Techcombank
Senior Officer, Technology and Digital Risk Management (40000876)
TP. Ha Noi
Risk Management Division
Experienced (Non-Manager)
Mô tả công việc
## Job Purpose
1. Develop and maintain technology risk management framework, policies, procedures, guidelines
'- Develop principles and methodologies for technology risk management, establishing technology risk limit, key risk indicators ... according to international practices, legal regulations, and internal governance requirements
- Standardize risk management activities including identifying, assessing, responding and monitoring technology and information security risks following industry best practice and international standards (NIST, ISO, COBIT ...)
- Develop technology & information security threat/ vulnerability/ scenario/ control catalogs
- Consult relevant units to develop BCP/DRP in bankwide level.
2. Develop technology risk management capabilities and improve bankwide technology & information security risk awareness and culture
## Key Accountabilities (1)
Establish and maintain the technology risk management framework
- Develop technology risk management framework, methodologies, regulations, policies, standards, procedures, guidelines.
- Enhance risk taxonomies, governance policies and operating models collaborating with ORM based on investigation findings to enhance robustness of existing risk mechanism
- Establish and allocate technology risk limits, key risk indicators (KORI) according to international practices, legal regulations, and internal governance requirements
## Key Accountabilities (2)
Assess technology risks, consult to develop mitigation solutions and monitor
- Review and approve technology risks in technology platforms, technology and business processes under the authority as prescribed
- Consult to develop solutions and methods to effectively mitigate and manage technology risk based on technology risk management framework, ensuring comprehensive risk management implementation
-Technical control assurance based on internal policies, government law and regulations, international security standards
- Independent investigate cybersecurity/ technology risk events or digital platform risks; analyzing root causes, proposing solutions/actions to mitigate and manage risks
## Key Accountabilities (3)
Develop technology risk management capabilities, improve bankwide technology risk awareness and culture
- Research on emering technologies appying in banking operations to provide subject matter advices in managing emerging risks
- Build & implement technology risk management capabilities (i.e. competencies standard, training, upskilling, coaching and communication) to enhance bank’s capability in managing technology risks in bankwide level
- Support other units to conduct training and communication to improve bank-wide technology risks awareness and culture
## Success Profile - Qualification and Experiences
Experience
- At least 3 years of relevant work experience in IT field, IT risk management
- Have experience in developing IT risk governance & management framework, risk management policies, procedures and guidelines.
- Have experience in IT infrastructure operation/ IT Architecture/ Cybersecurity operation/ DevSecOps/ Cloud Computing
- Have experience in IT Audit, IT compliance & assurance
Expertise
- Good knowlegde IT & cybersecurity risk management framework (COBIT, ITIL, ISO, NIST ...), internal information security laws & regulations (Circular 09/2020-NHNN, Circular 50/2024-NHNN, Cybersecurity Law, Personal Data Protection Law ...), and international information security standards (SWIFT CSP, PCI DSS, CIS ...)
- Good knowledge in the following areas: IT infrastructure operation/ IT Architecture/ Cybersecurity operation/ DevSecOps/ Cloud computing
Qualifications
- Having a university degree or higher on Information Technology, Information System, Computer Science, Electronics & Telecommunications, Information Security or equivalent...
- English: TOEIC 550 or equivalent
Advantage
- Professional certifications in IT Risk, IT Security: CISA/CISSP/CRISC/CISM/COBIT/ITIL ...
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cho vị trí Senior Officer, Technology and Digital Risk Management - Techcombank
### 1. HARD SKILLS (Kỹ năng chuyên môn bắt buộc)
**A. Khung quản lý rủi ro CNTT & An ninh mạng**
| Khung framework | Mức độ yêu cầu | Ứng dụng thực tế |
|---|---|---|
| COBIT 2019 | Cao | Xây dựng khung quản trị CNTT, align IT với business |
| NIST Cybersecurity Framework | Cao | Đánh giá và quản lý rủi ro an ninh mạng |
| ISO 27001/27002 | Cao | Xây dựng chính sách bảo mật thông tin |
| ITIL v4 | Trung bình | Quản lý vận hành dịch vụ CNTT |
| ISO 22301 | Trung bình | Xây dựng BCP/DRP |
**B. Quy định pháp luật Việt Nam (BẮT BUỘC)**
- **Thông tư 09/2020/TT-NHNN**: An toàn thông tin cho ngân hàng mở
- **Thông tư 50/2024/TT-NHNN**: Quản lý rủi ro công nghệ thông tin
- **Luật An ninh mạng 2015**
- **Luật Bảo vệ dữ liệu cá nhân 2023 (PDPL)**
- **Luật An toàn thông tin mạng**
**C. Tiêu chuẩn quốc tế (Ưu tiên)**
- **SWIFT CSP**: Bắt buộc nếu liên quan hệ thống thanh toán SWIFT
- **PCI DSS**: Nếu liên quan xử lý thẻ thanh toán
- **CIS Controls**: Tiêu chuẩn bảo mật mạng
**D. Kiến thức kỹ thuật**
- **Hạ tầng CNTT**: Network, Server, Database, Cloud (AWS/Azure/GCP)
- **Kiến trúc CNTT**: Enterprise Architecture, TOGAF (lợi thế)
- **Security Operations**: SIEM, SOC, Endpoint Protection, Vulnerability Management
- **DevSecOps**: Secure SDLC, SAST/DAST tools
- **Cloud Computing**: Container (K8s), Microservices, Serverless
### 2. SOFT SKILLS (Kỹ năng mềm)
| Kỹ năng | Mức độ quan trọng | Giải thích |
|---|---|---|
| Phân tích rủi ro | Rất cao | Đánh giá, phân loại rủi ro CNTT |
| Viết chính sách/tài liệu | Cao | Soạn thảo khung, quy trình, hướng dẫn |
| Giao tiếp/presenting | Cao | Diễn giải rủi ro kỹ thuật cho ban lãnh đạo |
| Tư vấn/consulting | Cao | Hỗ trợ các đơn vị quản lý rủi ro |
| Quản lý dự án | Trung bình | Triển khai các initiative về risk management |
| Làm việc nhóm | Cao | Phối hợp với IT, Security, Business units |
### 3. CHỨNG CHỈ KHUYẾN NGHỊ (Theo mức độ ưu tiên)
**Tier 1 - Bắt buộc nếu có:**
- **CISA** (Certified Information Systems Auditor) - ISACA
- **CRISC** (Certified in Risk and Information Systems Control) - ISACA
**Tier 2 - Rất giá trị:**
- **CISSP** (Certified Information Systems Security Professional) - (ISC)²
- **CISM** (Certified Information Security Manager) - ISACA
**Tier 3 - Bổ sung:**
- **COBIT 2019 Implementation** - ISACA
- **ITIL 4 Foundation/Practitioner**
- **AWS/Azure Security Certification**
- **CCSK/CCSP** - Cloud Security
### 4. BẢNG SO SÁNH TRÌNH ĐỘ THEO CẤP BẬC
| Yếu tố | Junior Officer | Senior Officer (vị trí này) | Manager |
|---|---|---|---|
| Kinh nghiệm | 1-3 năm | 3-5 năm | 5-8 năm |
| Chứng chỉ | ITIL, CompTIA | CISA/CRISC/CISSP | CISA + thêm |
| Phạm vi công việc | Hỗ trợ đánh giá | Chủ trì xây dựng framework | Quản lý team |
| Báo cáo | Tổng hợp dữ liệu | Phân tích, đề xuất | Trình ban lãnh đạo |
| Độ tự chủ | Theo chỉ dẫn | Độc lập hoàn thành | Giám sát, review |
---
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn vị trí Senior Officer, Technology and Digital Risk Management - Techcombank
### QUY TRÌNH PHỎNG VẤN DỰ KIẾN
**Vòng 1: HR Screening (30-45 phút)**
- Đánh giá hồ sơ, kinh nghiệm cơ bản
- Kiểm tra tiếng Anh (thường là TOEIC hoặc interview song ngữ)
- Tìm hiểu động lực, mong đợi lương
**Vòng 2: Technical Interview với Line Manager (60-90 phút)**
- Kiểm tra kiến thức chuyên môn sâu về IT Risk Management
- Tình huống xử lý rủi ro thực tế
- Đánh giá khả năng xây dựng framework/policy
**Vòng 3: Panel Interview với Risk Management Division (45-60 phút)**
- Phỏng vấn với Head of Division hoặc các Manager cùng team
- Thảo luận về chiến lược quản lý rủi ro CNTT
- Case study hoặc presentation
**Vòng 4: C-level/HOD Interview (30-45 phút)**
- Culture fit, tầm nhìn
- Đánh giá khả năng lãnh đạo và strategic thinking
- Thương lượng cuối cùng
### CÂU HỎI THƯỜNG GẶP THEO TỪNG VÒNG
**Vòng 1 - HR:**
- "Giới thiệu ngắn về bản thân và kinh nghiệm quản lý rủi ro CNTT"
- "Tại sao bạn muốn gia nhập Techcombank?"
