Cách phân loại rủi ro trong doanh nghiệp | Viện FMIT
Quản lý rủi ro bao gồm các quy trình về nhận diện rủi ro, định lượng rủi ro, phân trách nhiệm để quản lý rủi ro, và giảm thiểu rủi ro. Các hành động giảm thiểu rủi ro có thể có nhiều hình thức, bao gồm bảo vệ, kế hoạch xử lý khẩn cấp, và bảo hiểm. Việc phát triển và hiện thực chương trình rủi ro bao gồm nhiều loại rủi ro như chính trị, môi trường, tài chính, hoạt động, uy tín, luật pháp, kỹ thuật, an ninh. Những công việc này đưa ra các lĩnh vực để xem xét khi rà soát các loại rủi ro này. Dưới đây là gợi ý một số cách phân loại rủi ro trong doanh nghiệp. Để hiểu chi tiết và đầy đủ về các kỹ thuật quản trị rủi ro trong tổ chức, học viên có thể tham khảo khóa học Quản trị rủi ro và kiểm soát nội bộ tại FMIT.
Nội Dung Chính
1. Rủi ro địa chính trị
Rủi ro địa chính trị bao gồm như nguy cơ về chiến tranh, khủng bố, và tham nhũng. Từ ngày 11/9, sự nhận thức về khủng bố đã tăng lên và khả năng ảnh hưởng của nó đến chuỗi cung ứng. Những quy định vận tải và phương thức vận tải chặt chẽ hơn để đáp ứng lại sự tấn công khủng bố như 11/9/2001. Những khủng khoảng về địa chính trị có thể làm cho công ty tốn nhiều năm mới có thể phục hồi. Vì vậy, việc nhận ra tác động của rủi ro địa chính trị là cần thiết khi thiết lập một chuỗi cung ứng toàn cầu (Yuva 2009).
2. Rủi ro môi trường
Rủi ro môi trường bao gồm các sự kiện như bão, bệnh dịch, lốc, động đất có thể tạo các tổn thất cho tổ chức. Các rủi ro môi trường cũng có thể thể hiện dưới dạng tổn thất trách nhiệm phát sinh thông qua nghĩa vụ hợp đồng, hoặc vi phạm quy chế. Nguồn gốc của trách nhiệm cho thiệt hại về môi trường sẽ thường là cáo buộc về ô nhiễm môi trường, vi phạm luật về bảo vệ sức khỏe con người và ô nhiễm môi trường, hoặc là yêu cầu bồi thường các khoản phạt. Các hành động giảm rủi ro có thể là kiểm toán môi trường, bảo hiểm, di dời, hoặc thiết kế lại cơ sở vật chất. Các kế hoạch đáp ứng và các nhóm xử lý là những hành động có thể bổ sung để giảm thiệt hại và tác động. Điều này đã chứng minh không thành công vì trách nhiệm pháp lý thường chuyển sang cho pháp nhân hợp đồng.
3. Rủi ro quan hệ công chúng
Rủi ro quan hệ công chúng chỉ đến rủi ro nhận hình ảnh tiêu cực trong phương tiện truyền thông về tổ chức, nhân viên, và sản phẩm hoặc dịch vụ. Rủi ro quan hệ công chúng là tăng cao ngày nay vì phương tiện xã hội, và khả năng người dụng không hài lòng có thể nói ý kiến của họ đến hàng nghìn người ngay lập tức. Một ý kiến tiêu cực có thể lôi kéo mọi người vào, và sự việc có thể xảy ra ngoài tầm kiểm soát.
Quan tâm lớn trong quản lý cung ứng là rủi ro về hình ảnh tiêu cực của một nhà cung cấp nào đó, có thể lan sang tổ chức mua vì có mối quan hệ với nhà cung cấp đó. Đánh giá các rủi ro như vậy là quan trọng đặc biệt khi mà có rất ít kiểm soát và giám sát nhà cung cấp, cũng như với các nhà cung cấp nước ngoài. Đảm bảo nhà cung cấp tuân thủ theo luật và tiêu chuẩn đạo đức cũng có thể là một thách thức, vì ngay cả khi tất cả các kiểm soát được vận dụng và biện pháp phòng ngừa được áp dụng, 100% đảm bảo là không thể đạt được. Nếu 1 nhà cung cấp không tuân thủ theo luật hoặc quy định, sự cố này được đăng lên phương tiện truyền thông, rủi ro công chúng sẽ có thể xảy ra, và uy tín của tổ chức bị thiệt hại nghiêm trọng. Ví dụ như công ty Vauxhaull và BMW liên kết để tuyển dụng lao động trẻ em (Bengtsen và Kelly 2016).
