COBIT 5 and Policies กับการสัมมนาของสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ

มิถุนายน 28, 2012

ผมไม่ได้มาเล่าเรื่องที่น่าสนใจต่าง ๆ ในคอลัมน์คุยกับผู้เขียนเป็นเวลานานพอสมควร ต้องขออภัยท่านผู้อ่านทุกท่านนะครับ แต่ผมก็มีเรื่องราวที่น่าสนใจนำมาลงในคอลัมน์อื่น ๆ เป็นประจำทุกเดือนตลอดมา ในวันนี้ผมจึงขอเล่าเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการองค์กรแบบบูรณาการ ที่เกี่ยวข้องกับการจัดการทางด้านเทคโนโลยีสารสนเทศ ที่นับวันจะมีบทบาทเพิ่มมากขึ้นในทุกองค์กร ในทุกระดับของการจัดการ และในทุกประเทศทั่วโลก เพราะความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ มีผลกระทบต่อการดำเนินงานทางธุรกิจมากมายมหาศาล โดยเฉพาะอย่างยิ่ง การที่ระบบขัดข้อง การเข้าถึงของบุคคลผู้ไม่มีสิทธิ ไม่มีอำนาจในการเข้าถึงระบบงานสำคัญ ๆ ภายในหน่วยงาน ที่ผู้บริหารและผู้ที่เกี่ยวข้องยังไม่สามารถที่จะจัดการเรื่องนี้ได้อย่างเป็นรูปธรรมนั้น มีปรากฎอยู่ในองค์กรหลายแห่งทั่วโลก รวมทั้งในประเทศไทย ซึ่งผลจากการสำรวจเรื่องนี้ได้ข้อมูลที่น่าสนใจว่า ความเสี่ยงจากระบบล่ม และไม่อาจจะกู้กลับคืนมาในระยะเวลาที่องค์กรยอมรับได้นั้น มีสูงยิ่งกว่าภัยจากปัญหาน้ำท่วมเป็นอันมาก นอกจากนี้ ระบบ Cloud Computing ซึ่งกำลังได้รับการแพร่หลายทั่วโลก ทั้ง ๆ ที่มีความเสี่ยงที่หลายองค์กรไม่น่าจะยอมรับได้นั้น ก็สร้างความเป็นห่วงเป็นใยให้กับผู้บริหารและผู้ที่เกี่ยวข้องในองค์กรต่าง ๆ จนถึงทุกวันนี้

แม้ระบบคลาวด์กำลังเป็นที่นิยมมากขึ้น แต่ผู้เชี่ยวชาญด้านคอมพิวเตอร์เตือนผ่านสำนักข่าวเอเอฟพีว่าให้ระวังคลาวด์ปลอมของอาชญากรไว้ด้วย โดยสำนักข่าวเอเอฟพีรายงานเมื่อ 24 มิ.ย. ว่า แม้ระบบการเชื่อมต่อฐานข้อมูลเฉพาะผ่านทางอินเทอร์เน็ต หรือ “คลาวด์” กำลังเป็นที่นิยมมากขึ้นเรื่อย ๆ แต่ปัญหาความปลอดภัยยังน่าวิตก ซึ่งระบบ “คลาวด์” เกี่ยวข้องกับฐานข้อมูล อาทิ อีเมล์หรือเพลงส่วนตัวซึ่งสามารถเข้าถึงได้โดยทางคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทรอนิกส์พกพาต่าง ๆ เช่น สมาร์ทโฟน และกองทัพกับรัฐบาลสหรัฐฯ รวมทั้ง “ซีไอเอ” ก็หันมาใช้ระบบคลาวด์ เพื่อให้เข้าถึงข้อมูลได้ทั่วโลก ลดค่าใช้จ่ายและปลอดภัยมากขึ้น