- "Bạn biết gì về Techcombank và chiến lược chuyển đổi số của họ?"
- "Mức lương kỳ vọng của bạn là bao nhiêu?"
- "Bạn có chứng chỉ gì liên quan không?"
**Vòng 2 - Technical:**
- "Trình bày khung quản lý rủi ro CNTT mà bạn đã xây dựng hoặc tham gia xây dựng"
- "Sự khác biệt giữa COBIT, ITIL và NIST là gì? Khi nào nên áp dụng framework nào?"
- "Bạn đánh giá rủi ro CNTT như thế nào trong một dự án triển khai Cloud?"
- "Thông tư 50/2024/TT-NHNN có điểm gì mới so với Thông tư 09/2020? Doanh nghiệp cần làm gì để tuân thủ?"
- "Mô tả quy trình đánh giá và xử lý một sự cố an ninh mạng nghiêm trọng"
- "Bạn xây dựng KRI (Key Risk Indicator) cho hệ thống CNTT như thế nào?"
- "BCP và DRP khác nhau như thế nào? Làm sao để test hiệu quả?"
**Vòng 3 - Panel/Case:**
- "Một cuộc tấn công ransomware nhắm vào core banking system. Bạn sẽ phản ứng ra sao trong 24h đầu tiên?"
- "Làm thế nào để thuyết phục ban lãnh đạo đầu tư vào bảo mật khi họ cho rằng chi phí này không tạo ra giá trị?"
- "So sánh Zero Trust Architecture với traditional perimeter-based security"
- "Đánh giá maturity level về quản lý rủi ro CNTT của một ngân hàng Việt Nam (gap analysis)"
**Vòng 4 - Senior:**
- "Bạn thấy xu hướng rủi ro CNTT nào sẽ ảnh hưởng lớn nhất đến ngân hàng trong 3 năm tới?"
- "Làm sao để balance giữa security và user experience?"
- "Mục tiêu career của bạn trong 5 năm tới là gì?"
### TIPS CHUẨN BỊ CHI TIẾT
**1. Nghiên cứu trước phỏng vấn:**
- Đọc Annual Report 2023 của Techcombank (đặc biệt phần Digital Banking, Technology)
- Tìm hiểu Techcombank's digital transformation journey (chuyển đổi từ ngân hàng truyền thống sang ngân hàng số)
- Theo dõi các bài báo về Techcombank: ví dụ mô hình "池" (pond) strategy, Fulfilling Lives
- Tìm hiểu về các sản phẩm: TCBank, F@st, Techcombank Smart Banking
**2. Chuẩn bị kiến thức pháp luật:**
- Thông tư 09/2020/TT-NHNN: 25 tiêu chuẩn an toàn thông tin
- Thông tư 50/2024/TT-NHNN: Quản lý rủi ro CNTT - có hiệu lực 01/01/2025
- So sánh điểm mới: risk appetite, risk tolerance, KRI requirements
- Luật An ninh mạng: các điều khoản liên quan đến DN cung cấp dịch vụ CNTT
**3. Sample work product:**
- Chuẩn bị 1-2 ví dụ về framework/policy đã xây dựng (nếu có thể chia sẻ)
- Mẫu risk assessment report
- Mẫu KRI dashboard
**4. Dress Code:**
- Business formal: vest, áo sơ mi, thắt cravat (nam) / áo Vest, chân váy công sở (nữ)
- Techcombank culture khá progressive, có thể business casual nhưng nên formal trong interview
- Màu sắc trung tính: xanh navy, đen, xám
**5. Checklist ngày phỏng vấn:**
- [ ] CMTND/CCCD
- [ ] Bằng cấp bản gốc + photo
- [ ] Chứng chỉ bản gốc + photo
- [ ] Đơn xin việc (nếu có)
- [ ] CV đã update
- [ ] Laptop/tablet (phòng trường hợp có demo)
---
Lộ trình ôn thi
## Ôn thi & Chuẩn bị cho vị trí Technology and Digital Risk Management
### LỘ TRÌNH CHUẨN BỊ 2 TUẦN
**Tuần 1: Củng cố Kiến thức Nền tảng**
| Ngày | Chủ đề | Tài liệu | Thời gian |
|---|---|---|---|
| Day 1-2 | COBIT 2019 Fundamentals | COBIT 2019 Framework (ISACA), COBIT 2019 Design Guide | 4-5h/ngày |
| Day 3 | NIST CSF + NIST SP 800-53 | NIST Website, Hands-on guide | 4-5h/ngày |
