Cyber Security Strategy and Enablers 2

ตุลาคม 28, 2019

ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ

จากภาพแรกของเนื้อหาในตอนแรก ผมได้ชวนคุยเกี่ยวกับ กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ ที่เกี่ยวข้องกับ 8 Enablers และทุก Enablers ที่เป็นปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จที่สามารถสร้างความเชื่อมั่นให้ผู้มีส่วนได้เสีย ที่คณะกรรมการของทุกองค์กร รวมทั้งรัฐวิสาหกิจที่มีบทบาทสำคัญในการกำกับดูแลกิจการให้นำไปสู่ Digital Governance หรือ Governance Outcome ที่สามารถเข้าใจได้ง่ายๆ คือ

  1.  สามารถปรับตัวได้ภายใต้ปัจจัยการเปลี่ยนแปลงต่าง ๆ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไป โดยเฉพาะอย่างยิ่งสภาพแวดล้อมทางด้านเทคโนโลยีที่เกี่ยวกับ digital
  2.  สามารถแข่งขันได้ และมีผลประกอบการที่ดี โดยคำนึงถึงผลกระทบที่เกี่ยวข้องกับกรอบการดำเนินงานทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการ Digital ระดับองค์กรหรือระดับประเทศ
  3. เป็นประโยชน์ต่อสังคม  และประชาชนโดยทั่วไป และพัฒนาหรือลดผลกระทบทางด้านลบต่อสิ่งแวดล้อม
  4. มีการกำกับดูแล (Digital Governance/Governance) ที่ทำให้มั่นใจได้ว่า ความต้องการเงื่อนไข และทางเลือกงของผู้มีส่วนได้เสีย เพื่อกำหนดวัตถุประสงค์ที่องค์กรหรือประเทศต้องการ ให้บรรลุซึ่งความสมดุลและเห็นชอบร่วมกัน และมีการกำหนดกรอบทิศทาง ผ่านลำดับความสำคัญและการตัดสินใจ รวมทั้งเฝ้าติดตามผลการดำเนินงานและการปฏิบัติที่เปรียบเทียบกับทิทศทางและวัตถุประสงค์ที่ตกลงร่วมกัน
  5. มีการบริหารจัดการ (Management) ที่ผู้กำกับได้ประเมินผล สั่งการ และเฝ้าติดตาม กิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนดโดยหน่วยงานกำกับดูแล (Governance Body) เพื่อให้บรรลุวัตถุประสงค์ระดับประเทศ และระดับองค์กร
  6. มีการกำหนดความต้องการของผู้มีส่วนได้เสียที่เกี่ยวข้องกับการได้รับผลประโยชน์ ที่คำนึงถึงความเสี่ยงที่เหมาะสมที่สุด และการใช้ทรัพยากรให้เกิดประโยชน์สูงสุด
  7. สร้างความมั่นใจให้กับผู้มีส่วนได้เสียในการปรับปรุง เปลี่ยนแปลง ส่วนเสริมความรู้ นวัตกรรม และการประกอบธุรกิจอย่างมีความรับผิดชอบ
  8. อื่นๆ ที่เกี่ยวข้องกับการเปลี่ยนแปลง Transform ให้เหนือกว่า (beyond) เพียงการปฏิบัติตามระเบียบ ข้อบังคับ ประกาศ คำสั่ง กฎเกณฑ์ กฎหมาย และมาตรฐานสากล (Conformance)

Digital/Data Governance and Big Data Management to Value Creation

ตามที่ผมได้กล่าวข้างต้นในเรื่องที่เกี่ยวข้องกับปัจจัยเอื้อหลักตามแนวทางของ สคร. ที่ได้กำหนดให้รัฐวิสาหกิจปฏิบัติ ซึ่งพิจารณาได้ว่า เป็น Compliance ที่รัฐวิสาหกิจต้องปฏิบัติ ตั้งแต่ปีงบประมาณ 2563 นั้น เป็นเพียงกรอบการให้คำแนะนำพื้นฐานโดยทั่วไป เพื่อให้รัฐวิสาหกิจประสบความสำเร็จโดยทั่วไป บรรลุเป้าประสงค์ที่ดีเพื่อการเติบโตอย่างยั่งยืน และสามารถเปลี่ยนแปลง (Tranformation) ให้สัมพันธ์กับสภาพแวดล้อมและวิวัฒนาการทางเทคโนโลยี/Digital ที่มีวิวัฒนาการอย่างรวดเร็วทำให้หน่วยงานทั้งภาครัฐและภาคเอกชนที่ไม่สามารถปรับปรุงและเปลี่ยนแปลง Business Model ให้เหมาะสมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความอยู่รอด มีผลกระทบต่อความเสี่ยงในระดับที่ไม่อาจยอมรับได้

