử dụng thông tin biết để nắm bắt tình hình. Thúc đẩy việc hoàn tất dự án IT
nhanh chóng để tránh ảnh hưởng thêm đến việc ra mắt S1D. Báo cáo cho đơn vị kiểm toán
của công ty để xem xét về các vấn đề còn nghi vấn gian lận trong dự án IT để xem xét có ai
đã trực tiếp/gián tiếp làm ảnh hưởng tới lợi ích của công ty haylà việc dữ liệu công ty bị xâm
nhập hay không.