ขณะที่ นักวิเคราะห์คาดการณ์ว่าสหรัฐฯ จะทุ่มเงินกับระบบคลาวด์มากขึ้นจาก 31,000 ล้านดอลลาร์ในปี 2554 เป็น 82,000 ล้านดอลลาร์ในปี 2559 และบริษัทใหญ่ ๆ อย่างไมโครซอฟต์ กูเกิล อเมซอน ก็ใช้คลาวด์เช่นกัน แต่ให้ระวังอาชญากรไซเบอร์ ซึ่งจะขโมยข้อมูลไปได้ครั้งละมหาศาล ถึงแม้การจารกรรมข้อมูลโดยพวกแฮกเกอร์สมัครเล่นจะทำกับระบบคลาวด์ได้ยากกว่า

นอกจากนี้ให้ระวัง “คลาวด์ปลอม” ของพวกอาชญากรไซเบอร์ ดังที่พบในจีนและรัสเซีย อย่างไรก็ตาม สถาบันเอ็มไอทีของสหรัฐฯ พยายามพัฒนาระบบ “ซ่อมตัวเอง” ถ้าระบบคลาวด์ถูกโจมตี ดังที่เครือข่ายเพลย์ สเตชั่นของโซนี,  บริการจีเมล์ ของกูเกิล เคยถูกโจมตีมาแล้ว และเมื่อเร็ว ๆ นี้  แฮกเกอร์รายหนึ่งอ้างว่าสามารถขโมยหมายเลขบัตรเครดิตไปจากธนาคารใหญ่ 79 แห่งได้ ซึ่งเป็นข่าวที่ผู้บริหารระดับสูงของหลายองค์กรทั่วโลกกำลังให้ความสนใจ โดยเฉพาะอย่างยิ่งจากความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจที่ถูกกำหนดไว้ในรูปของประโยคคำถาม เช่น

– องค์กรจะบริหารจัดการด้านประสิทธิภาพและประสิทธิผลของเทคโนโลยีสารสนเทศได้อย่างไร
– องค์กรจะรู้ได้อย่างไรว่าได้ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้องแล้ว
– องค์กรจะรู้ได้อย่างไรว่าได้ระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญ ๆ ครบถ้วนแล้ว
– องค์กรจะรู้ได้อย่างไรว่าการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ทำอยู่มีประสิทธิภาพและประสิทธิผล และสามารถรองรับหรือจัดการกับปัญหาหรือเหตุการณ์ด้านระบบต่าง ๆ ที่อาจเกิดขึ้นได้
– องค์กรจะควบคุมค่าใช้จ่ายด้านเทคโนโลยีสารสนเทศได้อย่างไร และใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศให้เกิดประสิทธิภาพและประสิทธิผลมากที่สุดได้อย่างไร
– องค์กรจะได้รับคุณค่าหรือประโยชน์จากการนำเทคโนโลยีสารสนเทศมาใช้งานได้อย่างไร
– +++

คำถามต่าง ๆ ดังกล่าวข้างต้นในบางส่วนนั้น ผู้ที่เกี่ยวข้องในทางธุรกิจภายในองค์กร ได้แก่ Board, CEO, Chief Financial Officer (CFO), Chief Information Officer (CIO), Business Executive, Business Process Owner, Business Managers, Risk Managers, Security Managers, Service Managers, HR Managers, Internal Audit, Privacy Officers, IT Users, IT Managers, etc.

สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ (ISACA/Information Systems Audit and Control Association – Bangkok Chapter) และ ISACA สากลได้ออก COBIT5 ซึ่งเป็น Version ใหม่ล่าสุดของกรอบการดำเนินงานสำหรับการกำกับดูแลด้านเทคโนโลยีสารสนเทศ มาให้ผู้ประกอบวิชาชีพที่เกี่ยวข้องทั้งหลายได้ใช้ประโยชน์ เมื่อวันที่ 10 เมษายน 2555 ที่ผ่านมานี้ ผู้เชี่ยวชาญในสาขาอาชีพที่เกี่ยวข้องได้กล่าวเป็นเสียงเดียวกันว่า COBIT5 ประกอบด้วยสาระความรู้ที่ครอบคลุมและนำไปใช้ได้จริง โดยได้ปรับเนื้อหา โครงสร้างและเพิ่มเติมแนวคิดและแนวทางปฏิบัติหลายประการไว้ใน COBIT5

ทางสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ เห็นว่า COBIT5 จะเป็นประโยชน์อย่างมากสำหรับองค์กรและผู้ประกอบวิชาชีพที่เกี่ยวข้อง การที่บุคลากรในองค์กรจะสามารถนำ COBIT5 ไปใช้ให้เกิดประโยชน์ได้จริงและโดยได้รับการสนับสนุนจากผู้บริหารระดับสูงนั้น จึงมีความสำคัญอย่างยิ่ง ดังนั้น ทางสมาคมฯ จึงได้จัดงานสัมมนา “Building IT Governance for Sustainable Growth with COBIT5” ขึ้นเพื่อเผยแพร่ความรู้ ความเข้าใจ ตลอดจนแนะนำแนวทางในการนำไปใช้ให้เกิดประโยชน์ต่อองค์กร ในวันพุธที่ 22 สิงหาคม 2555 ณ ห้องเลอ คองคอร์ด บอลรูม โรงแรมสวิส เลอ คองคอร์ด รัชดาภิเษก กรุงเทพฯ

ซึ่งผมคิดว่างานนี้จะมีประโยชน์อย่างยิ่งกับท่านผู้บริหารและผู้ปฏิบัติงานทุกระดับที่เกี่ยวข้องกับการบริหารแบบบูรณาการและการจัดการที่ดี ซึ่งจะทำให้ได้รับความรู้ ความเข้าใจ มิใช่เพียงเฉพาะการบริหารจัดการเทคโนโลยีสารสนเทศเท่านั้น แต่จะได้รับความรู้ที่เกี่ยวข้องกับการบริหารจัดการองค์กรในภาพโดยรวมที่เกี่ยวข้องกับ หลักการและนโยบายองค์กร, โครงสร้างบุคลากร, วัฒนธรรม จริยธรรม และความประพฤติ, ข้อมูล, โครงสร้างพื้นฐานของการให้บริการสารสนเทศ, ทักษะ ความรู้ ความสามารถของบุคลากร และกระบวนการต่าง ๆ ที่องค์กรต้องสร้างและจัดทำขึ้นมาเพื่อให้สามารถบรรลุเป้าหมายตามที่ต้องการได้อย่างมีประสิทธิภาพอย่างแท้จริง ซึ่งทุกท่านสามารถจะติดตามรายละเอียดงานสัมมนาได้จาก www.isaca-bangkok.org ครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 4 – ประโยชน์ของ CSA และข้อควรคำนึงถึง

มิถุนายน 28, 2012

เมื่อมีการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กร นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร ดังที่ได้กล่าวถึงในครั้งที่แล้ว การเปลี่ยนแปลงจากการนำ CSA มาใช้ และการเคลื่อนไหวของ CSA โดยทั่วไป จะก่อให้เกิดประโยชน์และข้อควรคำนึงถึงเป็นจำนวนมาก ประโยชน์และสิ่งที่ควรคำนึงถึงนี้อาจมองได้หลายมุมมอง เช่น ประโยชน์ต่อองค์กรการตรวจสอบภายใน ประโยชน์ต่อกระบวนการทางธุรกิจ อุปสรรคจากการนำ CSA มาปรับใช้ เป็นต้น ซึ่งผมจะขอกล่าวถึงประโยชน์ของ CSA โดยหลัก ๆ ดังนี้

1. CSA ช่วยให้พนักงานสายงานหลักในทุกระดับมีความเข้าใจและคาดการณ์ถึงหน้าที่ความ รับผิดชอบ และสามารถตรวจสอบประสิทธิผลของการควบคุมความเสี่ยงและการบริหารความเสี่ยง ได้อย่างถูกต้องมากขึ้น CSA ประกอบด้วยส่วนประกอบด้านการศึกษาที่สำคัญ ที่ช่วยให้พนักงานสายงานหลักเกิดความเข้าใจเรื่องความเสี่ยงและการบริหาร ความเสี่ยงได้ดีขึ้น ในฐานะที่เป็นผู้ที่เกี่ยวข้องโดยตรงต่อการปฏิบัติงานโดยผู้อำนวยความสะดวก ตัวอย่างเช่น การสื่อสารที่มีประสิทธิภาพและโอกาสในการสอนงาน ในท้ายที่สุด ผู้ตรวจสอบจะเปลี่ยนแปลงทัศนคติและความเข้าใจของทีม เรื่องการควบคุมความเสี่ยงและความเสี่ยงที่อาจเป็นประโยชน์อย่างมากในการทำ CSA