การกำหนดเป้าหมายที่เกี่ยวข้องกับ IT/Digital ที่ส่งทอดไปยังเป้าหมายของปัจจัยเอื้ออื่นๆ

การบรรลุเป้าหมายต่างๆ ของรัฐวิสาหกิจที่เกี่ยวข้องกับ Digital/IT จำเป็นต้องมีระบบงานที่ทำงานได้ดีและใช้เป็นปัจจัยเอื้อ ซึ่งรวมถึงกระบวนการ โครงสร้างการจัดองค์กร และสารสนเทศ (Information/Digital) และได้มีการกำหนดเป้าหมายสำหรับปัจจัยเอื้อแต่ละประเภทที่สนับสนุนเป้าหมายที่เกี่ยวข้องกับ IT/Digital

ท่านผู้อ่านครับ มาถึงตอนนี้ ผมกำลังพาท่านผู้อ่านเชื่อมโยงไปยังการบูรณาการของ 8 Enablers ที่เป็นปัจจัยหลักที่ผลักดันโดย สคร. กระทรวงการคลัง ให้รัฐวิสาหกิจต้องมีการกำกับ การบริหาร การปฏิบัติการในแต่ละ Enablers ให้มีศักยภาพในตัวของมันเอง และยังต้องเชื่อมโยงกระบวนการของทั้ง 8 Enablers ดังกล่าวข้างต้นเข้าด้วยกันเป็นหนึ่งเดียว ที่เรียกว่า Integrated Enablers หรือการบูรณาการของปัจจัยหลักแต่ละมิติให้เป็นหนึ่งเดียวกันผ่าน Data-Information-Cybersecurity ที่เป็นเรื่องเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูล และความพร้อมใช้งานที่เกี่ยวกับความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งปัจจุบันรวมๆ เรียกว่า ความมั่นคงปลอดภัยของระบบ Cybersecurity ที่เป็นส่วนหนึ่งของ Intregrated Governance ที่ประกอบด้วย Corporate Governance + IT Governance + Cybersecurity Governance

นอกจากนั้น มีหลายกรณีที่เมื่อกล่าวถึงธรรมาภิบาล ซึ่งเดิมเรียกว่า Governance นั้น ปัจจุบันเมื่อพูดถึงคำๆ นี้ หรือพูดเพียงคำว่า Cybersecurity Governance ก็จะหมายความรวมไปถึง คำว่า GRC และ Integrated GRC หรือ IGRC ซึ่งผมขออธิบายเพิ่มเติมอีกสักเล็กน้อยนะครับว่า ลำพังคำว่า G = Governance ตามนัยที่กล่าวข้างต้นนั้น ถ้าลองสังเกตและวิเคราะห์ดูเบื้องต้นนะครับว่า เพียงคำนี้คำเดียวหมายถึงอะไร ครอบคลุมเรื่องอะไรบ้าง ซึ่งผมได้พูดถึงตามวรรคข้างต้นแล้วนะครับ

อ้าว! แล้วคำว่า IGRC หรือ GRC ละครับ มันหมายความว่าอะไรกันแน่ ผมกำลังจะอธิบายในมุมมองของผมต่อไปว่า ลำพังคำว่า การกำกับดูแลกิจการที่ดี หรือ Governance ตามที่กล่าวที่มีวัตถุประสงค์ในการสร้างคุณค่าเพิ่ม (Value Creation) ให้กับผู้มีส่วนได้เสีย ซึ่งเป็นความรับผิดชอบ (Acountability) ของผู้บริหารสูงสุดหรือคณะกรรมการในองค์กร หรือรัฐมนตรีของหน่วยงานภาครัฐ ในกระทรวง ทบวง กรม นั้น จะเกิดขึ้นไม่ได้หากขาดกระบวนการบริหารความเสี่ยง (ERM-Enterprise Risk Managment) รวมทั้ง การปฏิบัติตามระเบียบ ข้อบังคับ ประกาศ คำสั่ง กฎเกณฑ์ กฎหมาย และมาตรฐานสากล (Conformance) นั่นคือที่มาของคำว่า IGRC – Integrated Governance + Risk Managment + Compliance นั่นเอง

ผมอาจจะอธิบายยาวไปสักเล็กน้อย ก็เพื่อสร้างความเข้าใจให้กับผู้ที่สนใจคำต่างๆ และความเกี่ยวเนื่องกับความหมายของคำต่างๆ ไปสู่การสร้างคุณค่าเพิ่มในมิติของคำว่า Governance และ Digital Governance ครับ

นอกจากนี้ ขออนุญาตพูดต่อไปอีกเล็กน้อยว่า Risk Management กับ Compliance นอกจากเป็นส่วนประกอบในการสร้างคุณค่าเพิ่มที่สร้างความน่าเชื่อถือให้กับผู้มีส่วนได้เสียตามหลักการของ Governance แล้ว ทั้ง 3 คำนี้ จึงเป็นคำนิยมที่ใช้กันโดยทั่วไป เพื่อป้องกันมิให้ผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน ลืมถึงองค์ประกอบทั้ง 3 ที่เกี่ยวพันกันอย่างแยกไม่ได้นั่นเองครับ

กระบวนการกำกับ การบริหาร การปฏิบัติการแบบบูรณาการ

เป้าหมายของการบูรณาการ หรือการเชื่อมโยง 8 Enablers ตามที่กล่าวข้างต้นให้เป็นหนึ่งเดียวกันนั้น เมื่อมาถึงขั้นตอนนี้ ท่านผู้อ่านคงจะสังเกตเห็นแล้วนะครับว่า คำว่า Digital/Data Governance ที่มีองค์ประกอบหลักๆ ตามที่ได้กล่าวข้างต้น มีสารสนเทศที่เกี่ยวข้องกับทุก Enablers ซึ่งทุก Enablers นั้น จะเชื่อมโยงกันด้วยสารสนเทศและกระบวนการในแต่ละเป้าหมายแต่ละระดับองค์กร และเป้าหมายที่เกี่ยวข้องกับ IT/Digital ในมิติของการวัดแบบสมดุลที่เรียกกันว่า Balanced Scorecard_BSc. ที่มี 4 มิติ ซึ่งได้แก่ 1) การวัดผลสัมฤทธิ์ทางด้านการเงิน 2) ทางด้านลูกค้า ซึ่งเรียกว่า Lag Indicator ที่ใช้เป็นตัวชี้วัดตามผลสัมฤทธิ์ที่เกิดจากมิติของ Lead Indicator เพื่อให้เกิดการวัดผลแบบสมดุล ซึ่งเป็นตัวชี้วัดนำที่เรียกว่า 3) การกระบวนการปรับปรุงภายใน และ 4) การเรียนรู้และการเติบโต โดยมีเป้าหมายระดับองค์กร และเป้าหมายระดับ IT/Digital 17 เป้าหมายด้วยกัน จึงสามารถนำเชื่อมโยงไปสู่กระบวนการที่เกี่ยวข้องของการนำเป้าหมายสารสนเทศ และเทคโนโลยีที่เกี่ยวข้องทางด้าน IT/Digital เข้าไป Mapping กับเป้าหมายระดับองค์กร/ธุรกิจ ตามกรอบการดำเนินงานขององค์กร/ธุรกิจ ซึ่งเป็นไปตามหลักการของ COBIT5 ซึ่งยังใช้ได้ดี ถึงแม้จะเปลี่ยนเป็น COBIT2019 แล้วก็ตาม

ซึ่งตอนนี้ผมอยากจะกล่าวต่อไปว่า คำว่า การกำกับดูแล (Governance) ได้กลายมาเป็นความคิดของธุรกิจในระดับแนวหน้า ที่แสดงให้เห็นถึงความสำคัญของการกำกับดูแลกิจการที่ดี และในทางกลับกันก็สะท้อนให้เห็นถึงความล้มเหลวขององค์กร/ธุรกิจ อันเกิดจากการละเลยการกำกับดูแลกิจการที่ดี ซึ่งเป็นประเด็นสำคัญและอาจเปรียบเทียบได้กับการติดกระดุมเม็ดแรกในการสร้างกรอบการกำกับดูแลทางด้าน Digital เพื่อองค์กร/ธุรกิจที่ต้องอิงหลักการที่เป็นสากลใช้และปฏิบัติกันอยู่โดยทั่วไป และโดยสรุปก็อาจกล่าวได้ว่า หลักการปฏิบัติที่ดีและเป็นสากลนั้น ใช้เป็นกรอบการกำกับการบริหาร รวมทั้งการปฏิบัติงานเป็นหลัก ซึ่งจะเชื่อมด้วยการบรรลุความต้องการของผู้มีส่วนได้เสียไปสู่การสร้างเป้าหมายระดับองค์กร และส่งทอดไปยังเป้าหมาย IT/Digital และเป้าหมายของปัจจัยเอื้อ (Enablers) นั่นเอง

อาจจะสรุปในเบื้องต้นในเรื่องการกำกับ การบริหาร และการปฏิบัติการ เพื่อเป็นไปตามวัตถุประสงค์ของ 8 Enablers ในการเชื่อมเป้าหมายของทุก Enablers ไปยัง Digital/Data Governance นั้น เราควรจะเน้นถึงแผนงาน โครงสร้าง ขององค์กรหรือรัฐวิสาหกิจ รามเป้าหมายของการเขียนครั้งนี้ว่า มีคุณภาพและศักยภาพ และเป้าหมายที่มุ่งไปสู่ผลสัมฤทธิ์ของแต่ละ Enablers และทุก Enablers ได้เชื่อมโยงไปสู่เป้าหมายที่เกี่ยวข้องกับ Digital ที่เชื่อมโยงไปยังเป้าหมายระดับองค์กรหรือของแต่ละรัฐวิสาหกิจอย่างไร

เมื่อถึงตอนนี้ หากองค์กรหรือรัฐวิสาหกิจ ไม่ตั้งมิติของการวัดผลแบบสมดุล-BSc. ตามที่ได้กล่าวข้างต้น การประเมินผล (Evaluate) การสั่งการ (Direct) และการเฝ้าติดตาม (Monitoring) ของกิจกรรมตามโครงการ และตามแผนงานต่างๆ อาจก่อให้เกิดความสับสนและไม่เป็นหนึ่งเดียวของการสร้างความเข้าใจ ในกระบวนการกำกับของ Governance Body หรือ Regulatory Body และไม่สะท้อนหรือไม่เชื่อมโยงไปยัง Mission – Vision – Strategy – Policy – Risk Appetite ระดับองค์กรและ/หรือระดับประเทศ ที่เกี่ยวข้องอย่างมีนัยสำคัญ

ทำความเข้าใจกับ Data Governance and Data Management บางมุมมอง

คุณสมบัติของ Data และ Information จำเป็นต้องมีคุณสมบัติที่ดีเพราะข้อมูลหรือสารสนเทศต่างๆ รวมทั้งการควบคุมความเสี่ยงที่เกิดจากการไม่มีคุณสมบัติที่ดีของสารสนเทศ หรือ cyber ที่เกี่ยวข้องกับ 8 enablers นั้นมีความสำคัญอย่างยิ่งยวดที่จะทำให้แผนงานและโครงการต่างๆ ที่โยงใยไปจาก data governance นั้น มีผลทางลบต่อ digital governance ทั้งองค์กร

ดังนั้น เรามาทำความเข้าใจกับคุณสมบัติที่ดีของสารสนเทศ ดังคำอธิบายที่เกี่ยวข้องดังนี้

ความมีความประสิทธิผล – สารสนเทศจะมีประสิทธิผล ถ้าสามารถบรรลุความต้องการของผู้ใช้สารสนเทศ ซึ่งใช้สารสนเทศสำหรับภารกิจเฉพาะหนึ่งๆ ถ้าผู้ใช้สารสนเทศสามารถปฏิบัติภารกิจด้วยการใช้สารสนเทศนั้น ก็แสดงว่าสารสนเทศนั้นมีประสิทธิผล ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องจำนวนที่เหมาะสมของความเกี่ยวเนื่อง เข้าใจได้ง่าย สามารถแปลความหมายได้และเที่ยงตรง

ความมีประสิทธิภาพ – ในขณะที่ความมีประสิทธิผลจะมองสารสนเทศเป็นผลลัพธ์ ประสิทธิภาพจะเกี่ยวข้องกับกระบวนการในการได้มาและการใช้สารสนเทศ ดังนั้น จึงสอดคล้องกับมุมมองที่ว่า “สารสนเทศเป็นการให้บริการ” (Information as service) ถ้าสารสนเทศตรงกับความต้องการของผู้ใช้สารสนเทศและใช้ได้อย่างสะดวกสบาย (เช่น ใช้ทรัพยากรน้อย ไม่ว่าจะเป็นการลงแรง การใช้ความคิด เวลา และเงิน) ก็เรียกได้ว่าการใช้งานสารสนเทศนั้นมีประสิทธิภาพ ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความน่าเชื่อถือ การเข้าถึงได้ ความง่ายในการใช้งานและชื่อเสียง

ความถูกต้องสมบูรณ์ – ถ้าสารสนเทศมีความถูกต้องสมบูรณ์ ก็หมายถึงสารสนเทศนั้นครบถ้วนและไม่มีความผิดพลาด ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความครบถ้วนและถูกต้อง

ความเชื่อถือได้ – ความเชื่อถือได้มักจะถูกมองว่ามีความหมายเช่นเดียวกับคำว่า ความถูกต้อง อย่างไรก็ตาม เราอาจกล่าวได้ว่า สารสนเทศมีความเชื่อถือได้หากเป็นเรื่องจริงและได้อย่างต้องและวางใจได้ หากเปรียบกับความถูกต้องสมบูรณ์ ความเชื่อถือได้เป็นเรื่องของดุลพินิจซึ่งขึ้นกับมุมมองของแต่ละบุคคล ไม่ได้มองเพียงข้อเท็จจริงอย่างเดียว ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความน่าเชื่อถือ ชื่อเสียง ความเที่ยงตรง

ความพร้อมใช้ – ความพร้อมใช้ เป็นหนึ่งในเป้าหมายด้านคุณภาพของสารสนเทศภายใต้หัวข้อการเข้าถึงได้และความมั่นคงปลอดภัย

การรักษาความลับ – การรักษาความลับ สัมพันธ์กับเป้าหมายด้านคุณภาพของสารสเทศในเรื่องของการจำกัดการเข้าถึง

การปฏิบัติตาม – การปฏิบัติตาม ใช้ในความหมายที่สารสนเทศต้องสอดคล้องกับ ข้อกำหนดต่างๆ ซึ่งเป็นส่วนหนึ่งของเป้าหมายด้านคุณภาพของสารสนเทศที่ขึ้นอยู่กับข้อกำหนดที่มีการปฏิบัติตามกฎระเบียบข้อบังคับ มักจะเป็นเป้าหมายหรือข้อกำหนดในการใช้สารสนเทศ ซึ่งไม่ค่อยเกี่ยวเนื่องกับคุณภาพของสารสนเทศ

สำหรับการส่งทอดเป้าหมายที่เกี่ยวข้องกับ Digital Governance ในภาพโดยรวมที่ส่งทอดไปยังเป้าหมายของ Enablers ทั้ง 8 ที่ใช้มิติการวัดผลแบบสมดุล ระหว่างเป้าหมายระดับองค์กรกับเป้าหมายที่เกี่ยวกับ IT/Digital นั้น ตามที่ผมได้กล่าวแล้วว่า คณะกรรมการและผู้บริหารระดับสูงต้องมีแนวทางกำกับและการบริหารและการติดตามผลอย่างเข้มงวดที่เกี่ยวกับแผนงานและโครงการที่ควร/ต้องมีความสัมพันธ์กับพันธกิจ วิสัยทัศน์ นโยบาย กลยุทธ์ และความเสี่ยงที่ยอมรับได้ ในระดับหน่วยงานย่อยและในระดับองค์กร หรือในระดับประเทศแล้วแต่กรณี จะได้นำมาอธิบายในตอนต่อไปนะครับ

Leave a Comment » | 8 Enablers and State Enterprises | ติดป้ายกำกับ: , , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 4)

มกราคม 27, 2014

ครั้งที่แล้ว ผมได้เล่ามาถึงเรื่อง มาตรการของ ธปท. ทางด้านคอมพิวเตอร์ที่เกี่ยวข้องกับธนาคารพาณิชย์บางประการ ที่กล่าวถึงฐานะความมั่นคงและการควบคุม ระเบียบ กฎเกณฑ์ และข้อบังคับต่าง ๆ ที่กำหนดขึ้นก็เพื่อมุ่งจะเพิ่มประสิทธิภาพในระบบบัญชี ระบบการเงินให้มีความถูกต้องและน่าเชื่อถือได้ เพื่อให้แน่ใจว่า ผู้ตรวจสอบและผู้กำกับจาก ธปท. สามารถประเมินฐานความมั่นคงทางการเงิน ในมุมมองต่าง ๆ ตั้งแต่ความเพียงพอของเงินกองทุน คุณภาพของสินทรัพย์ คุณภาพการบริหารจัดการ ความสามารถในการหารายได้ และสภาพคล่อง ซึ่งในช่วงเวลานั้นเรียกกันย่อ ๆ ว่า CAMEL (C = Capital, A = Asset, M = Management, E = Earnings, L = Liquidity) ที่จะสามารถสนองตอบความเชื่อมั่นของผู้มีผลประโยชน์ร่วมของทุกกลุ่มได้อย่างมั่นใจ

CAMEL

ครั้งนี้ ผมจะเล่าต่อง่าย ๆ และสั้น ๆ ในการชี้แจง งานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ซึ่งผมและทีมงานในนามของ ธนาคารแห่งประเทศไทย ได้ชี้แจงธนาคารพาณิชย์ทุกแห่ง รวมทั้งสถาบันการเงินที่เกี่ยวข้อง ให้เข้าใจถึงแนวทางการกำกับและการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และความเสี่ยงจากการใช้คอมพิวเตอร์ ที่อาจมีผลต่อความไม่ถูกต้องของข้อมูลทางการเงิน และรายงานต่าง ๆ ที่มีผลต่อการบริหารงานภายในของสถาบันการเงิน และการตรวจสอบ รวมทั้งการกำกับของธนาคารแห่งประเทศไทย

ทั้งนี้ มีรายละเอียดจำนวนมากที่หน่วยงานที่จัดตั้งขึ้นใหม่ เรียกว่า “ส่วนงานพิเศษ” ซึ่งทำหน้าที่ตรวจสอบงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์เป็นหลัก ซึ่งได้ทำเอกสารเผยแพร่และอธิบายไปยังธนาคารพาณิชย์ทุกแห่ง หากมีโอกาส ผมอาจจะนำมาเล่าสู่กันฟังย่อ ๆ นะครับ

สำหรับวันนี้ ผมจะเล่าเฉพาะส่วนที่เป็นระบบงานโดยทั่วไปขององค์กรที่ใช้คอมพิวเตอร์ก็คือ ส่วนงานในช่วงนั้นที่เรียกว่า EDP – Electronic Data Processing ซึ่งผมจะขออธิบายเป็นแผนภาพเพื่อที่ไม่ต้องอธิบายเป็นคำพูดที่ยืดยาวจนเกินไป ดังนี้

ส่วนของคอมพิวเตอร์ในระบบงานต่าง ๆ ขององค์กร

ตามภาพข้างต้นจะช่วยให้ผู้บริหารและผู้ปฏิบัติงาน ได้เห็นภาพและเข้าใจผลกระทบต่อการบริหารและการจัดการองค์กรทางด้าน EDP ในยุคแรก ๆ จากนี้ผมมีกรณีศึกษาเป็นตัวอย่างที่จะทำให้ท่านผู้ที่สนใจได้ทราบว่า เมื่อรูปแบบของหลักฐานในการกำกับและตรวจสอบธนาคารพาณิชย์และสถาบันการเงินได้เปลี่ยนแปลงไปอันเนื่องมาจากการใช้ EDP หรือ IT ในยุคปัจจุบัน มีผลกระทบต่อกระบวนการกำกับและกระบวนการตรวจสอบ เท่าที่พอเข้าใจได้ง่าย ๆ อย่างไรบ้างนั้น ผมจึงขอกล่าวถึงการใช้คอมพิวเตอร์ในงานประเภทเดียวกัน เช่น ระบบการจ่ายเงินเดือน แต่ระบบงานหรือกระบวนการจ่ายเงินเดือนต่างกันนั้น จะเกี่ยวข้องกับรูปแบบของหลักฐานที่เปลี่ยนแปลงไปแตกต่างกัน… จะมีผลต่อกระบวนการกำกับและตรวจสอบอย่างไร… ดังนี้

ตัวอย่าง 1  องค์กร A ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเดือน พนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อนลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่น อัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็คและส่งให้ผู้ควบคุมแต่ละคนเพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลังโดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

จากระบบงานในลักษณะที่กล่าวมาขององค์กรนี้ รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพและความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์/เทคโนโลยีสารสนเทศ เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ Audit Software หรือ Test Data Method – TDM เป็นต้น

ตัวอย่างที่ 2 องค์กร B ได้ใช้ระบบงานคอมพิวเตอร์/เทคโนโลยีสารสนเทศ ในการจ่ายเงินเดือนเช่นเดียวกับองค์กร A แต่ระบบเทคโนโลยีที่ใช้แตกต่างกัน โดยระบบจะรวบรวมและบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอลเพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอลเพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงานในลัษณะที่เป็นการโอนเงินทางอิเล็กทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบการประมวลงานเทคโนโลยีสารสนเทศ จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำระบบคอมพิวเตอร์/เทคโนโลยีสารสนเทศเข้ามาใช้ในกรณี A ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์หรือระบบเทคโนโลยีเองนั้นไม่ได้มีผลต่อผู้ตรวจสอบหรือผู้กำกับโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหากที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสมและสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศนั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรนั้นใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐานที่ใช้ในการตรวจสอบ หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่าจะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบระบบเทคโนโลยีสารสนเทศโดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

จากที่ได้กล่าวข้างต้น ท่านที่ติดตามมาถึงขั้นตอนนี้จะสังเกตได้ว่า การกำหนดนโยบาย การกำกับ/ดูแลความมั่นคงของธนาคารพาณิชย์และสถาบันการเงิน ไม่ว่าจะในรูปแบบของ CAMEL เดิมตามที่กล่าวข้างต้น หรือในยุคการประเมินความเพียงพอของเงินกองทุน ตามหลักการ หลักเกณฑ์ Basel II – III ที่อิงกับการประเมินการบริหารความเสี่ยงของธนาคารพาณิชย์และสถาบันการเงิน รวมทั้งหน่วยงานประกันภัย ประกันชีวิตต่าง ๆ ที่มีผลกระทบกับการสร้างคุณค่าเพิ่ม ความมั่นคงของธนาคารพาณิชย์และสถาบันการเงินที่เกี่ยวข้องกับการสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วมยุคใหม่ที่ได้ดุลยภาพ โดยพิจารณาจากผลประโยชน์ที่ได้รับตามหลักการ Enterprise Goals / BSc. ที่สัมพันธ์กับกระบวนการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่เหมาะสม +++ นั้น ผู้กำกับฯ  คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงานหน่วยงานต่าง ๆ ควรจะคำนึงถึงความเสี่ยงที่ยอมรับได้จากผลกระทบจากการใช้ระบบเทคโนโลยีสารสนเทศที่มีความก้าวหน้าอย่างรวดเร็วในปัจจุบันว่าควรจะกำหนด วิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ผลลัพธ์ที่คาดหมาย จากการดำเนินการขององค์กรและธุรกิจที่ตนเองดูแลอยู่

บทบาทหน้าที่และความรับผิดชอบได้เปลี่ยนแปลงไปอย่างมากมาย ทั้งในระดับคณะกรรมการ ที่ควรจะให้ความสำคัญต่อการกำกับดูแล สั่งการ ติดตาม ผลการดำเนินงานอย่างต่อเนื่อง นั่นคือการเน้นทางด้าน Governance หรือการสร้าง Value Creation ให้เป็นที่พึงพอใจของ Stakesholders และต้องสร้างดุลยภาพของความสัมพันธ์ระหว่าง Enterprise Goals กับ IT Related Goals อย่างลงตัว ให้ทันกับการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบ และการปฏิบัติตามกฎเกณฑ์อย่างได้มาตรฐานและเหมาะสมอยู่เสมอ ++++

การบริหารแบบบูรณาการในลักษณะของ Integrated GRC และการก้าวไปสู่ Integrated Management ระหว่าง IT Related Goals และ Enterprise Goals จะนำไปสู่การเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ การบริหารและการจัดการที่ต้องเปลี่ยนแปลงความคิดใหม่ให้เข้าใจการบริหารแบบบูรณาการอย่างแท้จริง จากการเชื่อมโยงที่ลึกซึ้งและแยกกันไม่ได้ระหว่าง IT และ Business ซึ่งผมจะค่อย ๆ เล่าสู่กันฟังในตอนต่อ ๆ ไป นะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn