Head of Technology Risk Management (Giám Đốc Quản Lý Rủi Ro CNTT)

Prudential’s purpose is to be partners for every life and protectors for every future. Our purpose encourages everything we do by creating a culture in which diversity is celebrated and inclusion assured, for our people, customers, and partners. We provide a platform for our people to do their best work and make an impact to the business, and we support our people’s career ambitions. We pledge to make Prudential a place where you can Connect, Grow, and Succeed.

Job Purpose / Mục tiêu vị trí

This role is to:

Vị trí này giúp:

• Build and role‑model a risk culture of ownership and accountability for technology risks.
• Xây dựng và làm gương cho văn hóa sở hữu và trách nhiệm đối với rủi ro công nghệ
• Ensure no audit overdue, including SOX audit, through proactive tracking, escalation and closure governance.
• Đảm bảo không có hạng mục kiểm toán quá hạn, bao gồm kiểm toán SOX, thông qua theo dõi chủ động, báo cáo leo thang và quản trị đóng hồ sơ.
• Identify, assess and escalate material technology vulnerabilities with potential impact on confidentiality, integrity or availability.
  Nhận diện, đánh giá và báo cáo các lỗ hổng công nghệ trọng yếu có thể ảnh hưởng đến tính bảo mật, toàn vẹn hoặc sẵn sàng.

• Provide assurance and oversight on information and technology risks that might pose a threat to the business.
• Đảm bảo và giám sát các rủi ro thông tin và công nghệ có thể gây ra mối đe dọa cho doanh nghiệp.
• Provide LBU management with objective analysis, detailed observations and recommendations relating to key information and technology risk areas to mitigate the spectrum of risks relating to the achievement of the LBU’s business operations.
• Cung cấp cho ban quản lý công ty những phân tích khách quan, quan sát chi tiết và đề xuất liên quan đến các lĩnh vực rủi ro công nghệ và thông tin trọng yếu để giảm thiểu các rủi ro liên quan đến việc đạt được các hoạt động kinh doanh của LBU.
• Provide oversight and assurance within the LBU that processes, tools, and technologies are operating effectively to mitigate risks to information and technology assets.
• Giám sát và đảm bảo trong công ty rằng các quy trình, công cụ và công nghệ đang hoạt động hiệu quả để giảm thiểu rủi ro đối với thông tin và tài sản công nghệ.
• Monitor and review the effectiveness of implementation of information technology, security and data protection standards, policies, and procedures within the LBU to ensure compliance with regulatory, Group, and LBU specific policy requirements
• Theo dõi và đánh giá hiệu quả của việc triển khai các tiêu chuẩn, chính sách và thủ tục về công nghệ thông tin, bảo mật và bảo vệ dữ liệu trong công ty để đảm bảo tuân thủ các yêu cầu chính sách cụ thể của cơ quan chức năng, của Tập đoàn và của công ty.
• Support LBU operational functions as required to manage risks to information and technology assets appropriately
• Hỗ trợ các chức năng vận hành của công ty theo yêu cầu để quản lý rủi ro đối với tài sản công nghệ và thông tin một cách phù hợp
• Provide independent, objective assurance that information and technology risks are being managed to ensure they are within the risk appetite approved by the Board.
• Đảm bảo tính độc lập, khách quan rằng các rủi ro thông tin và công nghệ đang được quản lý để đảm bảo những rủi ro này nằm trong khẩu vị rủi ro đã được Hội đồng quản trị phê duyệt.
• Work closely with the Group Technology Risk Management team to roll out and ensure the effective implementation of information and technology risk frameworks, policies, processes, and other initiatives
• Phối hợp chặt chẽ với nhóm Quản lý Rủi ro Công nghệ của Tập đoàn để triển khai và đảm bảo triển khai hiệu quả các khuôn khổ, chính sách, quy trình và các sáng kiến ​​khác về rủi ro công nghệ và thông tin

Job Responsibilities / Phạm vi công việc

IT Operational Risk Management

• Embed ownership and accountability within 1st‑line technology‑risk processes (incident, change, problem, SDLC), with named control owners and clear due dates
• Run audit‑action governance to ensure no audit overdue (including SOX), using an integrated tracker, periodic updates and time‑bound escalation.
• Drive systematic identification of material technology vulnerabilities through scanning, penetration testing, threat‑intelligence inputs and control monitoring; ensure timely risk treatment.
• Conduct IT risk governance, risk exercises following ORM framework.
• Thực hiện quản trị rủi ro CNTT, thực hành rủi ro theo khuôn khổ ORM.
• Conduct frequent deep dive review of IT Key risks, processes and investigate incidents’ root causes to optimize process and propose recommendations.
• Tiến hành đánh giá sâu thường xuyên về các rủi ro, quy trình chính của CNTT và điều tra nguyên nhân gốc rễ của sự cố để tối ưu hóa quy trình và đề xuất các khuyến nghị.
• Access and monitor IT Incident Management systems to support business teams and IT to control risk of IT system disruptions.
• Truy cập và giám sát hệ thống Quản lý Sự cố CNTT để hỗ trợ các nhóm kinh doanh và CNTT kiểm soát rủi ro gián đoạn hệ thống CNTT.
• Review, advise, train IT Risk Champion to enhance IT processes and risk controls.
• Rà soát, tư vấn, đào tạo IT Risk Champion để nâng cao các quy trình IT và kiểm soát rủi ro.
• To advise, support digitalization projects/process in company.
• Tư vấn, hỗ trợ các dự án / quy trình số hóa trong công ty.

Cyber and Data Risk Management

• Provide oversight of the security and privacy incident. Ensure proper escalation of incident as per LBU incident management process and Group CSIRP. Review the recovery, remedial, and preventive actions taken by 1st Line is effective in managing security and privacy incidents
• Giám sát sự cố bảo mật và quyền riêng tư. Đảm bảo báo cáo sự cố đúng theo quy trình quản lý sự cố cấp Công ty và cấp Tập đoàn CSIRP. Kiểm tra lại các hành động khôi phục, khắc phục và phòng ngừa do tuyến phòng ngự số 1 thực hiện có hiệu quả trong việc quản lý các sự cố bảo mật và quyền riêng tư
• Review the effectiveness, and completeness of the Risk and Control Self-Assessment (RCSA). Ensuring that risks are properly articulated, controls are effective in ensuring risk are adequately managed. Performs control testing for key Technology and Privacy related risk as part of RCSA.
• Xem xét tính hiệu quả và tính đầy đủ của quy trình RCSA (Quy trình tự đánh giá rủi ro và kiểm soát). Đảm bảo rằng rủi ro được xác định rõ ràng, các biện pháp kiểm soát có hiệu quả trong việc đảm bảo rủi ro được quản lý đầy đủ. Thực hiện kiểm tra kiểm soát đối với rủi ro chính liên quan đến Công nghệ và Quyền riêng tư như một phần của RCSA
• Review accuracy / completeness of reporting, ensuring security and privacy risks are properly identified and articulated. Prepare and submit Technology Risk update to LBU risk committee/relevant forum. Collect data for KRI reporting.
• Xem xét tính chính xác/đầy đủ của báo cáo, đảm bảo các rủi ro về bảo mật và quyền riêng tư được xác định và trình bày rõ rang. Chuẩn bị và gửi bản cập nhật Rủi ro Công nghệ cho ủy ban rủi ro LBU/diễn đàn có liên quan. Thu thập dữ liệu cho báo cáo KRI.
• Review BISG metrics trend and review the effectiveness of actions / controls implemented by 1st line. Escalate overdue issues and gaps to senior management / and Risk Committee where appropriate
• Xem xét xu hướng số liệu BISG và xem xét hiệu quả của các hành động/kiểm soát được thực hiện bởi tuyến đầu tiên. Báo cáo các vấn đề và lỗ hổng quá hạn cho quản lý cấp cao / và Ủy ban quản lý rủi ro khi thích hợp
• Review the effectiveness of GwISP solution, overall implementation plan – e.g., timeline
• Rà soát tính hiệu quả của giải pháp GwISP, kế hoạch triển khai tổng thể – ví dụ: mốc thời gian
• Pre-audit review of effectiveness of controls (ideally should be on on-going basis). Review completeness of Issue Self-identified and Being Actioned by Management (ISBAM).
• Đánh giá trước đánh giá về tính hiệu quả của các biện pháp kiểm soát (lý tưởng nhất là nên thực hiện liên tục). Đánh giá tính đầy đủ của ISBAM.
• Provide oversight on IT and security spending. Review ACR and PIR to ensure that objectives are met
• Giám sát chi tiêu cho CNTT và bảo mật. Xem xét ACR và PIR để đảm bảo rằng các mục tiêu được đáp ứng
• Review the completeness and effectiveness of the training and awareness session conducted by 1st line. Enhance TRM in 1st line by conducting training/coaching
• Xem xét tính đầy đủ và hiệu quả của buổi đào tạo và nâng cao nhận thức do tuyến 1 thực hiện. Tăng cường TRM ở tuyến đầu tiên bằng cách tiến hành đào tạo/huấn luyện.
• Review and ensure access (e.g., Cloud Storage, SFTP, RMD) are properly reviewed and approval is valid with proper business justification.
• Xem xét và đảm bảo quyền truy cập (ví dụ: Lưu trữ đám mây, SFTP, RMD) được xem xét đúng cách và phê duyệt hợp lệ với lý do kinh doanh phù hợp.
• Review the completeness and adequacy of the review performed by 1st line for PIA and SIT.
• Xem xét tính đầy đủ và thỏa đáng của đánh giá do tuyến đầu tiên thực hiện đối với PIA và SIT.
• Review the completeness and adequacy of the review performed by 1st line for TISQ.
• Xem xét tính đầy đủ và thỏa đáng của đánh giá được thực hiện bởi dòng đầu tiên cho TISQ.
• For DPL rules, review and ensure access are properly reviewed and approval is valid with proper business justification. Review DPL rules and effectiveness of DPL controls. Review the completeness and adequacy of documentation, controls, ensuring that risk is properly articulated, and controls are in place e.g., Risk and Materiality Assessment, Critical System Assessment, Cloud Risk Assessment, Cloud Consultation Presentation, Internet Insurance Attestation, etc.
• Đối với các quy tắc DPL, xem xét và đảm bảo quyền truy cập được xem xét đúng cách và phê duyệt hợp lệ với lý do kinh doanh phù hợp. Xem xét các quy tắc DLP và hiệu quả của các biện pháp kiểm soát DLP. Xem xét tính đầy đủ và thỏa đáng của tài liệu, các biện pháp kiểm soát, đảm bảo rằng rủi ro được trình bày rõ ràng và các biện pháp kiểm soát được áp dụng, ví dụ: Đánh giá rủi ro và tính trọng yếu, Đánh giá hệ thống trọng yếu, Đánh giá rủi ro Cloud, Trình bày tư vấn Cloud, Chứng nhận bảo hiểm Internet, v.v.

Others:

Các công việc khác:

• Proactively look for better ways to improve the effectiveness of the risk management activities;
• Chủ động tìm kiếm những cách thức giúp tăng cường tính hiệu quả của các hoạt động QTRR;
• Other tasks to be assigned by Line Manager or CRO or Company’s management (if any).
• Các công việc khác theo sự phân công của Quản lý trực tiếp hoặc Phó Tổng Giám đốc Khối Tuân thủ, Pháp lý, Rủi ro hoặc Ban Lãnh đạo Công ty (nếu có).

Job Accountability / Trách nhiệm chính

Key responsibilities of the position include:

Các trách nhiệm chính của vị trí này bao gồm:

• Accountable for cultivating an ownership‑and‑accountability culture for technology risks across Business and IT.
• Chịu trách nhiệm thúc đẩy văn hóa trách nhiệm đối với rủi ro công nghệ trên toàn Khối Kinh doanh và CNTT.
• Accountable for ensuring zero audit overdue (including SOX) with defined SLAs for remediation and closure.
• Chịu trách nhiệm đảm bảo không có kiểm toán quá hạn (bao gồm SOX) với SLA rõ ràng cho việc khắc phục và đóng hồ sơ.
• Accountable for the oversight of identification and escalation of material technology vulnerabilities to the Risk Committee.
  Chịu trách nhiệm giám sát việc nhận diện và báo cáo các lỗ hổng công nghệ trọng yếu lên Ủy ban Rủi ro
• Ensure the formation of LBU Technology Risk Management framework and the successful rollout and implementation within the LBU
• Đảm bảo hình thành khuôn khổ Quản lý Rủi ro Công nghệ tại Công ty và triển khai và thực hiện thành công.
• Provide technical and best practice guidance on information and technology risk taking into account specific platform and regional complexities and issues
• Cung cấp hướng dẫn kỹ thuật và thực tiễn tốt nhất về rủi ro thông tin và công nghệ có tính đến các vấn đề và sự phức tạp của nền tảng cụ thể cũng như của Tập đoàn
• Support the LBU CRO in ensuring periodic reporting of information and technology risk matters to LBU risk committee
• Hỗ trợ Phó Tổng Giám đốc Khối Tuân thủ, Pháp lý, Rủi ro trong việc đảm bảo báo cáo định kỳ về các vấn đề rủi ro công nghệ và thông tin cho Ủy ban quản lý rủi ro ở cấp Công ty
• Work closely with LBU operational risk management team in managing LBU information and technology risk
• Phối hợp chặt chẽ với nhóm quản lý rủi ro hoạt động cấp Công ty trong việc quản lý rủi ro công nghệ và thông tin của Công ty.
• Ensure the formation of the information and technology risk appetite and key risk metrics for management oversight and the successful rollout within the LBU
• Đảm bảo hình thành khẩu vị rủi ro công nghệ và thông tin cũng như các chỉ số rủi ro chính để giám sát quản lý và triển khai thành công trong Công ty.
• Proactively monitor LBU risk register and to escalate any potential risk area for Group level risk reporting
• Chủ động theo dõi Sổ đăng ký rủi ro cấp Công ty và báo cáo bất kỳ khu vực rủi ro tiềm ẩn nào cho cấp Quản trị Rủi ro Tập đoàn
• Work closely with LBU ORM to review LBU risk register to ensure the risk rating, treatment plan and target completion date are able to reduce/mitigate the risk on reasonable basis
• Phối hợp chặt chẽ với nhóm quản lý rủi ro hoạt động cấp Công ty để xem xét Sổ đăng ký rủi ro cấp Công ty nhằm đảm bảo xếp hạng rủi ro, kế hoạch xử lý và ngày hoàn thành mục tiêu có thể giảm/giảm nhẹ rủi ro trên cơ sở hợp lý.
• Promote a risk culture to LBU stakeholders in managing information and technology risk 
• Thúc đẩy văn hóa rủi ro cho các bên liên quan trong Công ty trong việc quản lý rủi ro thông tin và công nghệ.

Job Requirements / Yêu cầu

Qualifications / Bằng cấp

Mandatory:

Bắt buộc:

• Bachelor ‘degree in Technology, Information systems, Data science or related subjects.
• Bằng Cử nhân về Công nghệ, Hệ thống thông tin, Khoa học dữ liệu hoặc các môn học liên quan.
• Good awareness of Enterprise Risk Management.
• Nhận thức tốt về Quản lý Rủi ro Doanh nghiệp.
• In addition to a technology degree, is appropriately certified and / or has other relevant technical certification such as Technology Risk Management, Technology Audit, IT Management, Cybersecurity, Cloud, Software Engineering or Project Management. Examples of certifications:
• Risk Management: CRISC Audit: CISA IT Service Management: ITIL Foundation, PRINCE2, PMP IT Architecture/Cloud/Network: Microsoft Certified Azure Solution Architecture Expert, (ISC)2 CCSK, CompTIA Cloud Essentials IT/Info Security: CISSP, CISM, CompTIA Security Software and Application Development: DevOps Engineer Professional, Google DevOps Engineer, Microsoft Specialist
• Ngoài bằng công nghệ, được chứng nhận phù hợp và/hoặc có chứng chỉ kỹ thuật liên quan khác như Quản lý rủi ro công nghệ, Kiểm toán công nghệ, Quản lý CNTT, An ninh mạng, Đám mây, Kỹ thuật phần mềm hoặc Quản lý dự án. Ví dụ về các chứng chỉ có liên quan:
• Quản trị rủi ro: CRISC Kiểm toán: CISA Dịch Vụ Quản Lý Công Nghệ Thông Tin: ITIL Foundation, PRINCE2, PMP Kiến trúc CNTT/Đám mây/Mạng: Microsoft Certified Azure Solution Architecture Expert, (ISC)2 CCSK, CompTIA Cloud Essentials CNTT/Bảo mật thông tin: CISSP, CISM, CompTIA Security Phát Triển Phần Mềm Và Ứng Dụng: DevOps Engineer Professional, Google DevOps Engineer, Microsoft Specialist

Advantage:

Ưu tiên:

• Known as an SME in own functional area and is often sought after for advice / consultation
• Được biết đến như một chuyên gia trong lĩnh vực của mình và thường được tìm kiếm để được tư vấn / tư vấn
• Apart from business-as-usual work, have delivered impactful initiatives / products which has helped elevate the function (e.g. helped automate a certain manual process / delivered an automated dashboard for more efficient risk identification etc.)
• Ngoài công việc kinh doanh thông thường, đã đưa ra các sáng kiến/sản phẩm có tác động giúp nâng cao vận hành (ví dụ: giúp tự động hóa một quy trình thủ công nhất định/cung cấp bảng điều khiển tự động để xác định rủi ro hiệu quả hơn, v.v.)
• Coding background / data analytics capability (familiar with tools such as Python, SQL)
• Khả năng code nền/phân tích dữ liệu (thông thạo các công cụ như Python, SQL)
• Has a good network with people in the industry (to stay informed on developments in a fast-moving IT landscape)
• Xây dựng mối quan hệ tốt với đồng nghiệp trong ngành (để cập nhật thông tin về sự phát triển trong bối cảnh CNTT đang chuyển động nhanh)
• Having certificate in insurance, finance business, business management is advanced.
• Có chứng chỉ nghiệp vụ bảo hiểm, kinh doanh tài chính, quản lý kinh doanh sẽ được ưu tiên.

Experience / Kinh nghiệm

• 15 years and above of relevant experience (Technology AND Risk Management/Audit experience is compulsory)
• Có trên 15 năm kinh nghiệm trong các vai trò liên quan (Công nghệ thông tin VÀ Quản trị Rủi ro/Kinh nghiệm kiểm toán là bắt buộc)
• Experience in Data analytics, Power BI.
• Có kinh nghiệm về Phân tích dữ liệu, Power BI.
• Candidates having experience in financial services (Banking, Insurance, etc.), Consultancy (e.g., Big-4, Accenture, etc.) in Technical Advisory, Technology Risk Management, Internal IT audit services, or Tech Companies (Digital Fintech, Digital Banks etc.) will be a plus.
• Ứng viên có kinh nghiệm trong các ngành sau sẽ là một lợi thế: ngành dịch vụ tài chính (Ngân hàng, Bảo hiểm, v.v.), Tư vấn trong Tư vấn kỹ thuật, Quản lý rủi ro công nghệ, Dịch vụ kiểm toán CNTT nội bộ (ví dụ Big-4, Accenture, v.v.), hoặc Công ty công nghệ (Digital Fintech, Digital Ngân hàng, v.v.).
• Experience in identifying, managing and reporting risk and controls in at least five or more of the following areas:
• Có kinh nghiệm trong việc nhận diện, quản lý và báo cáo rủi ro cũng như các biện pháp kiểm soát trong ít nhất năm hoặc nhiều lĩnh vực sau:
• IT infrastructure management (e.g. network, platforms such as IBM, Unix, Windows, middleware, and databases)
• Quản lý cơ sở hạ tầng CNTT (ví dụ: mạng, nền tảng như IBM, Unix, Windows, phần mềm trung gian và cơ sở dữ liệu)
• IT operations (e.g. data centre management, backup, batch processing, incident, and problem management)
• Hoạt động CNTT (ví dụ: quản lý trung tâm dữ liệu, sao lưu, xử lý hàng loạt, sự cố và quản lý sự cố)
• Application and interface security
• Bảo mật ứng dụng và giao diện
• Application development and change management (SDLC)
• Phát triển ứng dụng và quản lý thay đổi (SDLC)
• IT project management/delivery
• Quản lý/phân phối dự án CNTT
• Third party risk management
• Quản lý rủi ro bên thứ ba
• IT Service Management
• Dịch vụ quản lý công nghệ thông tin
• Identity and access management (including familiarity with tools such as SailPoint and CyberArk)
• Quản lý danh tính và quyền truy cập (bao gồm cả việc làm quen với các công cụ như SailPoint và CyberArk)
• Cybersecurity (e.g. NIST framework, security tools, security operations)
• An ninh mạng (ví dụ: khung NIST, công cụ bảo mật, hoạt động bảo mật)
• Added advantage if candidates have experience in identifying, managing and reporting technology risks and controls in at least five or more of the following areas:
• Thêm lợi thế nếu ứng viên có kinh nghiệm trong việc xác định, quản lý và báo cáo các rủi ro và kiểm soát công nghệ trong ít nhất năm hoặc nhiều lĩnh vực sau:
• Cloud (PaaS, IaaS, and SaaS)
• Cloud (PaaS, IaaS, and SaaS)
• DevOps and / or DevSecOps
• DevOps và/hoặc DevSecOps
• API management
• Quản lý API
• Robotics process automation
• Tự động hóa quy trình bằng rô-bốt
• Artificial intelligence
• Trí tuệ nhân tạo
• Data governance
• Quản trị dữ liệu
• Agile development
• Phương pháp phát triển theo triết lý Agile
• Mobile device management (including containerization)
• Quản lý thiết bị di động (bao gồm giải pháp Containerization)
• Mobile application development
• Phát triển ứng dụng di động

Knowledge and skill / Kiến thức và kỹ năng

• Good written and verbal communication (both English and Vietnamese), critical thinking skills, effective interpersonal skill and strong project management experience.
• Giao tiếp và viết tốt (cả tiếng Anh và tiếng Việt), kỹ năng tư duy phản biện, kỹ năng giao tiếp hiệu quả và kinh nghiệm quản lý dự án vững vàng.
• Good skill in data analytics, Power BI.
• Kỹ năng tốt về phân tích dữ liệu, Power BI.
• Ability to analyze, communicate, articulate governance, standards and framework.
• Có khả năng phân tích, giao tiếp, trình bày rõ ràng về quản trị, các tiêu chuẩn và khuôn khổ.
• Ability to be flexible and work effectively.
• Có khả năng linh hoạt và làm việc hiệu quả.
• Customer services and positive mind-set.
• Dịch vụ khách hàng và tư duy tích cực.
• High sense of responsibility, integrity, and confidentiality.
• Tinh thần trách nhiệm cao, liêm chính, tôn trọng tính bảo mật.

Prudential is an equal opportunity employer. We provide equality of opportunity of benefits for all who apply and who perform work for our organisation irrespective of sex, race, age, ethnic origin, educational, social and cultural background, marital status, pregnancy and maternity, religion or belief, disability or part-time / fixed-term work, or any other status protected by applicable law. We encourage the same standards from our recruitment and third-party suppliers taking into account the context of grade, job and location. We also allow for reasonable adjustments to support people with individual physical or mental health requirements.