| Day 4 | ISO 27001/27002 | ISO 27001:2022 standard summary | 3-4h/ngày |
| Day 5 | Thông tư 09/2020 & 50/2024 | NHNN Website, Summary notes | 4-5h/ngày |
| Day 6 | Pháp luật ANM, BVTT | Law archives, Summary notes | 3-4h/ngày |
| Day 7 | Ôn tập + Practice Questions | Quizlet, Sample exams | 4-5h/ngày |
**Tuần 2: Chuyên sâu + Mock Interview**
| Ngày | Chủ đề | Tài liệu | Thời gian |
|---|---|---|---|
| Day 8-9 | IT Infrastructure Risk | Cloud security, Network security basics | 4-5h/ngày |
| Day 10 | Cybersecurity Operations | SIEM, SOC concepts, Incident response | 4-5h/ngày |
| Day 11 | DevSecOps & SDLC | Secure development lifecycle | 3-4h/ngày |
| Day 12-13 | Mock Interview + Case Study | Self-practice, Record yourself | 4-5h/ngày |
| Day 14 | Techcombank Research + Final Prep | Annual report, News articles | 3-4h/ngày |
### TÀI LIỆU THAM KHẢO CHI TIẾT
**1. Khung quản lý rủi ro quốc tế:**
- **COBIT 2019**:
- Framework: https://www.isaca.org/cobit
- Design Guide: COBIT 2019 Design and Implementation Guide
- Focus: Governance vs Management, EDM, APO, BAI domains
- **NIST Cybersecurity Framework 2.0**:
- Website: https://csrc.nist.gov/projects/cybersecurity-framework
- 5 Functions: Identify, Protect, Detect, Respond, Recover
- Tài liệu tiếng Việt: Summary trên các blog Vietnamese cybersecurity
- **ISO 27001:2022**:
- Annex A controls (93 controls)
- So sánh với ISO 27001:2013 (14 domains → 4 themes)
**2. Quy định Việt Nam:**
- **Thông tư 09/2020/TT-NHNN**:
- 25 tiêu chuẩn an toàn thông tin cho ngân hàng mở
- Yêu cầu về governance, risk management, compliance
- **Thông tư 50/2024/TT-NHNN** (có hiệu lực 01/01/2025):
- Quản lý rủi ro CNTT, rủi ro an ninh mạng
- Risk appetite, risk tolerance
- KRI reporting requirements
- Incident classification & reporting
- **Luật An ninh mạng 2018**: Điều 26, 27, 28 về bảo vệ hệ thống thông tin
- **Luật BVTT 2023**: Tìm hiểu các điều khoản liên quan đến ngân hàng
**3. Tiêu chuẩn bổ sung:**
- **SWIFT Customer Security Program (CSP)**: Required controls
- **PCI DSS v4.0**: Nếu liên quan đến payment card
- **CIS Controls v8**: 18 critical security controls
**4. Kiến thức kỹ thuật:**
- **Cloud Security**:
- AWS Well-Architected Framework - Security Pillar
- Azure Security Benchmark
- Zero Trust Architecture (NIST SP 800-207)
- **DevSecOps**:
- OWASP Top 10
- SAST/DAST tools basics
- Secure SDLC
**5. Practice Resources:**
- ISACA's CISA, CRISC practice questions
- SANS Cyber Security Skills Roadmap
- TryHackMe / HackTheBox (basic paths)
### MẸO ÔN TẬP HIỆU QUẢ
1. **Tạo mindmap** cho mỗi framework: COBIT, NIST, ISO
2. **So sánh song song** các framework để hiểu overlap và khác biệt
3. **Đọc case study** từ các ngân hàng Việt Nam về sự cố CNTT
4. **Thực hành viết** risk assessment report mẫu
5. **Role-play** phỏng vấn với bạn bè
---
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho vị trí Technology and Digital Risk Management
### LỘ TRÌNH THĂNG TIẾN DỰ KIẾN
```
Junior Officer (1-3 năm)
↓
Senior Officer (3-5 năm) ← VỊ TRÍ NÀY
↓
Assistant Manager (5-7 năm)
↓
Manager (7-10 năm)
↓
Senior Manager / AVP (10-15 năm)
↓
VP / Director (15+ năm)
↓
CISO / Chief Risk Officer
```
### MỨC LƯƠNG KỲ VỌNG THEO CẤP BẬC (Thị trường Việt Nam 2024)
| Cấp bậc | Kinh nghiệm | Lương tháng (VND) | Notes |
|---|---|---|---|
| Junior Officer | 1-3 năm | 15-25 triệu | Entry level IT Risk |
| Senior Officer | 3-5 năm | 25-45 triệu | Vị trí này - thỏa thuận cao |
| Manager | 5-8 năm | 45-80 triệu | Quản lý team nhỏ |
| Senior Manager | 8-12 năm | 80-120 triệu | Quản lý 1-2 team |
| VP/Director | 12+ năm | 120-200+ triệu | Strategic role |
**Lưu ý về Techcombank:**
- Techcombank là ngân hàng top-tier, mức lương thường cao hơn thị trường 20-30%
- Chế độ đãi ngộ tốt: thưởng KPI, bảo hiểm cao cấp, phụ cấp...
- "Thỏa thuận" trong JD có nghĩa HR sẵn sàng negotiable dựa trên kinh nghiệm
### KỸ NĂNG CẦN PHÁT TRIỂN THÊM
**Ngắn hạn (6-12 tháng):**
1. **Lấy chứng chỉ CRISC hoặc CISM** - Rất giá trị cho career path
2. **Học thêm về Cloud Security** - AWS/GCP security certification
3. **Nâng cao tiếng Anh** - TOEIC 700+ sẽ là lợi thế lớn
4. **Thực hành viết policy** - Portfolio về các document đã xây dựng
**Trung hạn (1-3 năm):**
1. **Business acumen** - Hiểu sâu về nghiệp vụ ngân hàng
2. **Data analytics** - Phân tích dữ liệu risk, dashboard
3. **Project management** - PMP hoặc Prince2
4. **Leadership skills** - Mentoring, coaching junior
**Dài hạn (3-5 năm):**
1. **Strategic thinking** - Align IT Risk với business strategy
2. **Board communication** - Present to Board/ExCo level
3. **Change management** - Quản lý thay đổi organization-wide
4. **Industry knowledge** - Regulatory landscape, fintech trends
### SO SÁNH CƠ HỘI GIỮA CÁC NGÂN HÀNG
| Tiêu chí | Techcombank | VCB | BIDV | VPBank | MBBank |
|---|---|---|---|---|---|
| Digital maturity | Rất cao | Cao | Trung bình | Cao | Cao |
| Lương | Cao | Trung bình | Trung bình | Cao | Cao |
| Work-life balance | Khá | Khá | Trung bình | Trung bình | Khá |
| Tech stack | Hiện đại | Legacy + mới | Legacy-heavy | Hiện đại | Hiện đại |
| Cơ hội học hỏi | Nhiều | Trung bình | Ít | Nhiều | Nhiều |
| Security focus | Rất cao | Cao | Cao | Cao | Cao |
### ADVICE TỪ CHUYÊN GIA
1. **"Techcombank đang đẩy mạnh digital transformation, nên bạn sẽ có cơ hội làm việc với công nghệ mới nhất. Nhưng cũng đòi hỏi cao về output và deadline."**
2. **"Vị trí này phù hợp nếu bạn thích làm việc với framework hơn là operational security. Nếu muốn chuyên sâu kỹ thuật, có thể ưu tiên Security Operations."**
3. **"Nên bắt đầu apply nếu bạn đã có 2+ năm kinh nghiệm IT và đang có hoặc sắp lấy CISA/CRISC. 3 năm là minimum nhưng 4-5 năm sẽ competitive hơn."**
4. **"Techcombank có chế độ đãi ngộ thuộc top thị trường, nhưng performance-based nên áp lực cũng không nhỏ. Cân nhắc kỹ nếu bạn thích stability."**
5. **"Đây là vị trí ở HQ Hà Nội, không phải chi nhánh. Quan trọng: hầu hết công việc liên quan đến framework và governance, không phải hands-on technical."**
---
Câu hỏi thường gặp
Em mới tốt nghiệp IT, chưa có kinh nghiệm chính thức về quản lý rủi ro CNTT. Có nên ứng tuyển vị trí Senior Officer này không?
Vị trí yêu cầu tối thiểu 3 năm kinh nghiệm IT, nên hồ sơ của bạn có thể chưa đủ competitive. Tuy nhiên, bạn có thể:
1. Ứng tuyển các vị trí Junior Officer hoặc Officer trong cùng team Techcombank
2. Apply vào các ngân hàng/tổ chức có quy mô nhỏ hơn để tích lũy kinh nghiệm
3. Trong thời gian chờ, hãy tập trung lấy chứng chỉ CISA hoặc CRISC - đây là bước đệm rất tốt
4. Tìm kiếm các vị trí IT Risk Analyst, IT Compliance Officer, Security Governance ở các công ty fintech
Thời gian tích lũy: 2-3 năm kinh nghiệm + 1 chứng chỉ = hồ sơ competitive cho vị trí này.
Mức lương thực tế cho vị trí này là bao nhiêu? HR có mặc cả được không?
Techcombank là ngân hàng top-tier với chế độ đãi ngộ thuộc nhóm cao nhất thị trường. Với yêu cầu 3+ năm kinh nghiệm:
- Mức thấp: 25-30 triệu/tháng (cho ứng viên mới meet basic requirements)
- Mức phổ biến: 30-40 triệu/tháng (cho ứng viên có kinh nghiệm tốt)
- Mức cao: 40-55 triệu/tháng (cho ứng viên xuất sắc, có chứng chỉ quốc tế)
Lương thỏa thuận nghĩa là HR sẵn sàng negotiable. Tips:
- Đề xuất mức realistic dựa trên thị trường (nên research trên Glassdoor, VietnamWorks)
- Nếu có chứng chỉ CISA/CRISC, bạn có thể đàm phán cao hơn 10-15%
- Ngoài lương, đàm phán thêm về bonus, healthcare package, training budget
- Techcombank thường có 13th month bonus + performance bonus (2-4 tháng)
Vị trí này làm việc cụ thể như thế nào trong ngày? Có phải ngồi máy tính cả ngày không?
Công việc chủ yếu là:
**65% - Office work (policy, framework, documentation):**
- Viết và cập nhật khung quản lý rủi ro CNTT
- Soạn thảo chính sách, quy trình, hướng dẫn
- Review risk assessment reports
- Chuẩn bị báo cáo cho Ban lãnh đạo
**20% - Meetings & collaboration:**
- Họp với các đơn vị IT (Infrastructure, Development, Security)
- Workshop/training với business units
- Phối hợp với ORM (Operational Risk Management)
- Discussion với vendor/partner
**15% - On-site/Investigation:**
- Điều tra sự cố rủi ro CNTT khi có incident
- Review hệ thống tại data center
- Assessment thực tế tại các chi nhánh (ít khi)
Đây là công việc governance-oriented, không phải technical operations. Bạn sẽ ít làm hands-on technical hơn so với Security Engineer.
Em đang làm Security Engineer muốn chuyển sang IT Risk Management. Cần chuẩn bị gì để ứng tuyển thành công?
Đây là lateral move rất phổ biến và khả thi. Để chuyển đổi thành công:
**1. Xây dựng kiến thức governance:**
- Tự học COBIT 2019 (framework phổ biến nhất trong ngân hàng Việt Nam)
- Hiểu cách align IT risk với business objectives
- Đọc các policy hiện có của Techcombank (tìm trên website)
**2. Lấy chứng chỉ phù hợp:**
- CRISC (Certified in Risk and Information Systems Control) - rất phù hợp cho career shift này
- CISM (Certified Information Security Manager) - cũng rất giá trị
- CISA có thể học sau vì thiên về audit hơn
**3. Framing kinh nghiệm:**
- Trong CV, nhấn mạnh các task liên quan đến: policy writing, risk assessment, compliance review, incident investigation
- Không cần giấu technical skills - đây là lợi thế để hiểu sâu vấn đề
**4. Practice interview:**
- Chuẩn bị câu chuyện về lý do chuyển từ technical sang governance
- Điểm mạnh của bạn: hiểu kỹ thuật + có kinh nghiệm thực tế → viết policy sát thực tế hơn
**5. Timeline:**
- 3-6 tháng chuẩn bị (học chứng chỉ + ôn interview) → apply khi đủ 3 năm kinh nghiệm
KPI của vị trí này là gì? Có áp lực không?
Trong Risk Management, KPIs thường bao gồm:
**Quantitative KPIs:**
- Số lượng risk assessment hoàn thành đúng deadline
- Số lượng policy/framework được cập nhật/xuất bản
- Số KRI được monitor và reported kịp thời
- Số incidents được điều tra và có root cause analysis
**Qualitative KPIs:**
- Chất lượng báo cáo risk cho management
- Mức độ tuân thủ của các đơn vị
- Improvement về risk culture awareness
- Đánh giá từ stakeholders
**Mức độ áp lực:**
- Áp lực vừa phải, không quá khắc nghiệt như Sales hay Trading
- Stress cao hơn khi: có major incident, regulatory audit, hoặc deadline báo cáo periodic
- Techcombank có culture đòi hỏi high performance nhưng work-life balance khá tốt so với nhiều ngân hàng
- Thường không có overtime bắt buộc nhưng có thể cần effort extra trong các đợt compliance review lớn
**Lưu ý:** Vị trí này ít có KPI revenue trực tiếp, nên áp lực chủ yếu đến từ chất lượng công việc và mức độ tuân thủ.
Cơ hội phát triển từ vị trí này như thế nào? Có thể lên Manager không?
Techcombank có lộ trình thăng tiến rõ ràng và khá merit-based. Từ Senior Officer:
**Path 1: Risk Management Specialist track:**
- Senior Officer (3-5 năm) → Manager (5-8 năm) → Senior Manager (8-12 năm)
- Lên đến VP/Director of Technology Risk Management
**Path 2: CISO track:**
- Technology Risk Management → Security Operations → CISO
- Thường mất 8-12 năm để reach CISO level
**Path 3: Broader Risk Management:**
- Chuyển sang Operational Risk, Enterprise Risk
- Có thể leo lên Chief Risk Officer (CRO) sau 15+ năm
**Yếu tố giúp thăng tiến nhanh tại Techcombank:**
1. Performance rating xuất sắc (top 20%)
2. Có chứng chỉ quốc tế (CISA, CRISC, CISM)
3. Được sponsor từ manager hiện tại
4. Tham gia các project/cross-functional initiatives
5. Demonstrated leadership potential
**Thực tế:** Techcombank growth-oriented, có nhiều cơ hội internal promotion hơn so với các ngân hàng nhà nước. Nhiều người lên Manager trong 4-5 năm nếu perform tốt.
Làm ở Risk Management Division có bị ảnh hưởng khi có sự cố IT lớn không? Trách nhiệm như thế nào?
Đây là câu hỏi quan trọng về accountability:
**Trách nhiệm của Technology Risk Management:**
- Xây dựng khung và quy trình quản lý rủi ro
- Đánh giá rủi ro trước khi triển khai hệ thống mới
- Giám sát và báo cáo KRI
- Điều tra root cause khi có incident
- Đề xuất mitigation actions
**KHI CÓ SỰ CỐ LỚN:**
- Bạn sẽ tham gia CSIRT (Computer Security Incident Response Team) hoặc crisis management
- Phải viết incident report chi tiết
- Có thể phải làm OT để điều tra và khắc phục
- Nếu được chứng minh là đã làm đúng quy trình mà vẫn xảy ra sự cố → ít trách nhiệm cá nhân
- Nếu sự cố xảy ra do không tuân thủ policy do bạn xây dựng → có thể bị accountability
**Mức độ ảnh hưởng:**
- Reputation risk: Ảnh hưởng đến perception của bank về bạn
- Career risk: Nếu sự cố nghiêm trọng do governance failure → khó thăng tiến
- Legal risk: Trong trường hợp cực kỳ nghiêm trọng, có thể liên quan pháp lý
**Phòng ngừa:**
- Luôn document mọi recommendations đã đưa ra
- Email confirmation khi có risk accepted by management
- Đảm bảo policies được sign-off đúng quy trình