4. Rủi ro tài chính
Rủi ro tài chính có thể được xác định bằng cách nhận diện các sự kiện có thể, ước tính bằng xác suất của sự kiện này xảy ra trong ngành cụ thể, và ước tính tác động. Ví dụ, vi phạm bằng sáng chế thường xảy ra trong ngành phần mềm bán lẻ hơn là trong ngành dịch vụ thực phẩm. Mặc khác, tổ chức dịch vụ thực phẩm thì có khả năng bị kiện về ngộ độc hoặc ô nhiễm thực phẩm. Mỗi ngành có thông tin về tần suất của những sự kiện như vậy và chi phí tác động; và thông tin này thường được công bố. Khi một loạt các sự kiện có thể xảy ra được xác định và tác động của nó được định lượng, các hành động giảm thiểu có thể được tiến hành. Trong trường hợp của ngành phần mềm, nghiên cứu về bằng sáng chế có thể được áp dụng để nhận ra những nguyên cơ khởi kiện có thể trước khi chúng xảy ra. Những hành động giảm thiểu có thể được tiến hành như là mua bằng sáng chế hoặc chuẩn bị một kế hoạch pháp lý và hiện thực nó khi cần nếu khiếu kiện xảy ra.
Trong trường hợp công ty thực phẩm, việc kiểm tra vệ sinh và báo cáo có thể được tăng lên nhắm giúp giảm nguy cơ về ngộ độc thực phẩm. Tác động tài chính của những sự kiện như vậy được thể hiện trong trường hợp của Denver-based Chipotle Mexican Grill, Inc., một chuỗi nhà hàng phổ biến, đã từng tăng lợi nhuận từ khoản đầu tư trong cả thập kỷ. Vào năm 2015, nó bị ảnh hưởng bởi sự bùng phát vi khuẩn ngộ độc E.coli trong các nhà hàng tại Oregon và Washington, dẫn đến chuỗi tạm đóng của 43 nhà hàng. Việc bùng phát là nhân tố làm giảm 13% doanh thu trong chuỗi nhà hàng năm 2016 (kell 2017). Để phản ứng lại, Chipotle đã triển khai 1 kế hoạch quản lý rủi ro toàn diện liên quan an toàn thực phẩm.
5. Rủi ro hoạt động
Rủi ro vận hành được định nghĩa là rủi ro thiệt hại từ quy trình bên trong, hệ thống và nhân viên không phù hợp hoặc thất bại hoặc từ các sự kiện bên ngoài. Điều này bao gồm cả gian lận và trộm. Theo SOX, rủi ro hoạt động đã trở thành trọng tâm chính. Việc đánh giá rủi ro các quy trình là 1 phần của SOX có thể là 1 thách thức. SOX được triển khai để phục hồi niềm tin công chúng trong quản trị công ty, và luật hóa nghề kế toán và áp đặt các yêu cầu báo cáo đối với tất cả các công ty công chúng ở Hoa Kỳ. Luật yêu cầu kiểm soát báo cáo tài chính để có được sử đảm bảo về sự tin cậy trong báo cáo tài chính và chuẩn bị các báo cáo tài chính.
Nhiều tổ chức đã triển khai kiểm toán SOX để xác định những sự kiện sai có thể xảy ra và xây dựng chương trình giảm thiểu. Điều này phát triển như là 1 thực hành chung tốt nhất cho đánh giá rủi ro hoạt động, và liên quan đến đánh giá hệ thống mỗi quy trình kinh doanh, và phát triển kế hoạch giảm thiểu các sự kiện đã hình dung. Vì hầu hết các tổ chức không có đầy đủ các quy trình, phương pháp này phải bắt đầu với việc hoàn thiện các quy trình, và phát triển các sự kiện tương ứng với quy trình này. Sau khi hoàn thiện, 1 phân tích “what-if” một cách hệ thống có thể tiến hành để phát triển ý tưởng giảm hoặc loại bỏ cho mỗi quy trình và mỗi sự kiện.