2. เกิดการการปฏิบัติที่ถูกต้องมากขึ้น เนื่องจากผู้มีส่วนร่วมในการทำ CSA เกิดความเป็นเจ้าของในผลลัพธ์ที่เกิดขึ้น การประชุมเชิงปฏิบัติการ และการตรวจสอบแบบดั้งเดิมที่ล้มเหลวในด้านการสร้างความเข้าใจ หรือการกล่าวถึงสิ่งที่ต้องคำนึงถึงในการบริหาร จะนำไปสู่ข้อเสนอแนะที่ไม่สามารถนำไปปฏิบัติได้ ซึ่งจะสร้างผลลัพธ์ในทางลบให้กับ CSA การนำไปสู่ความสับสน และเกิดความขัดแย้งระหว่างพนักงานสายงานหลักและผู้บริหาร

3. CSA จะจัดเตรียมประเด็นที่สำคัญที่ครอบคลุมกว้างขวางเนื่องจากผู้เชี่ยวชาญ ทีมงานสามารถเน้นไปยังความเสี่ยงและการควบคุมความเสี่ยงได้อย่างรวดเร็ว

4. CSA ช่วยปรับปรุงการสื่อสารในทุกระดับเนื่องจาก การประชุมเชิงปฏิบัติการ ประกอบด้วยหลาย ๆ องค์ประกอบ เช่น ที่ตั้ง แผนก หน้าที่ และบุคลากรทุกระดับ

5. CSA สอนให้ผู้มีส่วนร่วมทราบถึงวิธีการวิเคราะห์และรายงานการควบคุมภายใน ดังนั้นจึงช่วยเพิ่มความตื่นตัวเรื่องการควบคุมให้เกิดขึ้นทั่วทั้งองค์กร ซึ่ง CSA จะช่วยในการปรับปรุงสภาพแวดล้อมทางการควบคุมขององค์กร โดยช่วยเพิ่มความตระหนักถึงวัตถุประสงค์ขององค์กรและบทบาทของการควบคุมภายใน อันจะทำให้เกิดผลสำเร็จตามเป้าหมายและวัตถุประสงค์ รวมถึงการจูงใจให้บุคลากรทำการออกแบบหรือนำกระบวนการควบคุมไปปฏิบัติอย่าง ระมัดระวัง และมีการปรับปรุงกระบวนการดำเนินการควบคุมอย่างต่อเนื่อง

นอกจากนี้ CSA ยังมีประโยขน์ในด้านอื่น ๆ คือ ช่วยให้ผู้ตรวจสอบเน้นไปยังเนื้อหาความเสี่ยงในระดับสูงเท่านั้น และยังมุ่งความสนใจไปยังความพยายามในการตรวจสอบแบบดั้งเดิมในเรื่องดังกล่าว ด้วย อีกทั้งการประชุมเชิงปฏิบัติการด้าน CSA จะช่วยให้เกิดการเตรียมตัวอย่างไม่เป็นทางการ หรือการควบคุมร่วมกันที่ยากต่อการประเมินด้วยการตรวจสอบแบบดั้งเดิม

นอกเหนือจากประโยชน์ในการทำ CSA แล้ว ยังมีข้อควรคำนึงถึงหรืออุปสรรคในการบรรลุผลสำเร็จ ดังนี้

1. บุคลากรจะต่อต้านการเปลี่ยนแปลงแ ละการนำ CSA มาใช้นั้นได้แสดงให้เห็นว่า เป็นการเปลี่ยนแปลงสำหรับทั้งผู้ตรวจสอบและผู้ถูกตรวจสอบ หลายองค์กรจึงอาจค่อย ๆ ยอมรับวิธีการใหม่นี้อย่างช้า ๆ

2. ฝ่ายบริหารอาจไม่เชื่อว่าพนักงานสายงานหลักจะสามารถรับผิดชอบงานด้านการควบ คุม และการบริหารความเสี่ยงได้อย่างมีประสิทธิผล โดยอาจมองว่า CSA เป็นเพียงการเปลี่ยนของงาน (วิธีการที่ผู้ตรวจสอบภายในมอบให้พนักงานสายงานหลักเข้ามาทำงานด้านการตรวจ สอบเอง) ในกรณีนี้ผู้บริหารจะส่งเสริมให้กลุ่มใดกลุ่มหนึ่ง นั่นก็คือผู้ตรวจสอบภายใน เป็นผู้มีหน้าที่ความรับผิดชอบเรื่องความเสี่ยงและการควบคุมความเสี่ยง และไม่ได้มอบหน้าที่ความรับผิดชอบให้กับตัวพนักงานสายงานหลักเหล่านั้นเอง

3. การอภิปรายอย่างเปิดเผยอาจเป็นการเปิดองค์กรให้เกิดความเสี่ยงทางกฎหมาย ถ้าการอภิปรายนั้นได้เปิดเผยถึงการกระทำที่ไม่ถูกกฎหมาย ความรุนแรงของนโยบายด้านจริยธรรม หรือประเด็นอื่น ๆ ผู้อำนวยความสะดวกอาจจำเป็นที่จะต้องตัดสินใจว่า การประชุมเชิงปฏิบัติการต้องหยุดลงหรือดำเนินการต่อไป หรือวิธีที่จะกระจายผลลัพธ์นั้นออกไป

4. ผลของ CSA อาจไม่ถูกต้องเนื่องจากผู้มีส่วนร่วมไม่มีความรู้ที่ดีพอหรือไม่เปิดเผย หรือผู้อำนวยความสะดวกไม่ได้รับสาเหตุที่เป็นรากเหง้าของประเด็นนั้นอย่าง แท้จริง

5. ในหลายวัฒนธรรมไม่เป็นวัฒนธรรมเปิดและไม่มีการเปิดเผย และการอภิปรายอย่างเปิดเผยทำให้การประชุมเชิงปฏิบัติการไม่ได้รับปัจจัยนำ เข้าที่เชื่อถือได้

6. ความสามารถในการควบคุมและการบริหารความเสี่ยง จะเกี่ยวข้องกับการผึกอบรมเพิ่มเติมให้กับพนักงาน และการเพิ่มความผูกพันในการรักษากระบวนการ CSA ให้ทำหน้าที่อย่างมีประสิทธิผลและทันเวลา

7. ในกรณีศึกษาส่วนใหญ่ เจ้าหน้าที่ตรวจสอบภายในไม่มีทักษะทางด้านการเป็นผู้อำนวยความสะดวกและการเป็นผู้สอน

8. การเปลี่ยนแปลงอย่างมีคุณภาพโดยรวม การพัฒนาองค์กร และบุคลากรที่นำการประชุมเชิงปฏิบัติการมาใช้อำนวยความสะดวกในการทำงาน โดยอาจมอง CSA ว่าเป็นการบังคับ เนื่องจากมีการใช้เครื่องมือที่มีลักษณะเหมือนกันหลาย ๆ เครื่องมือ

9. ท้ายที่สุดแล้วจะเกิดคำถามว่าผู้ตรวจสอบภายใน หรือผู้ถูกตรวจสอบเป็นเจ้าของ CSA ผู้อำนวยการการตรวจสอบจะทำการตลาด และบูรณาการ CSA มาใช้ในองค์กรได้อย่างไร ถ้าไม่มีการบริหารจัดการที่ดี

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้เป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่า อะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลาย ๆ องค์กร จะพบความแตกต่างหลายประการ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ ซึ่งผมจะนำมาเล่าสู่กันฟังในครั้งหน้านะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn