Information Technology Governance

ความเข้าใจในเรื่องของ Risk Map เพื่อหาความสัมพันธ์ของ Root Cause จากปัจจัยหนึ่งที่มีผลกระทบต่อปัจจัยอื่น ๆ ทั้งในระดับองค์กร เช่น Stratigic Risk – S, Operational Risk – O, Financial Risk/Reporting Risk – F, Compliance Risk – C ตามแนวทางของ COSO – ERM รวมถึง Root Cause จากความเสี่ยงที่มีผลกระทบในระดับขั้นตอน + กระบวนการ + กิจกรรม ของจุดอ่อนในแต่ละกรอบข้างต้น ที่เกี่ยวข้องและมีผลกระทบกับกรอบการควบคุมด้านอื่น ๆ ในทุกมุมมอง ทั้งด้าน IT และ Non – IT นั้น จะมีประโยชน์ต่อการบริหารความเสี่ยงเป็นอย่างมาก ถ้าผู้ที่เกี่ยวข้องสามารถเข้าใจและควบคุมความเสี่ยงจากต้นเหตุที่แท้จริง ก็จะสามารถควบคุมความเสี่ยงที่มีผลต่อเนื่องจากความเสี่ยงที่มาจากต้นเหตุนั้นได้เป็นอย่างมาก และบางกรณีอาจได้ทั้งหมด +++

ลองพิจารณาและทำความเข้าใจในเกณฑ์การประเมิน Risk Map ของทาง Tris จะมีแนวทางบางประการดังนี้

1. การกำหนดสาเหตุของปัจจัยเสี่ยง และกำหนดระดับความรุนแรงของสาเหตุนั้น

2. การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ (ต้นเหตุื –> ปลายเหตุ)

3. การวิเคราะห์ผลกระทบทั้งเชิงการเงิน และมิใช่เชิงการเงิน (กระทบมาก/น้อย) ระหว่าง
3.1. ปัจจัยเสี่ยงและปัจจัยเสี่ยง
3.2. สาเหตุกับสาเหตุ
3.3. ปัจจัยเสี่ยงและสาเหตุ

4. การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ทุกกิจกรรมในแผนบริหารความเสี่ยง จะต้องมีความสอดคล้องกับสาเหตุและจัดลำดับตามระดับความรุนแรงของสาเหตุ รวมถึงความสัมพันธ์อื่นที่มากระทบต่อสาเหตุนั้น

5. การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร และวาระการประชุมร่วมกันระหว่างผู้บริหาร ฝ่ายบริหารความเสี่ยง และ Risk Owner ทุกปัจจัยเสี่ยง

เมื่อเทียบกับเกณฑ์ประเมินที่หน่วยงานภาครัฐยังต้องปรับปรุง เพราะพิจารณาได้ว่าหน่วยงานนั้นยังไม่ผ่านเกณฑ์การบริหาร Risk Map เนื่องจากพิจารณาความเสี่ยงเพียงระดับเดียว โดยยังไม่พิจารณาความเสี่ยงที่มีความสัมพันธ์กันอย่างครบถ้วน ซึ่งพิจารณาได้ดังนี้

1. หน่วยงาน/องค์กร ทำการกำหนดสาเหตุเพียง Layer เดียว ทั้ง ๆ ที่่บางสาเหตุสามารถแตกออกเป็น Layer ที่สองได้ และ/หรือไม่ได้กำหนดระดับความรุนแรงของสาเหตุ

2. หน่วยงาน/องค์กรนั้น สามารถอธิบายความสัมพันธ์ได้ แต่ไม่สามารถแสดงความสัมพันธ์ได้ครบถ้วน

3. หน่วยงาน/องค์กร ส่วนใหญ่จะวิเคราะห์ผลกระทบระหว่างปัจัยเสี่ยงและปัจจัยเสี่ยงได้ แต่มีบางหน่วยงานที่วิเคราะห์ผลกระทบระหว่างสาเหตุกับสาเหตุไม่ได้ รวมถึงไม่สามารถอธิบายได้ถึงผลกระทบที่ไม่ใช่เชิงการเงินได้อย่างชัดเจน

4. หน่วยงาน/องค์กร มีการจัดทำแผนการบริหารความเสี่ยง เกิดก่อนการทำ Risk Map หรือกิจกรรมในแผนบริหารความเสี่ยง ไม่สอดคล้องกับการบริหารที่สาเหตุที่เกิดปัจจัยเสี่ยง

5. หน่วยงาน/องค์กรส่วนใหญ่ขาดความเข้าใจและไม่มีส่วนร่วมในการจัดทำ Risk Map ขององค์กร

นอกจากการอธิบาย Risk Map ตามแผนภาพข้างต้น ซึ่งเป็นการเชื่อมโยงความเสี่ยงตามแนวทางของ COSO – ERM ที่ไม่ได้กล่าวถึงความเสี่ยงทางด้าน IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objectives จึงขออธิบาย Risk Map ในรูปแบบของการ Mapping ระหว่าง CobiT และ COSO เพียงบางโดเมน รวมทั้งการนำเสนอ Risk Map ที่เกี่ยวข้องกับ Operational Risk ซึ่งอธิบายด้วยแผนภาพได้ดังนี้

ผมได้เพิ่มเติมภาพต่าง ๆ เพื่อใช้อธิบายประกอบความเข้าใจในเรื่อง Risk Map ในระดับต่าง ๆ และเสริมสร้างความเข้าใจในเรื่อง Layer of Risk and Controls เพื่อ Monitoring และ Auditing ที่มีความสัมพันธ์กันอย่างแยกไม่ได้

ขอให้ท่านผู้อ่านได้โปรดพิจารณาแผนภาพและใช้ดุลยพินิจไปพร้อม ๆ กับการดูแผนภาพข้างต้น ซึ่งอธิบายได้ดีกว่าการใช้ถ้อยคำในแต่ละภาพได้อย่างมากมาย ข้อสำคัญก็คือ ท่านควรได้เข้าใจถึงคำจำกัดความ และความหมายต่าง ๆ ที่เกี่ยวข้อง เช่น Risk Map และ Layer of Risk and Controls เป็นต้น ท่านที่เห็นภาพและเข้าใจคำจำกัดความจะสามารถทำความเข้าใจที่จะนำไปสู่การปฏิบัติ เพื่อยกระดับการบริหารความเสี่ยงในมุมมองต่าง ๆ เพื่อการจัดการที่ดีต่อไปอย่างได้ผลครับ