6. Rủi ro thương hiệu/uy tín
Thương hiệu hoặc uy tín được xây dựng thông qua tương tác với thị trường (thông qua mua hàng hoặc truyền thông) trong khoảng thời gian dài. Sự thoái hóa cũng xảy ra theo cách tương tự, thông qua tương tác và truyền thông. Một chương trình quản lý rủi ro cho lĩnh vực này bao gồm việc nhận diện các nhân tố để duy trì thương hiệu (ví dụ, chất lượng, khách hàng sử dụng và hài lòng, marketing, truyền thông), và giám sát những nhân tố này cho sự thay đổi có định hướng.
Việc duy trì chương trình như vậy thông qua việc các khoản đầu tư và các kiểm soát là quan trọng để giảm rủi ro. Ví dụ, nếu đánh giá chất lượng đã đang giảm dần theo thời gian vì chất lượng nguyên liệu và quy trình thấp, thương hiệu có thể sẽ có rủi ro. Tổ chức với uy tín về nghiên cứu đằng sau sản phẩm của họ có thể có rủi ro về uy tín khi họ bắt đầu giảm các đầu tư về nghiên cứu. Việc định lượng tác động của giảm thương hiệu là rất khó. Một phương pháp là xác định giá cao nhận được từ sản phẩm có thương hiệu so với sản phẩm khác. Giá cao này có thể được giám sát sau một số tác động được đánh giá.
Sự phổ biến của phương tiện xã hội và việc dễ dàng trong việc truyền thông về ý kiến và kinh nghiệm đã đặt ra một phương diện hoàn toàn khác về cách quản lý rủi ro thương hiệu và uy tín. Điều này có lẽ là một lý do chắc chắn rằng rủi ro uy tín được sắp hạng là quan tâm hàng đầu trong khảo sát 2014 bởi DTTL và Forbes Insights (Serafin 2015).
7. Rủi ro pháp lý
Rủi ro pháp lý là rủi ro từ việc không chắc chắn của những hành động pháp lý, hoặc không chắc chắn trong việc áp dụng hoặc diễn đạt các hợp đồng, luật hoặc quy định. Trong hợp đồng, những điều khoản sau là cần phải được thảo luận trước và đồng ý trước khi giao kết hợp đồng: giới hạn trách nhiệm pháp lý, bồi thường, bảo hành, và tuyên bố miễn trừ trách nhiệm. Những điều khoản này chỉ ra các vấn đề ai sẽ nhận rủi ro và trách nhiệm thiệt hại nếu vi phạm hợp đồng, khiếu kiện bên thứ ba, và sản phẩm hoặc dịch vụ lỗi.
Rủi ro pháp lý khác cần xem xét
- Hình thành hợp đồng – điều kiện nào hình thành nên hợp đồng có hiệu lực? Thỏa thuận miệng có đủ hoặc phải được viết thành tài liệu? Đâu là yêu cầu tối thiểu cho tài liệ này, và chi tiết phải là gì?
- Khả năng – Tổ chức cam kết hoặc/và ký tài liệu đó có quyền để ràng buộc nguyên tắc (ví dụ, tổ chức tuyển dụng lao động).
Rủi ro pháp lý có thể là 1 thách thức cụ thể đổi với các tổ chức giao dịch kinh doanh qua biên giới, vì không có tổ chức hiệu lực về luật quốc tế. Các hiệp ước và thỏa thuận là phương pháp điển hình để có ảnh hưởng các hoạt động kinh doanh. Ví dụ, WTO xác định các thông lệ kinh tế được quốc tế chấp nhận cho các quốc gia thành viên. Câu hỏi ảnh hưởng nhiều nhất đến các chuyên gia cung ứng là quyền trong tranh chấp. Mỗi hợp đồng nên nói rõ luật quốc gia nào sẽ quản trị và vị trí địa lý khi giải quyết tranh chấp.
Hai lĩnh vực cụ thể của rủi ro pháp lý là việc làm và sở hữu trí tuệ.
Rủi ro pháp lý về việc làm có thể có nhiều hình thức. Trong khi hầu hết các nhân viên là theo ý muốn (at-will) nghĩa là người lao động hoặc người tuyển dụng có thể kết thúc mối quan hệ lao động. Một hợp đồng lao động giới hạn quyền của nhà tuyển dụng khi kết thúc hợp đồng có thể đã được tạo bởi hành vi, và nó được hiệu lực khi được viết ra văn bản. Vấn đề quan trọng khác cần xem xét là xác định đúng người lao động là nhân viên hay là nhà thầu độc lập. Việc xác định sai có thể dẫn đến thanh toán các khoản thuế, lợi nhuận thuế, và phạt. Để giải quyết vấn đề, tổ chức có thể có nghĩa vụ phải thưởng cho người lao động những lợi ích mà nhân viên khác có được.
Rủi ro mà hoạt động việc làm thực hiện như tuyển dụng, kết thúc, đánh giá kết quả, thăng tiến, và cách chức là hợp pháp và có thể bảo vệ phải được rà soát và quản lý để xác định xem chúng được phép bởi hành động khẳng định, luật hoặc chính sách chống phân biệt hoặc quấy rối không. Kiểm toán bởi chuyên gia bên ngoài thường được sử dụng để rà soát chính sách tổ chức, và cung cấp một đánh giá rủi ro và đề xuất để giảm thiểu các rủi ro này.
Vấn đề một lần nữa là thách thức cho các công ty giao dịch quốc tế. Một số câu hỏi cần được xem xét bao gồm như sau: Đâu là yêu cầu luật pháp cho làm việc ở quốc gia cụ thể? Lương tối thiểu là bao nhiêu? Giờ tiêu chuẩn là gì? Có vị trí nào yêu cầu làm rõ hoặc kiểm tra an ninh hoặc lý lịch? Đâu là tiêu chuẩn sức khỏe và an toàn của quốc gia? Luật môi trường nào phải được tuân thủ?
Sở hữu trí tuệ có thể có nhiều hình thức, như là bằng sáng chế, nhãn hiệu, bản quyền, bí mật thương mại (được biết như là thông tin mật/ độc quyền).
Bằng sáng chế là “một độc quyền được quy định bởi luật cho phép người chủ sử hữu bằng sáng chế có quyền duy nhất trong việc tạo, sử dụng và/hoặc bán tên đã được cấp bằng sáng chế, và để bảo vệ khỏi những người khác thực hiện như vậy mà không được phép của chủ sỡ hữu (bản quyền) trong một khoản thời gian. Trước khi nộp đơn cấp bằng sáng chế, cá nhân phải cần có một tổ chức pháp lý thực hiện tìm kiếm để xem ý tưởng đã có bằng sáng chế chưa. Tổ chức tìm kiếm bằng sáng chế xem xét bằng sáng chế tương tự với phát minh của người sáng chế. Hơn nữa, việc nộp đơn sáng chế, cá nhân cần giải thích với cơ quan sáng chế và thương mại tại sao phát minh là không giống phát minh khác. Trước khi nộp đơn cho xin cấp bằng độc quyền sáng chế, nếu một người sử dụng một sáng chế trước công chúng trước khi nó được phổ biến rộng hoặc đề nghị đưa ra sản phẩm đó ra thị trường để bán thì người đó sẽ bị tước bỏ mọi quyền sáng chế đó sau một năm.
Bằng sáng chế phổ biến nhất là bằng sáng chế sử dụng. Khi áp dụng loại bằng sáng chế này, mục đích là bảo vệ chức năng của một phát minh. Ví dụ cái chổi: chức năng của nó là cho phép những thứ bẩn trên sàn được thu gom dễ dàng hơn so với sử dụng bằng tay.
Một bằng sáng chế và các đăng ký chính phủ khác là cách gián tiếp bảo vệ sở hữu trí tuệ (IP) từ những vi phạm tiềm năng. Bảo vệ trực tiếp về sở hữu trí tuệ bao gồm thỏa thuận không tiết lộ và các điều khoản hợp đồng mục tiêu cho những ai có quyền tiếp cận với sở hữu trí tuệ. Sử dụng cả hai phương pháp sẽ có được sự bảo vệ tốt nhất.
Các quốc gia công nghiệp tiên tiến có các hệ thống luật pháp giúp bảo vệ người mua và ứng xử công bằng với sở hữu trí tuệ. Điều này có thể không còn đúng với các quốc gia đang phát triển, nhiều quốc gia không có bảo vệ hiệu quả khỏi những vi phạm về sở hữu trí tuệ. Vì vậy, cần phải kiểm tra kỹ nhà cung cấp trước khi gửi bản thiết kế hoặc các thông tin sở hữu trí tuệ. Các tổ chức tìm kiếm mở rộng toàn cầu nên đánh giá rủi ro của việc mất quyền sở hữu trí tuệ hoặc lợi thế cạnh tranh so với lợi ích của việc tăng nhu cầu hoặc tạo ra doanh thu. Ít nhất, chuyên gia cung ứng phải làm quen với luật có tác động đến mối quan hệ với nhà cung cấp. Một nguồn thông tin là ASIL (www.asil.org). ASIL là một tổ chức phi lợi nhuận, phi đảng phái, thành viên giáo dục ra đời nhằm thúc đẩy nghiên cứu luật quốc tế, thúc đẩy hình thành và duy trì quan hệ quốc tế trên cơ sở luật và công bằng.
Nhãn hiệu thương mại hoặc nhãn hiệu dịch vụ được định nghĩa là “xác định nhãn hiệu, biểu tượng hoặc từ sử dụng độc quyền với một dịch vụ hoặc sản phẩm cụ thể. Nhãn hiệu có thể được bảo vệ bằng cách đăng ký tại cơ quan thẩm quyền.
Bản quyền là 1 dạng sở hữu trí tuệ trong đó bảo vệ về luật được đưa ra bởi quốc gia hoặc chính phủ cấp cho tác giả và người sáng tạo về tác phẩm, âm nhạc, nghệ thuật, sản phẩm trí tuệ ban đầu, được công bố hoặc không, độc quyền để phát hành, sản xuất lại, trình bày, bán, thực hiện, chuyển giao hoặc cho những công việc theo chủ đích từ công việc ban đầu. Bảo quyền bảo vệ người sở hữu từ những người không sở hữu. Đáp ứng việc bản quyền đăng ký trao cho người sở hữu trạng thái bản quyền để tác động lại so với các vi phạm. Một bản quyền đăng ký hôm nay có thể kéo dài đến 70 năm sau.
Trong bối cảnh thế giới kinh doanh hiện này thường chỉ đến thông tin bảo mật hoặc thông tin sở hữu – 1 bí mật thương mại là “thông tin thương mại, thường là 1 kế hoạch, quy trình hoặc cơ chế, chỉ được biết với người sở hữu và số lượng giới hạn những người khác nếu cần; thường được bảo vệ bằng cách sử dụng hợp đồng bảo mật”. Luận dân sự của California định nghĩa bí mật thương mại là “thông tin, bao gồm 1 công thức, mẫu, biên dịch, chương trình, thiết bị, phương pháp, kỹ thuật hoặc quy trình, mà:
- Tạo ra giá trị kinh tế độc lập, thực tế hoặc tiềm năng, từ việc biết đến của công chúng hoặc từ những người có thể có được giá trị kinh tế từ việc tiết lộ hoặc sử dụng; và
- Là đối tượng của hành động hợp lý trong 1 bối cảnh để duy trì bảo mật
Ví dụ dễ hình dung nhất là bảo mật thương mại của công thức Coca-Cola nước uống. Công ty không bao giờ nộp bằng sáng chế công thức này, và đã quản lý để bảo vệ bí mật hơn 100 năm. Tuy nhiên, nếu bí mật bị tiết lộ, công ty sẽ không thể ngăn cản người khác hoặc tổ chức khác sử dụng công thức cho lợi ích riêng họ. Bảo vệ bí mật thương mại không ngăn cản người khác phát triển độc lập và bán phát minh giống vậy. Bí mật thương mại có thời gian không xác định (bao lâu tùy theo phát minh đó được giữ bí mật). Bí mật thương mại được sử dụng bởi những ai muốn duy trì bí mật về thông tin hoặc ý tưởng của họ cho hơn 20 năm đưa ra bởi hệ thống bằng sáng chế.
Một khái niệm quan trọng đằng sau bí mật thương mại là người sở hữu phải đảm bảo bí mật của thông tin được bảo vệ. Điều này yêu cầu, giữa nhiều thứ khác, rằng mọi tiết lội về phát minh thực hiện bởi người sở hữu cho bên thứ ba được đặt trước bởi một thỏa thuận không tiết lộ. Với vài ngoại lệ, không có sự bắt buộc ngầm ý hoặc tự động mà thành phần của bí mật thương mại duy trì bí mật của nó – mặc dù thông tin được đánh dấu là bảo mật – ngoại trừ và cho đến khi người nhận ký vào thỏa thuận không tiết lộ. Một thỏa thuận không tiết lộ ngăn những người tiếp cận bí mật tiết lộ bí mật với người khác, và khiến họ phải trả giá về thiệt hại lâu dài nếu họ tiết lộ.
8. Rủi ro kỹ thuật
Rủi ro kỹ thuật có thể có 2 dạng: rủi ro công nghệ sẽ không hoạt động như kế hoạch, và rủi ro công nghệ mới sẽ nổi lên và làm cho công nghệ cũ lạc hậu. Kiểm thử trước triển khai và hiện thực thử nghiệm có thể giúp quản trị rủi ro công nghệ không hoạt động đúng như dự định. Với công nghệ mới, liên tục rà soát môi trường (bằng sáng chế, triển lãm thương mại, hội thảo công nghệ) có thể giúp phát hiện sớm những công nghệ mới, thay thế.
9. Rủi ro an ninh dữ liệu
Với việc tiến bộ trong năng lực về công nghệ dẫn đến rủi ro về an ninh dữ liệu. Việc giám sát chung và các chương trình giám sát mà tổ chức triển khai bao gòm việc sắp hạng các nhà cung cấp dựa trên rủi ro vốn có, và sử dụng tiêu chuẩn an ninh hoặc tự đánh giá để đưa ra một hình ảnh toàn diện của hồ sơ rủi ro mạng của tổ chức với việc xác định chính xác những điểm yếu cụ thể. Một chương trình quản lý rủi ro hiệu quả nên bao gồm tiêu chí rủi ro mạng phù hợp với hồ sơ rủi ro mạng và chiến lược chung của tổ chức, với những tiêu chí này được giám sát liên tục vì thế những thay đổi có thể được tiến hành theo phương pháp của tổ chức để đảm bảo an ninh dữ liệu.
Khi sử dụng công nghệ đám mây, an ninh dữ liệu là mối quan tâm hàng đầu. Trong khi các nhà cung cấp chỉ ra rủi ro này, việc kiểm toán an ninh dữ liệu nên được triển khai bởi tổ chức, lý tưởng là cùng với nhà cung cấp, để đảm bảo dữ liệu được bảo vệ. Nhiều tổ chức lựa chọn công nghệ đám mây riêng, vì thể không có rủi ro tiềm năng bởi đơn vị cung cấp đối tác thứ ba.
Các phương pháp được đề xuất để giải quyết rủi ro an ninh dữ liệu bao gồm:
- Lập các dòng dữ liệu trong chuỗi cung ứng: hiểu cách dòng dữ liệu này chảy vào và ra khỏi tổ chức, bao gồm ai được chia sẻ.
- Lập kế hoạch đánh giá rủi ro toàn diện: chỉ ra những lĩnh vực trọng tâm cần giải quyết.
- Điều chỉnh với tiêu chuẩn hiện tại: Bao gồm các khung được thiết lập như ISO
- Đưa ra những mong đợi rõ ràng đối với tất cả các hợp đồng chuỗi cung ứng: quản lý chuỗi cung ứng đảm bảo rằng các nhà cung cấp tuân thủ với những tiêu chuẩn kiểm toán và trưởng thành, bao gồm các phần kiểm toán an toàn mạng ít nhất hàng năm.
- Đảm bảo, nhưng không phụ thuộc: bảo hiểm có thể giải quyết một vài, nhưng trong hầu hết bối cảnh không có trách nhiệm tất cả, vì có một giới hạn về số tiền được bảo hiểm.
Vì nhiều trường hợp gian lận của nhà cung cấp, chuyên gia cung ứng cần phải nhận thức thủ phạm những người có thể tiếp cận họ trong việc tìm kiếm email, thông báo họ sự thay đổi thông tin ngân hàng. Giao thức về cách truyền thông và xác nhận những thay đổi như vậy cũng phải được thiết lập.
Có nhiều ví dụ về vi phạm an ninh dữ liệu. Gần đây, sự kiện tác động ransomware được biết là wannacry. Mã độc tống tiền ransomware chiếm quyền chủ của máy, và chỉ bỏ khóa khi tiền chuộc được tiến hành. Sự cố wannacry đã ảnh hưởng đến hàng nghìn máy tính trên 150 quốc gia. Các tổ chức bị ảnh hưởng bao gồm Fedex, Renualt, dịch vụ sức khỏe quốc gia Anh.