Cyber Security Strategy and Enablers

กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ

ในการประเมินศักยภาพและความสามารถของรัฐวิสาหกิจ ที่ได้มาตรฐานการกำกับและการบริหารที่ยอมรับได้ ตั้งแต่ปี 2563 เป็นต้นไปนั้น จะมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ นั่นคือ ได้มีการประกาศใช้พระราชบัญญัติการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจ (พ.ร.บ. พัฒนารัฐวิสาหกิจฯ) เมื่อวันที่ 19 พฤษภาคม 2562 ซึ่งถือเป็นหัวใจสำคัญของการปฏิรูปรัฐวิสาหกิจไทย โดย พ.ร.บ. พัฒนารัฐวิสาหกิจฯ ดังกล่าวได้กำหนดวัตถุประสงค์สำคัญในการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจไว้ 4 ประเด็น ซึ่งรวมถึงการส่งเสริมให้รัฐวิสาหกิจดำเนินการอย่างมีประสิทธิภาพ โปร่งใส สอดคล้องกับหลักการกำกับดูแลกิจการที่ดี และมีการประเมินผลการดำเนินการอย่างต่อเนื่อง

สคร. เห็นถึงความจำเป็นของการพัฒนาระบบประเมินผล เพื่อพัฒนาต่อยอดจากโครงการระบบประเมินผลเดิมที่สามารถใช้เป็นเครื่องมือในการกำกับ ติดตาม ประเมินผลการดำเนินงานรัฐวิสาหกิจที่มีความเหมาะสม เป็นรูปธรรม และสามารถสะท้อนถึงความมีประสิทธิภาพในการดำเนินงานได้อย่างแท้จริง โดยได้พิจารณานาข้อดี/จุดแข็ง ของระบบปัจจุบันที่มีมาใช้ ปรับปรุงข้อด้อยของระบบปัจจุบัน รวมทั้งปรับปรุง เพิ่มเติมประเด็นของการจัดการสมัยใหม่และ Update ให้เป็นปัจจุบัน และจะนำมาใช้ในการประเมินผลรัฐวิสาหกิจในปี 2563 โดยมีวัตถุประสงค์ เพื่อส่งเสริมให้รัฐวิสาหกิจตอบสนองกับสภาพแวดล้อมในการดำเนินภารกิจ/ธุรกิจ การแข่งขัน ความต้องการของผู้ใช้บริการ และ บริบทที่เปลี่ยนแปลงไป เช่น การเปลี่ยนแปลงของเทคโนโลยีดิจิทัล เป็นต้น รวมถึงนโยบายสาคัญ เช่น ไทยแลนด์ 4.0 ที่ต้องการขับเคลื่อนประเทศด้วยความคิดสร้างสรรค์และนวัตกรรมด้วยการดำเนินงาน ที่มีประสิทธิภาพ โปร่งใส ตรวจสอบได้

กรอบการประเมินผลการดำเนินงานรัฐวิสาหกิจ ปีบัญชี 2563 แบ่งออกเป็น 2 ส่วน ดังนี้
1. ผลการดำเนินงาน (Key Performance Area) (นำหนักร้อยละ 60 +/- 15) ได้แก่
1) การดำเนินงานตามยุทธศาสตร์ เช่น ยุทศาสตร์ชาติ, นโยบายรัฐบาล, แผนยุทธศาสตร์ของรัฐวิสาหกิจ ฯลฯ
2) ผลการดำเนินงานที่สาคัญ (Key Result) เช่น ผลการดำเนินงานตามภารกิจที่สาคัญ, แผนงานโครงการที่สาคัญที่สะท้อนประสิทธิภาพ ประสิทธิผล ผลสัมฤทธิ์ ฯลฯ

2. กระบวนการปฏิบัติงานและการจัดการ (Enablers) (นำหนักร้อยละ 40 +/- 15)

ทั้งนี้ มีองค์ประกอบที่อาจเรียกได้ว่าเป็นปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) 8 ด้าน คือ

1) การกำกับดูแลที่ดีและการนำองค์กร (Corporate Governance & Leadership)

2) การวางแผนเชิงยุทธศาสตร์ (Strategic Planning)

3) การบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control)

4) การมุ่งเน้นลูกค้าและผู้มีส่วนได้ส่วนเสีย (Stakeholder & Customer)

5) การพัฒนาเทคโนโลยีดิจิทัล (Digital Technology)

6) การบริหารทุนมนุษย์ (Human Capital Management)

7) การจัดการความรู้และนวัตกรรม (Knowledge Management & Innovation Management)

8) การตรวจสอบภายใน (Internal Audit)

แผนภาพที่อาจใช้อธิบายเพื่อความเข้าใจโดยย่อ มีดังนี้

ทั้งนี้ มีรายละเอียดที่ปรากฎใน ร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ของ สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) ผมจึงขอออกความเห็นเป็นการส่วนตัว เพื่อให้เกิดความเข้าใจที่ดี ของหน่วยงานที่ต้องปฏิบัติ (Regulated Entities) ซึ่งก็ได้แก่ รัฐวิสาหกิจที่อยู่ในเกณฑ์ที่ต้องใช้หลักเกณฑ์นี้สำหรับประเมินผลการกำกับและการดำเนินงาน ตั้งแต่ปีบัญชี 2563 เป็นต้นไป ในลักษณะที่หน่วยงานต้องปฏิบัติ ควรจะได้เข้าใจถึงหลักการที่ สคร. ได้นำมาใช้ในการประเมินผล ที่ได้อ้างอิงถึงหลักการสากลที่เป็นทั้ง Best Practice และที่เป็นมาตรฐานสากลที่เกี่ยวข้อง เช่น COBIT, COSO, ฯลฯ ที่รัฐวิสาหกิจพึงนำมาประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมและบริบทต่างๆ ที่เกี่ยวข้อง ในลักษณะบูรณาการ Enabler ทั้ง 8 ด้าน ในภาพใหญ่ และในภาพย่อย ด้วยความเข้าใจจริงเป็นสำคัญ

หากท่านผู้อ่านได้ดูภาพที่ปรากฎข้างต้นก็จะพบว่า Enabler หลักทั้ง 8 ด้าน ในการกำกับและการบริหาร นอกจากจะต้องให้มีประสิทธิภาพและประสิทธิผลในตัวเองของมัน ในแต่ละเรื่องหรือในแต่ละ Enabler แล้ว ยังจะต้องบูรณาการทุก Enabler ให้มีความสัมพันธ์ซึ่งกันและกัน และต้องสอดคล้องกับปัจจัยหลักที่สำคัญยิ่งยวดเหนือสิ่งอื่นใดก็คือ Governance – GRC และ Cyber Security Governance – Strategy ที่เกี่ยวข้อง

ดังนั้น ภาพดังกล่าวจึงช่วยให้คณะกรรมการรัฐวิสาหกิจและผู้บริหาร รวมทั้งผู้ปฏิบัติแต่ละแห่ง เข้าใจได้ถึงขอบเขตและกรอบการดำเนินงานในภาพใหญ่โดยรวมตามที่กล่าวข้างต้น ทั้งนี้ ผู้เกี่ยวข้องจะต้องอ่านรายละเอียดจากร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ให้ละเอียดตรงกับหลักการและวัตถุประสงค์ของคณะกรรมการประเมินผลฯ

ในตอนแรกนี้ ผมจะขอเน้นในเรื่องที่เกี่ยวข้องกับ Cyber Security Strategy Governance/Framework ซึ่งในที่นี้ใคร่ขอย้ำว่า ในอดีตเรียกว่า “Information Governance” ซึ่งเป็นหนึ่งในหมวดว่าด้วย Governance นั่นเอง ทั้งนี้ใคร่ขออธิบายด้วยภาพเบื้องต้นดังต่อไปนี้

 

<

จากภาพที่ 2 มีลักษณะอธิบายในตัวของมันเองถึง การใช้หลักการ Governance ที่อ้างอิง ISO กับ COBIT และบทบาทของผู้มีหน้าที่กำกับ (Governing Body/Regulator) และผู้มีหน้าที่ที่เกี่ยวข้องในเรื่องการบริหาร กระบวนการ และกิจกรรมต่างๆ ที่เกี่ยวข้อง โดยแยกเรื่อง Governance ออกจาก Management ที่เชื่อมโยงกับ 8 Enablers ในภาพใหญ่ตามภาพนะครับ

ภาพนี้แสดงถึงการเชื่อมโยงแต่ละ Enabler เข้ากับหลักการ COBIT ซึ่งผมได้เคยเขียนถึงก่อนหน้านี้แล้ว


ภาพที่ 4 แสดงถึง COBIT 5 Principle ซึ่งยังใช้ได้ดี ถึงแม้ ISACA จะออก version ใหม่มาแล้ว เรียกว่า COBIT 2019 แล้วก็ตาม ทั้งนี้ตามภาพได้เชื่อมหลักการกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จย่อยที่เป็นตัวเสริมความสำเร็จในการกำกับและบริหาร ทั้ง 8 Enablers ด้วยนะครับ

ในตอนต่อไปผมจะลงในรายละเอียดที่เกี่ยวข้องกับหลักการที่สำคัญ เพื่อสร้างความเข้าใจในทางปฏิบัติที่เกี่ยวข้องกับ Cyber Security Strategy และความเชื่อมโยงกับ governance และ Management ในมุมมองของหลักการใหญ่และหลักการย่อย รวมทั้ง ความหมายของคำว่า “Apply or Explain” ที่ใช้ในการประเมินผลรัฐวิสาหกิจปี 2563 ต่อไปครับ

 

บทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง)

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

ก่อนที่ผมจะแลกเปลี่ยนความคิดเห็นเกี่ยวกับบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ที่สัมพันธ์กับ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

บทบาทของผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน จาก Regulatory Body/Regulators ที่ไปกำกับหน่วยงานที่เกี่ยวข้อง (Regulated Entities) เพื่อสนองตอบความต้องการของผู้มีส่วนได้เสียที่เกี่ยวข้ัองตาม พรบ. ไซเบอร์นี้นั้น ผมได้นำบางส่วนที่สำคัญของ พรบ. นี้ มาเกริ่นนำให้ท่านได้ทราบเนื้อหาและความสำคัญ ก็เพราะสิ่งที่ผมจะได้กล่าวต่อไปนี้จะเกี่ยวข้องกับ

Responsibility : ผู้มีหน้าที่ปฎิบัติงานที่มีความรู้ความสามารถ ศักยภาพ/ที่ได้รับมอบหมายจากผู้กำกับหรือผู้บริหารสูงสุด (Regulatory Body/Regulators) ของหน่วยงาน

Accountability : ผู้มีหน้าที่ตัดสินใจและความรับผิดชอบระดับงานสูงสุดตาม พรบ. ไซเบอร์ หรือของหน่วยงาน เช่น การกำหนดวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ความเสี่ยงในระดับที่องค์กร/หน่วยงานยอมรับได้ (Risk Appetite) แผนงาน/โครงการต่างๆ ที่เกี่ยวข้อง ผลการดำเนินงาน (Performance) ที่ได้ดุลยภาพกับการปฏิบัติตามกฎหมาย/พรบ.ฯ มาตรฐาน ประกาศ คำสั่ง และระเบียบต่างๆ (Conformance) รวมทั้งมีหน้าที่และความรับผิดชอบในการประเมินผล (Evaluate) สั่งการ (Direct) เฝ้าติดตามผล (Monitor) เพื่อให้บรรลุวัตถุประสงค์โดยรวมขององค์กร/หน่วยงาน

Consulted : ผู้มีหน้าที่ให้คำแนะนำในกระบวนการที่ต้องใช้ข้อมูล/สารสนเทศ/ธรรมาภิบาลด้านไซเบอร์ ขั้นตอนและกระบวนการประมวลข้อมูลฯ และความมั่นคงปลอดภัยไซเบอร์ ตลอดถึงผลลัพธ์และประโยชน์ที่จะได้รับ

Informed : ผู้ใช้ข้อมูลในการตัดสินใจหรือใช้ประโยชน์จากข้อมูล/สารสนเทศ/ความมั่นคงปลอดภัยไซเบอร์ รวมทั้งการพัฒนางานอย่างต่อเนื่อง เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียที่เกี่ยวข้องอย่างได้ดุลยภาพ

ดังนั้น จากประกาศที่มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 27 พฤษภาคม 2562 พระราชบัญญัตินี้ มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๒๘ มาตรา ๓๒ มาตรา ๓๓ มาตรา ๓๔ มาตรา ๓๖ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายเหตุผล และความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ และเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ อันกระทบต่อความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ ซึ่งการตราพระราชบัญญัตินี้ สอดคล้องกับเงื่อนไข ที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้ โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติทำหน้าที่รัฐสภา (คัดลอกและคัดเลือกมาบางส่วนเพื่อใช้ประกอบในการเขียนบทความนี้ ตามหัวข้อข้างต้น)

ก่อนที่ท่านผู้อ่านจะได้อ่านจากความคิดเห็นของผมเกี่ยวกับบทบาทของผู้กำกับและผู้บริหาร พรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ผมได้โปรยหัวข้อที่มีความสำคัญที่ผมตั้งใจที่จะแบ่งปันในเรื่องนี้ก็คือ ทั้งหน่วยงานกำกับ และหน่วยงานที่ได้รับการกำกับ จะต้องระบุหน้าที่ในเรื่องที่เกี่ยวกับ Accountability, Responsibility, Consulted และ Informed ของแต่ละกระบวนการ (Process) และกิจกรรม (Activity) ให้ชัดเจนที่สามารถติดตามผลการปฏิบัติงานที่เป็นระบบ และใช้เป็นกรอบในการดำเนินการตาม พรบ.ไซเบอร์ ในการบริหารจัดการกระบวนการทางไอที ในระดับประเทศ และระดับองค์กรได้อย่างเหมาะสม ซึ่งมีรายละเอียดค่อนข้างมากนะครับ

เพราะการสร้างคุณค่าเพิ่ม (Value Creation) หน่วยงานกำกับและหน่วยงานที่ได้รับการกำกับ ควรจะมีความเข้าใจตรงกันในบทบาทที่เกี่ยวข้อง นั่นคือ องค์ประกอบที่สำคัญของ Governance ที่ต้องประกอบด้วยผลประโยชน์ที่ผู้มีส่วนได้เสียจะได้รับ ควบคู่และบูรณาการกันกับการบริหารความเสี่ยงที่เหมาะสมที่สุด และการใช้ทรัพยากรให้เกิดประโยชน์สูงสุดที่จะถ่ายทอดเป้าหมายไปสู่ระดับองค์กร และถ่ายทอดต่อไปยังเป้าหมายที่เกี่ยวข้องกับไอที และถ่ายทอดต่อไปยังเป้าหมายของปัจจัยเอื้อ ที่จะผลักดันให้องค์กรประสบความสำเร็จ ซึ่งได้แก่ ผู้กำกับและผู้ได้รับการกำกับตาม พรบ.ไซเบอร์ นี้ จะต้องมีหลักการที่ได้รับการยอมรับกันเป็นสากล ในการใช้เป็นธงนำในการสร้าง Value Creation ต่อผู้มีส่วนได้เสีย และมีปัจจัยเอื้อที่หลีกเลี่ยงไม่ได้ เพราะมีความสำคัญอย่างยิ่งยวดต่อกระบวนการและระบบการกำกับการบริหารงานตาม พรบ.ไซเบอร์ 7 เรื่อง คือ 1) หลักการ นโยบาย และกรอบการดำเนินงาน ที่สัมพันธ์กันกับข้ออื่นๆ อีก 6 ข้อ คือ 2) กระบวนการ 3) โครงการ 4) วัฒนธรรม จริยธรรม และพฤติกรรม 5) สารสนเทศ 6) บริการ โครงสร้างพื้นฐาน และระบบงาน และ 7) บุคลากร ทักษะ และศักยภาพ

ที่มา : www.coso.org

สำหรับมาตราต่างๆ ต่อจากนี้ไป ที่ผมคัดเลือกมาบางส่วนนั้น ได้แก่

มาตรา ๓ ในพระราชบัญญัตินี้ “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ

“ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

“ไซเบอร์” หมายความรวมถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียม และระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป

“หน่วยงานของรัฐ” หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาคราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระองค์การมหาชน และหน่วยงานอื่นของรัฐ

“ประมวลแนวทางปฏิบัติ” หมายความว่า ระเบียบหรือหลักเกณฑ์ที่คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์กำหนด

“เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” หมายความว่าเหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใด ๆ ที่มิชอบซึ่งกระทำการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

“มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

“โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชน ใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ

หมวด ๑ คณะกรรมการ

ส่วนที่ ๑ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

มาตรา ๕ ให้มีคณะกรรมการคณะหนึ่งเรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กมช.” และให้ใช้ชื่อเป็นภาษาอังกฤษว่า“National Cyber Security Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย
(๑) นายกรัฐมนตรี เป็นประธานกรรมการ
(๒) กรรมการโดยตำแหน่ง ได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ
(๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินเจ็ดคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน

มาตรา ๙ คณะกรรมการมีหน้าที่และอำนาจ ดังต่อไปนี้
(๑) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและสนับสนุนการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา ๔๒ และมาตรา ๔๓ ต่อคณะรัฐมนตรีเพื่อให้ความเห็นชอบ ซึ่งต้องเป็นไปตามแนวทางที่กำหนดไว้ในมาตรา ๔๒
(๒) กำหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
(๓) จัดทำแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สำหรับเป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติ และในสถานการณ์ที่อาจจะเกิด หรือเกิดภัยคุกคามทางไซเบอร์ โดยแผนดังกล่าวจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์และแผนระดับชาติและกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ
(๔) กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกำหนดมาตรฐานขั้นต่ำที่เกี่ยวข้องกับคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ รวมถึงส่งเสริมการรับรองมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชน
(๕) กำหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
(๖) กำหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในประเทศและต่างประเทศ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
(๗) แต่งตั้งและถอดถอนเลขาธิการ
(๘) มอบหมายการควบคุมและกำกับดูแล รวมถึงการออกข้อกำหนด วัตถุประสงค์ หน้าที่และอำนาจ และกรอบการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้หน่วยงานควบคุมหรือกำกับดูแล หน่วยงานของรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
(๙) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์และการรักษาความมั่นคงปลอดภัยไซเบอร์ตามที่บัญญัติไว้ในพระราชบัญญัตินี้
(๑๐) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรี เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
(๑๑) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

 

ส่วนที่ ๒ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

มาตรา ๑๒ ในการดำเนินการตามหน้าที่และอำนาจของคณะกรรมการตามมาตรา ๙ ให้มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กกม.” ประกอบด้วย
(๑) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ
(๒) กรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงานปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ
(๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินสี่คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคนหลักเกณฑ์ และวิธีการสรรหาบุคคลที่เห็นสมควร เพื่อพิจารณาแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิให้เป็นไปตามระเบียบที่คณะกรรมการกำหนด

มาตรา ๑๓ กกม. มีหน้าที่และอำนาจ ดังต่อไปนี้
(๑) ติดตามการดำเนินการตามนโยบายและแผนตามมาตรา ๙ (๑) และมาตรา ๔๒
(๒) ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ตามมาตรา ๖๑ มาตรา ๖๒ มาตรา ๖๓ มาตรา ๖๔ มาตรา ๖๕ และมาตรา ๖๖
(๓) กำกับดูแลการดำเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์
(๔) กำหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อันเป็นข้อกำหนดขั้นต่ำในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทางไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบ หรืออาจก่อให้เกิดผลกระทบ หรือความเสียหายอย่างมีนัยสำคัญหรืออย่างร้ายแรงต่อระบบสารสนเทศของประเทศ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน
(๕) กำหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน้าที่ของหน่วยงานควบคุมหรือกำกับดูแล โดยอย่างน้อยต้องกำหนดหน้าที่ให้หน่วยงานควบคุมหรือกำกับดูแล ต้องกำหนดมาตรฐานที่เหมาะสม เพื่อรับมือกับภัยคุกคามทางไซเบอร์ของแต่ละหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน่วยงานของรัฐ
(๖) กำหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน รับมือประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์ในแต่ละระดับเสนอต่อคณะกรรมการ
(๗) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการพิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น

ในการกำหนดกรอบมาตรฐานตามวรรคหนึ่ง (๔) ให้คำนึงถึงหลักการบริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้
(๑) การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล
(๒) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น
(๓) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์
(๔) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์
(๕) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

มาตรา ๑๔ ในการดำเนินการตามมาตรา ๑๓ วรรคหนึ่ง (๒) เพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้ทันท่วงที กกม. อาจมอบอำนาจให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผู้บัญชาการทหารสูงสุด และกรรมการอื่นซึ่ง กกม. กำหนด ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกำหนดให้หน่วยงานควบคุมหรือกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ถูกคุกคามเข้าร่วมดำเนินการประสานงาน และให้การสนับสนุนด้วยก็ได้ การปฏิบัติตามวรรคหนึ่ง ให้เป็นไปตามระเบียบที่ กกม. กำหนด

มาตรา ๑๕ ให้นำความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ มาใช้บังคับกับกรรมการผู้ทรงคุณวุฒิใน กกม. โดยอนุโลม

สำหรับตอนแรกของบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) จึงขอเน้นในเรื่อง RACI and Cyber Law ที่เกี่ยวข้องกับ Peple, Process และ Technology ครับ

ระบบดี คนดี นั้นดีแน่

ระบบดี คนแย่ พอแก้ไข

ระบบแย่ คนดี มีทางไป

ระบบแย่ คนไม่เอาไหน บรรลัยเอย

ขอโด้โปรดติดตามตอนต่อไปนะครับ

 

ความเป็นมาของการร่างพรบ. ไซเบอร์ และ พรบ. คุ้มครองข้อมูลส่วนบุคคล

ผมได้ห่างหายจากการคุยกับท่านผู้อ่านมานาน เพราะได้ให้ความสนใจในเรื่องที่เกี่ยวข้องกับ การพัฒนาการเติบโตอย่างยั่งยืนในแนวการกำกับ การดำเนินงานทางธุรกิจทุกประเภท เพื่อการบริหารการจัดการ IT ที่ดีในระดับองค์กร ที่อาจจะก้าวไปสู่การบริหารจัดการที่ดีในระดับประเทศได้ และในช่วงหลังๆ มีการร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ซึ่งเป็นเรื่องที่มีความสำคัญยิ่งยวดในมุมมองของความมั่นคงระดับประเทศ เศรษฐกิจ การเงิน การลงทุน กระบวนการจัดการ เพื่อมิให้มีปัญหาร้ายแรงในระดับองค์กรที่ส่งผลกระทบต่อระดับประเทศได้ ผลกระทบจากการร่าง พรบ. ทั้งสองนี้ จึงมีเรื่องและสาระสำคัญที่ได้มีการติดตามกันอย่างมากในทุกวงการ

ผมจะขอไม่ลงรายละเอียดและผลกระทบต่างๆ ในช่วงแรกนี้ ทั้งนี้เพราะการร่าง พรบ. ทั้งสองนี้ ได้มีการเผยแพร่โดยสื่อต่างๆ โดยใช้เวลามายาวนานพอสมควร จนกระทั่งได้ร่าง พรบ. ทั้งสองที่ผ่านคณะกรรมาธิการวิสามัญ หลังจากที่ได้มีการปรับปรุงแก้ไขอย่างมีนัยสำคัญจากฉบับร่างเดิม

สาระของ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ที่ผ่านกรรมาธิการ และได้รับการปรับปรุงแก้ไขจะมีการขีดฆ่าบนข้อความที่ไม่ใช้ และมีการปรับปรุงเพิ่มเติมข้อความใหม่โดยใช้การขีดเส้นใต้ข้อความที่เพิ่มเติมนั้น เพื่อความสะดวกผมขอนำข้อมูลตามที่ได้กล่าวข้างต้นของ พรบ. ทั้งสอง ที่จะประกาศใช้อย่างเป็นทางการในไม่ช้า มาให้ท่านผู้อ่านที่สนใจได้ติดตามและพิจารณาวิวัฒนาการของการร่าง พรบ. ทั้งสองฉบับ ที่น่าสนใจยิ่ง เพื่อนำไปศึกษาและเตรียมพร้อมในการกำกับ การบริหารจัดการ รวมทั้งการประยุกต์ใช้ให้เหมาะสม ตรงกับเจตนารมณ์ของการร่าง พรบ. ทั้งสอง ที่ควรจะเข้าใจกระบวนการบริหารแบบบูรณาการที่เกี่ยวข้องกับ Governance + Risk Management + Compliance ส่วนรายละเอียดค่อยคุยกันในโอกาสต่อไปนะครับ

ต่อไปนี้จะเป็นตัวอย่าง รายงานของคณะกรรมาธิการวิสามัญ พิจารณาร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

 

ร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …

 


 

ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

สำหรับท่านผู้สนใจดาวโหลดไฟล์ สามารถคลิ๊กลิงก์ที่นี่ได้เลยค่ะ -> รายงานกรรมาธิการ พิจารณาร่างพรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … และ รายงานกรรมาธิการ พิจารณาร่างพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

 

 

COSO ERM 2017 กับแนวทางการกำกับ การบริหารยุค Thailand 4.0

ผมได้ห่างหายในการพูดคุยกับท่านผู้อ่านและเล่าเรื่องราวต่างๆ ในหัวข้ออื่นๆ ที่นอกเหนือจากหัวข้อ CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง จึงขอวกมาคุยและเล่าเรื่องราวต่างๆ ที่เกี่ยวข้องกับการกำกับ การบริหารความเสี่ยงยุคใหม่ ในมุมมองของ COSO ERM 2017 ซึ่งแน่นอนว่าจะแตกต่างจากการบริหารความเสี่ยงในมิติอื่นๆ อยู่บ้าง แต่อย่างไรก็ดี แนวการบริหารความเสี่ยงของ COSO ERM 2017 และมาตรฐานการบริหารความเสี่ยง ตาม ISO31000-2018 และแนวการบริหารความเสี่ยงของ COBIT5 for Risk จะมีจุดเน้น รวมทั้งกรอบแนวคิด กระบวนการจัดการกับการบริหารความเสี่ยงทั่วทั้งองค์กร ที่มีทั้งมุมมองแตกต่างกัน และมีมุมมองที่ใกล้เคียงกัน ซึ่งท่านผู้อ่านควรจะได้ติดตามกระบวนการที่เกี่ยวข้องเพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมต่อไป

ผมจะไม่เน้นการพูดถึงหลักการและทฤษฎีต่างๆ ที่เกี่ยวข้องกับการบริหารความเสี่ยงของแต่ละค่าย/สถาบัน ตามที่กล่าวข้างต้น แต่จะพูดในภาพรวมทางด้านที่สามารถจะนำไปปฏิบัติได้ตามวัตถุประสงค์ กลยุทธ์ วิสัยทัศน์ และเป้าหมายหลักๆ ขององค์กร ที่เกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ ทั้งนี้เพราะ ความเสี่ยงไม่ได้หมายถึงเหตุการณ์ที่จะก่อให้เกิดความเสียหายหรือการไม่บรรลุวัตถุประสงค์เพียงเท่านั้น แต่ยังหมายถึงโอกาสที่จะสร้างคุณค่าเพิ่ม หรือผลประโยชน์ให้กับผู้มีผลประโยชน์ร่วม (Stakesholder) และสร้างโอกาสและศักยภาพในการพัฒนาเศรษฐกิจ สังคม การลงทุน ตามสภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็ว

การกำหนดหลักการบริหารความเสี่ยงเพื่อลดระดับความเสี่ยงที่จะเกิดขึ้นกับระดับประเทศ ระดับองค์กร เพื่อสร้างความน่าเชื่อถือในมิติต่างๆ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดในการพัฒนาประเทศ และองค์กรให้เจริญเติบโตอย่างยั่งยืน โดยการกำหนดระดับความเสี่ยงที่ประเทศและองค์กรยอมรับได้ ในเรื่องต่างๆ ที่เกี่ยวข้องนั้น ผู้บริหารระดับประเทศ ผู้บริหารระดับองค์กร ควรจะเข้าใจถึงองค์ประกอบของกระบวนการบริหารความเสี่ยง ที่ต้องมีกระบวนการจัดการที่ชัดเจน และมีการกำกับแบบบูรณาการระหว่างเทคโนโลยีสารสนเทศ กับเป้าประสงค์ระดับประเทศและเป้าประสงค์ระดับองค์กร ซึ่งจะขอขยายความและพูดคุยกันเป็นตอนๆ ไปนะครับ

ถ้าอย่างนี้ เราลองมาเริ่มต้นพิจารณาถึงการเปลี่ยนแปลงสภาพแวดล้อม เอาแค่ในระดับองค์กรก่อนนะครับ เช่น การปรับเปลี่ยนนโยบาย กลยุทธ์ โครงสร้างองค์กร กระบวนการทำงาน การเปลี่ยนแปลงทรัพยากร ซึ่งหมายถึง Cyber/สารสนเทศ การบริการโครงสร้างพื้นฐานและระบบงาน รวมทั้งบุคลากร ทักษะ และศักยภาพของบุคลากรระดับต่างๆ ที่จะเชื่อมโยงหรืออิงกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จในกระบวนการกำกับ และการบริหารความเสี่ยง คือ ทรัพยากรดังกล่าวต้องเชื่อมโยงกับหลักการ ซึ่งหลักการดังกล่าวในที่นี้ หมายถึงท่านใช้หลักการอะไร มีนโยบายและกรอบการดำเนินการอย่างไร ซึ่งเป็นเรื่องสำคัญมาก เทียบได้กับการติดกระดุมเม็ดแรก และกระดุมเม็ดนี้จะเชื่อมต่อไปยังปัจจัยอื่นๆ ทีก่อให้เกิดความสำเร็จ คือ กระบวนการทำงาน โครงสร้างองค์กร และวัฒนธรรม จริยธรรม และพฤติกรรมของผู้บริหารและผู้ปฏิบัติงานทุกระดับ

นอกจากนี้ รวมทั้งองค์กร/ท่านจะต้องพิจารณาการเปลี่ยนแปลงสภาพแวดล้อมจากปัจจัยภายนอก เช่น กฎหมาย (พรบ. ไซเบอร์ พรบ. ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเรื่องใหม่ ที่ท้าทายความเข้าใจในการนำไปปฏิบัติงานเป็นอย่างยิ่ง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสที่เหมาะสมต่อไป) มาตรฐาน แนวการปฏิบัติงาน และเรื่องสำคัญก็คือ การเปลี่ยนแปลงทางการเมือง เศรษฐกิจ นโยบายภาครัฐ แน่นอนตามที่ผมได้กล่าวมาแล้วคือ การเปลี่ยนแปลงสภาพแวดล้อมและเทคโนโลยีที่มีนวัตกรรมใหม่ๆ และก้าวหน้าอย่างยิ่ง และอาจส่งผลกระทบต่อการดำเนินงานทั้งมิติของความมั่นคงของประเทศ/องค์กร และการบรรลุเป้าหมาย ฯลฯ ดังกล่าวข้างต้น ซึ่งจะก่อให้เกิดความเสี่ยงต่อประเทศและองค์กรโดยรวม ในการบรรลุวิสัยทัศน์ และพันธกิจของประเทศและองค์กร ซึ่ง COSO ERM 2017 จะได้นำแนวทางการบริหารความเสี่ยงมาประยุกต์ใช้ ให้ความสำคัญในการเลือกกลยุทธ์ที่เหมาะสม (Strategy Selection) ตอบสนองวิสัยทัศน์ พันธกิจ และการดำเนินงานเพื่อให้บรรลุเป้าหมายและวัตถุประสงค์ ให้เป็นไปตามกลยุทธ์ที่เลือกไว้แล้ว (Strategy Implementaion) ในระดับประเทศหรือระดับองค์กร

ที่มา : www.coso.org

การกำกับ (Governance) และการบริหารความเสี่ยง (Risk Management) รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่างๆ (Compliance) เป็น 3 องค์ประกอบที่ต้องเข้าใจในกระบวนการบริหารแบบบูรณาการอย่างแท้จริง มิฉะนั้น ถ้าขาดองค์ประกอบข้อหนึ่งข้อใด การสร้างคุณค่าเพิ่มตามหลักการ Governance ก็ไม่อาจจะเกิดขึ้นได้จากการบริหารความเสี่ยงที่ด้อยคุณภาพ รวมทั้ง ความสามารถในการปฏิบัติตาม Compliance ที่ควรเข้าใจอย่างแท้จริง

การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญยิ่งที่จะสนับสนุนให้ประเทศ/องค์กร สามารถดำเนินงานได้ตามเป้าหมายที่กำหนดไว้แล้ว และยังสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้อีกทางหนึ่ง ซึ่งเป็นแนวคิดที่สำคัญยิ่งที่จะต้องนำไปสู่การปฏิบัติ องค์กรหลายแห่งจึงได้นำกรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (Enterprise Risk Management – Intregrated Framework) ตามแนวทาง COSO ERM มาประยุกต์ใช้เป็นกรอบในการพัฒนาระบบการบริหารความเสี่ยง ซึ่งโดยรวมก็คือ การมีวัตถุประสงค์ให้คณะกรรมการ ผู้บริหาร และผู้ที่เกี่ยวข้อง ได้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง และองค์ประกอบที่เกี่ยวข้อง เพื่อสร้างความเข้าใจให้ตรงกันกับคำนิยาม เรื่องเป้าหมายและวัตถุประสงค์ อันจะสร้างความรับผิดชอบอย่างทั่วถึงและเป็นไปในทิศทางเดียวกันทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ

สรุปความเข้าใจโดยรวมของการบริหารความเสี่ยง ตามแนวทาง COSO ERM 2017 แบบผสมผสานกับหลักการ/มาตรฐานอื่นๆ เบื้องต้น มีดังนี้

  • สร้างความเข้าใจว่า ERM (Enterprise Risk Management) เป็นส่วนหนึ่งของ Governance และ Compliance และควรเข้าใจว่าหลักการสร้างคุณค่าเพิ่มนั้น หมายถึงการบูรณาการของ G + R + C หรือ GRC ที่มีทั้งเรื่อง Business และ IT
  • สร้างความเข้าใจว่ากรอบการดำเนินการทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการนั้น ควรเข้าใจการกำกับและการบริหาร IT ระดับองค์กรเสมอ
  • เพื่อให้คณะกรรมการและผู้บริหาร รวมทั้งบุคลากรขององค์กร ได้ตระหนักและเข้าใจถึงเป้าหมายและวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงขององค์กร ใช้เป็นส่วนหนึ่งของกระบวนการพัฒนาความเสี่ยง เพื่อสนับสนุนงานขององค์กรเพื่อให้เป็นไปตามเป้าหมายที่กำหนดไว้ และเป็นไปตามแผนการดำเนินงานและแผนกลยุทธ์ที่เกี่ยวข้อง (ไม่ว่าจะอธิบายในมิติใด หากไม่เข้าใจหรือไม่คำนึงถึง 2 ประเด็นข้างต้นอย่างแท้จริง ประสิทธิภาพและประสิทธิผลของ GRC จะได้ผลลัพธ์อย่างจำกัด จนถึงระดับที่ไม่อาจสามารถสร้างคุณค่าเพิ่มและเติบโตอย่างยั่งยืนได้)
  • เพื่อการพัฒนาองค์ความรู้ด้านการบริหารความเสี่ยง และสนับสนุนการบริหารความเสี่ยงเป็นวัตนธรรมขององค์กร เพื่อการเติบโตอย่างยั่งยืน
  • เพื่อให้มีกรอบแนวทางการบริหารความเสี่ยงอย่างเป็นระบบ เข้าใจทิศทางเชิงกลยุทธ์ขององค์กร โดยมีมาตรฐานและการจัดการกับความเสี่ยงที่มีความสำคัญต่อเป้าหมายหลักขององค์กร และป้องกันความเสี่ยงในระยะยาว ที่จะมีผลกระทบต่อการเติบโตอย่างยั่งยืนและประสิทธิภาพขององค์กร

ความเข้าใจในเรื่องการกำหนดกลยุทธ์การบริหารความเสี่ยง การกำกับและการบริหารความเสี่ยง รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามที่กล่าวข้างต้นนั้น เท่าที่ผู้เขียนได้ประสบพบมาปรากฎว่า การกำหนดแนวทางเรื่องกลยุทธ์การบริหารความเสี่ยง มีความเข้าใจแตกต่างอย่างมีนัยสำคัญ ซึ่งมีผลทำให้กระบวนการบริหารความเสี่ยง ซึ่งถูกหยิบยกขึ้นไปสู่ระดับความรับผิดชอบของคณะกรรมการควบคู่กับการสร้างดุลยภาพสู่วิสัยทัศน์ พันธกิจ แผนงาน โครงการต่างๆ ซึ่งในที่สุดแล้ว คณะกรรมการจะต้องประเมินผล และรับผิดชอบในเรื่องที่กล่าวนั้น ยังไม่มีการถ่ายทอดและทำความเข้าใจ รวมทั้งการออกนโยบายการควบคุมการปฏิบัติงาน การตรวจสอบ การรายงาน การติดตามผล อย่างมีนัยสำคัญ

การกำหนดกลยุทธ์การบริหารความเสี่ยง ควรพิจารณาในเรื่องที่น่าสนใจต่อไปนี้

  • กลยุทธ์ของประเทศหรือองค์กรที่ไม่สอดคล้องกับระดับนโยบาย พันธกิจ วัตถุประสงค์และเป้าหมาย รวมทั้งแผนงานและโครงการ ทั้งในระดับประเทศและระดับองค์กร เป็นความเสี่ยงสูงสุด เพราะเป็นการปักธงนำกระบวนการสร้างคุณค่าเพิ่มโดยรวม
  • ความสอดคล้องกับแนวทางมาตรฐานของหน่วยงานกำกับดูแล ซึ่งควรจะได้มาตรฐานและแนวปฏิบัติที่ยอมรับกันเป็นสากล รวมทั้งข้อกำหนดของกฎหมาย ระเบียบ หลักเกณฑ์ ประกาศ และแนวทางปฏิบัติที่ดี
  • การกำหนดขอบเขต และลักษณะการดำเนินงานขององค์กร ให้เหมาะสมกับสภาพแวดล้อมที่เปลี่ยนแปลงไป ซึ่งมีเรื่องและปัจจัยรวมทั้งองค์ประกอบหลากหลายที่ยังไม่ได้กล่าวในรายละเอียดนะครับ ทั้งนี้ จะต้องมีความสอดคล้องกับนโยบาย กลยุทธ์ เป้าหมาย แผนงาน และโครงการต่างๆ ขององค์กร
  • ควรมีการทบทวนกลยุทธ์การบริหารความเสี่ยงอย่างน้อยปีละครั้ง ให้สอดคล้องกับแผนงานประจำปี หรือทบทวนเมื่อมีเหตุการณ์เปลี่ยนแปลงที่สำคัญ เช่น การปฏิบัติตามพรบ. ไซเบอร์ และพรบ. ความคุ้มครองข้อมูลส่วนบุคคล ที่จะมีการประกาศใช้ในภาคบังคับอีกไม่นานนับจากนี้ ทั้งนี้เพราะ จะได้ลดความเสี่ยงจากการไม่ปฏิบัติตามหลักการ Compliance รวมทั้งเพื่อให้ทราบถึงปัญหาและอุปสรรคในการบรรลุเป้าหมายการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายขององค์กรโดยรวม

ทั้งนี้ กรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการตามแนวทางของ COSO ERM ทำให้มั่นใจได้ว่า กระบวนการทำงานต่างๆ ทั่วทั้งองค์กรได้รับการสนับสนุนจากการบริหารความเสี่ยงอย่างต่อเนื่องและมีประสิทธิภาพ ซึ่งจะมีผลทำให้การบริหารความเสี่ยงมีความสำคัญต่อการบริหารที่สอดคล้องกับกลยุทธ์ การวางแผนงาน รวมทั้งกระบวนการรายงานผลที่สนองตอบต่อนโยบายต่างๆ ในการสร้างคุณค่าเพิ่มและสร้างวัตนธรรมให้กับองค์กร

ผมมีความเห็นส่วนตัวว่า ในกรณีที่ท่านผู้บริหาร รู้สึกสับสนว่าจะใช้กรอบการกำกับการดำเนินงานในระดับประเทศหรือในระดับองค์กรที่เกี่ยวข้องกับกระบวนการบริหารและการจัดการ IT ซึ่งในที่นี้ผมของเน้นในเรื่องของการบรูรณาการ GRC นะครับว่า ท่านควรใช้มาตรฐานที่เกี่ยวข้องในการกำกับและการบริหาร รวมทั้งการปฏิบัติงานที่ดีที่สุดและเป็นสากล โดยเพียงเข้าใจกระบวนการบริหารแบบบูรณาการที่แท้จริงเท่านั้นนะครับ เพราะมาตรฐานต่างๆ ของการบริหารความเสี่ยงตามที่กล่าวข้างต้น เป็นเพียงกรอบแนวคิด ไม่ใช่เป็นเครื่องมือสำเร็จรูปที่แต่ละองค์กรสามารถนำไปใช้ได้ทันที แต่ท่านควรเข้าใจในหลักการเบื้องต้นที่เกี่ยวข้องกับหลายปัจจัยตามที่กล่าวแล้วนะครับ

 

ความท้าทายในการ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Law) ของไทย

ความเป็นมา

ในหัวข้อเรื่องความเชื่อ กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน/Trust and Sustainable Developemnt ตอนที่ 16 ที่พูดถึงเรื่องของความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ผมได้ออกความเห็นเกี่ยวกับหลักการ หลักเกณฑ์ กรอบความคิด ในการเป็นจุดตั้งต้นของการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อเป็นการให้ข้อสังเกตกับผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ว่า หากทำ Gap Analysis ถึงกระบวนการที่จำเป็นในการที่ควรมีกรอบการร่างกฎหมายที่ได้นำเสนอในครั้งที่แล้ว กับความเป็นจริงที่ผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. นี้ได้ดำเนินการไป และนำเสนอต่อสาธารณะ เพื่อระดมความคิดเห็นไปเมื่อวันที่ 5 และ 11 ตุลาคม 2561 และปรากฎตามสื่อต่างๆ ค่อนข้างมากว่า มีผู้ไม่เห็นด้วย และไม่อยากให้ร่าง พ.ร.บ. ฉบับนี้ถูกนำมาใช้โดยไม่มีการเปลี่ยนแปลงในเรื่องต่างๆ ที่เกี่ยวข้อง ในหลายองค์ประกอบและในหลายปัจจัย โดยเฉพาะในหลักการ กระบวนการ และอื่นๆ ตามที่ผมได้กล่าวไปแล้ว

ในครั้งนี้ ผมจึงขอรวบรวมความเห็นที่ได้จากการทำประชาพิจารณ์เท่าที่ได้รับมาเพียงบางส่วน มาให้ท่านผู้อ่านใช้ดุลยพินิจในการพิจารณาว่า พ.ร.บ. นี้ มีผลกระทบต่อความน่าเชื่อถือ ในระดับประเทศ ซึ่งมีผลกระทบในระดับมหภาคในมิติต่างๆ ของการพัฒนาประเทศไทยเพื่อการเติบโตอย่างยั่งยืนมากน้อยเพียงใด โดยเฉพาะอย่างยิ่ง หากกฎหมายนี้ผ่านออกมาได้และนำมาใช้ในทางปฏิบัติจริง น่าจะเป็นการละอายเพียงใด ในการนำ พ.ร.บ. ของต่างประเทศมาประยุกต์ใช้เป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ของไทย อย่างไม่เหมาะสม โดยการตัดข้อความที่สำคัญและมีนัยสำคัญต่อความหมายในการปฏิบัติงานการกำกับและการบริหารจัดการ ทางด้านความมั่นคงปลอดภัยไซเบอร์ของไทย ที่แน่นอนว่า โอกาสเป็นไปได้ในทางปฏิบัติมีน้อยมาก ซึ่งผมก็ได้กล่าวย้ำแล้วว่า เมื่อถอด พ.ร.บ. มาสู่แนวการปฏิบัติไม่ได้ ไม่ว่าในมิติของการกำกับ หรือในมิติของการปฏิบัติก็จะส่งผลให้ไม่สามารถที่จะปฏิบัติได้จริงตามตัวอย่างที่เกิดขึ้นมาแล้ว ในเรื่อง พ.ร.บ. หมา-แมว, พ.ร.บ. บ้านเช่า, การคิดค่าน้ำ ค่าไฟกับผู้เช่า, พ.ร.บ. รถกระบะ ฯลฯ ซึ่งไม่สามารถนำมาใช้ในทางปฏิบัติได้ เนื่องจาก พ.ร.บ. ดังกล่าวนั้น ไม่ได้คำนึงถึงผู้มีส่วนได้เสีย ตามหลักการกำกับดูแล กฎหมาย และการบริหารการจัดการ การติดตามผล รวมทั้งการตรวจสอบอย่างเป็นกระบวนการ

ดังนั้น ความเห็นของประชาชนจำนวนไม่น้อยต่อร่าง พ.ร.บ. นี้ จึงมีลักษณะในเชิงไม่เห็นด้วยในหลายเรื่องที่เกี่ยวข้อง ซึ่งในตอนนี้ ผมจะนำความเห็นของท่านผู้ทำประชาพิจารณ์บางส่วนเท่าที่เผยแพร่ได้ เป็นการทั่วไป เพื่อไม่ให้กระทบกับความเป็นส่วนตัวของผู้ออกความเห็นนั้นๆ ในภาพโดยรวม เมื่อท่านผู้อ่านได้อ่านความเห็นในลักษณะที่ไม่เห็นด้วยนี้ ก็ไม่ควรสรุปว่า เป็นความเห็นที่ถูกต้องหรือไม่ ทั้งนี้เพราะขึ้นกับดุลยพินิจของแต่ละท่านเป็นสำคัญ เนื่องจากท่านผู้อ่าน ทุกกลุ่มของประชากรในประเทศไทย และผม ล้วนเป็นผู้มีส่วนได้เสียที่มีความต้องการแตกต่างกัน และขึ้นกับมุมมองความเข้าใจถึงผลกระทบกับวัตถุประสงค์ที่แตกต่างกันไปในแต่ละบุคคลและแต่ละกลุ่ม แต่ละองค์กรด้วย

อย่างไรก็ดี สำหรับผมเอง และน่าจะเป็นความเห็นส่วนใหญ่ที่วางเป้าประสงค์ของการวิจารณ์ภายใต้กรอบของผลประโยชน์ของประเทศชาติเป็นสำคัญ

ต่อไปนี้เป็นมุมมองจากสื่อบางสำนัก และจากความเห็นส่วนตัวที่ไม่ขอเอ่ยนาม ที่ได้แสดงความคิดเห็นต่อ พ.ร.บ. ฉบับนี้

ข่าวจากสื่อออนไลน์ เว็บไซต์ประชาไท รู้จัก ร่าง พ.ร.บ. ความมั่นคงไซเบอร์ เมื่อความปลอดภัยกับละเมิดสิทธิห่างแค่เส้นเบลอๆ

ข่าวจากสื่อออนไลน์ เว็บไซต์ไทยรัฐ มนุษย์ไซเบอร์รวมตัว ยำใหญ่…ก.ม.ไซเบอร์

ข่าวจากสื่อออนไลน์ เว็บไซต์ thematter พ.ร.บ.ความมั่นคงไซเบอร์ ประตูสู่กฎอัยการศึกออนไลน์? คุยกับ อาทิตย์ สุริยะวงศ์กุล

ข้อมูลดังกล่าวข้างต้นเป็นข้อมูลเพียงบางส่วนที่ส่วนใหญ่ ก็นำมาจาก ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับความคิดเห็นที่ชัดเจนและค่อนข้างรุนแรงก็ไม่ได้นำมาเผยแพร่ ณ ที่นี้ รวมทั้งได้พยายามค้นคว้า ร่าง พ.ร.บ. ฉบับนี้ ที่มีผู้วิจารณ์ในลักษณะเห็นด้วยว่าเป็นประโยชน์ต่อประเทศไทยในการสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสีย ทั้งภายในและต่างประเทศ โดยร่างขึ้นตามหลักการที่ยอมรับกันโดยทั่วไปนั้น ยังไม่พบข้อมูลดังกล่าวนะครับ

อนึ่ง ทั้งหมดนี้ นำเสนอเพื่อให้ท่านผู้อ่านได้รับทราบและพิจารณาโดยรอบคอบ โดยควรนำหลักการ หลักเกณฑ์ตามที่ได้กล่าวถึง ความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ตอนที่ 16 มาใช้ด้วยนะครับ โดยเฉพาะอย่างยิ่ง การคำนึงถึงผู้มีส่วนได้เสียอย่างได้ดุลยภาพ

 

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 16

การก้าวไปสู่การสร้างความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย

เรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ซึ่งกำลังอยู่ในช่วงสำคัญ ในการพิจารณาร่าง พ.ร.บ. ให้เป็นกฎหมายที่ใช้ในการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ ที่มีผลกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที โดยกำหนดลักษณะของภารกิจหรือบริการที่มีความสาคัญเป็นโครงสร้างพื้นฐานสาคัญทางสารสนเทศที่จะต้องมีการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ มิให้เกิดผลกระทบต่อความมั่นคงในด้านต่าง ๆ รวมทั้งให้มีหน่วยงานเพื่อรับผิดชอบในการดำเนินการประสานการปฏิบัติงานร่วมกันทั้งภาครัฐและเอกชน ไม่ว่าในสถานการณ์ทั่วไปหรือสถานการณ์อันเป็นภัยต่อความมั่นคงอย่างร้ายแรง ตลอดจนกำหนดให้มีแผนปฏิบัติการและมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างมีเอกภาพและต่อเนื่อง อันจะทำให้การป้องกันและการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ ทางรัฐบาลเห็นความจำเป็นที่จะต้องมี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จึงให้กระทรวงและหน่วยงานภาครัฐที่เกี่ยวข้องร่าง พ.ร.บ. นี้ เพื่อพิจารณา และได้มีการจัดทำประชาพิจารณ์ในเรื่องนี้ขึ้น ในวันที่ 5 และ 11 ตุลาคม 2561 ที่ผ่านมา ก่อนนำไปให้ สภานิติบัญญัติแห่งชาติ (ประเทศไทย) – สนช. พิจารณาตามกระบวนการก่อนประกาศใช้ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างเป็นทางการต่อไป นั้น

ผลของการประชาพิจารณ์ในเรื่องดังกล่าว ที่เป็นทางการและไม่เป็นทางการ รวมทั้งที่ผ่านสื่อต่างๆ ออกมาในลักษณะไม่เห็นด้วยเป็นส่วนใหญ่ เพราะจะมีผลกระทบกระเทือนในวงกว้าง ในระดับประเทศ ในระดับความน่าเชื่อถือระหว่างประเทศ ทั้งทางด้านเศรษฐกิจและสังคม และการลงทุน ซึ่งแทนที่จะเป็นการร่างกฎหมายเพื่อป้องกันภัยไซเบอร์จากต่างประเทศ หรือจากภายนอก แต่ พ.ร.บ. นี้ เมื่อผู้ที่มีความรู้ที่เกี่ยวกับการกำกับและการบริหาร รวมทั้งการปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์จำนวนไม่น้อย ได้ศึกษารายละเอียดในเชิงวิเคราะห์ สร้างสรร ที่มีเป้าหมาย เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างบูรณาการที่แท้จริง โดยเฉพาะอย่างยิ่ง ในหลักคิด หลักปฏิบัติ ที่ พ.ร.บ. นี้ จะครอบคลุมทั้งประเทศ ทั้งภาครัฐและภาคเอกชน รวมทั้งผู้มีส่วนได้เสียนานาชาติที่ต้องประยุกต์ใช้เป็นกรอบการดำเนินงาน เป็นหนึ่งเดียวกับการกำกับ การบริหาร และการจัดการไอที ในเรื่องอื่นๆ ที่ต้องบูรณาการเป็นหนึ่งเดียวตามหลักการมาตรฐาน หรือตามหลักการวิธีการปฏิบัติที่ดีที่เป็นสากลที่ทั่วโลกยอมรับกัน เพื่อให้กระบวนการและวิธีการปฏิบัติแบบองค์รวม (Enablers) สัมฤทธิ์ผล และแน่นอนว่า หลักการดังกล่าว ภายใต้กรอบที่นานาชาติยอมรับได้ก็คือ การแยกการกำกับดูแล (Governance) ออกจากการบริหารจัดการ (Management and Operation) โดยหลักการทั้ง 5 นี้ เป็นกรอบของแนวคิดที่ถ่ายทอดเป็นแนวทางและกระบวนการปฏิบัติงานที่ชัดเจนได้อย่างเป็นรูปธรรม นั้น

 

ผู้ที่มีส่วนเกี่ยวข้องกับการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ นี้ ได้วางกรอบและแนวคิดเป็นไปตามที่ผมได้กล่าวเป็นการอุ่นเครื่องข้างต้นหรือไม่ครับ

ท่านทราบไหมครับว่า คำจำกัดความของ การกำกับดูแล (Governance) ยุคดิจิทัลนั้น นานาชาติให้คำจำกัดความไว้ว่า “การกำกับดูแล ทำให้มั่นใจได้ว่า ความต้องการ เงื่อนไข และทางเลือกของผู้มีส่วนได้เสียได้รับการประเมิน เพื่อกำหนดวัตถุประสงค์ที่องค์กรต้องการให้บรรลุ ซึ่งมีความสมดุลและเห็นชอบร่วมกัน; การกำหนดทิศทางผ่านการจัดลำดับความสำคัญและการตัดสินใจ; และการเฝ้าติดตามผลการดำเนินงานและการปฏิบัติตามเทียบกับทิศทางและวัตถุประสงค์ที่ได้ตกลงร่วมกัน” และ ความหมายของคำว่าการบริหารจัดการ (Management) คือ ผู้บริหารวางแผน สร้าง ดำเนินงาน และเฝ้าติดตามกิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนดโดยหน่วยงานกำกับดูแล (Governance body) เพื่อให้บรรลุวัตถุประสงค์ขององค์กร/ประเทศ

คำถามของผมในตอนนี้ก็คือ ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ท่านได้ใช้กรอบและแนวคิด/หลักคิด ที่สามารถถ่ายทอดไปสู่ขั้นตอน กระบวนการ แนวทาง และวิธีการปฏิบัติ ทั้งในระดับ Governance body/Regulators และในระดับ Regulated entities ทั้งภาครัฐและเอกชนได้อย่างเป็นรูปธรรมหรือไม่? และการร่าง พ.ร.บ. นี้ มีบทลงโทษที่เลขาธิการมีอำนาจอย่างกว้างขวางนั้น เป็นการบังคับใช้อำนาจที่ขาดการพิจารณาความเหมาะสมของผู้ปฏิบัติงานตามที่ควรหรือไม่ เช่น การใช้แนวทางกฎหมาย Cybersecurity Law ของสิงคโปร์ มาเป็นส่วนหนึ่งของการร่าง พ.ร.บ. นี้นั้น ไม่มีอะไรผิด แต่สิ่งที่น่าคิดก็คือ ท่านได้ตัดถ้อยคำบางส่วนที่มีนัยสำคัญของต้นร่างที่ท่านได้นำมาเป็นแบบอย่างในการร่างเป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัย Cybersecurity Law ของไทย ทำให้ผู้บริหารหรือเลขาธิการของหน่วยงานใหม่ มีอำนาจล้นฟ้า ถึงแม้จะมีนายกรัฐมนตรีเป็นผู้กำกับฯ ด้วยก็ตาม

เป็นความเหมาะสมแล้วหรือ ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ กำลังร่างกฎเกณฑ์และข้อบังคับในลักษณะที่แทบไม่มีทางเลือกอื่นใด คือบังคับให้ผู้อยู่ภายใต้กฎหมายต้องปฏิบัติ (Comply) ตามกฎหมายนี้เท่านั้นหรือ? มีทางออกที่ดีกว่านี้หรือไม่?

ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ ไม่มีทางเลือกอื่นให้ผู้ที่ต้องปฏิบัติตามกฎหมายหรือ พ.ร.บ. นี้ ใช้หลักการที่ยืดหยุ่น และด้วยต้นทุนที่อาจต่ำกว่ามากหรือปฏิบัติได้สะดวกกว่ามาก โดยใช้หลัก Imply and Inform ที่สามารถครอบคลุมการปฏิบัติตามร่าง พ.ร.บ. ฉบับนี้ได้ โดยใช้เทคโนโลยีและนวัตกรรมใหม่ๆ รวมทั้งการใช้ปัญญาประดิษฐ์ใหม่ๆ ทดแทนการบังคับ ตามแนวความคิดที่เป็นอยู่ คือการ Comply ท่านว่าแบบนี้เป็นการเหมาะสมกว่าไหมครับ และการร่าง พ.ร.บ. นี้ อาจจะผ่านได้ง่ายกว่าเดิมไหมครับ

ข้อสำคัญของประเด็นดังกล่าวข้างต้นนี้ เป็นการยอมรับความต้องการ หรือรับฟังความเห็นของผู้มีส่วนได้เสีย และเข้าใจสภาพแวดล้อมของการเปลี่ยนแปลงที่มีความก้าวหน้าทางด้านเทคโนโลยีในอนาคตอย่างแท้จริงนะครับ

ผู้มีส่วนได้เสีย คือใครกันแน่ จะกำกับและบริหารให้ได้ดุลยภาพกันได้อย่างไร

มีคำถามมากพอสมควรว่า การกำหนดสิ่งที่คาดหวังจาก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้ง สิ่งที่คาดหวังได้จากสารสนเทศ และเทคโนโลยีที่เกี่ยวข้อง ซึ่งอาจจะเข้าใจในภาพรวมๆ ว่า เป็นประโยชน์ที่ได้รับ ณ ระดับความเสี่ยงที่ยอมรับได้ และด้วยต้นทุนที่จะเกิดขึ้น และระดับความสำคัญของสิ่งเหล่านั้น เพื่อให้มั่นใจว่า คุณค่าที่คาดหวังโดยผู้มีส่วนได้เสีย จะได้รับการส่งมอบจริง เช่น พ.ร.บ. นี้ ผู้มีส่วนได้เสียบางกลุ่ม อาจต้องการผลประโยชน์ในระยะสั้น บางคน บางกลุ่มต้องการผลประโยชน์ในระยะยาว เพื่อการเติบโตอย่างยั่งยืน บางคนพร้อมที่จะรับความเสี่ยงสูง แต่บางคน บางกลุ่มอาจไม่ยอมรับความเสี่ยงได้เลย ความคาดหวังที่แตกต่างกันเหล่านี้ ต้องได้รับการกำกับ และการจัดการที่มีประสิทธิผล นอกจากนี้ ผู้มีส่วนได้เสียเหล่านี้ ยังไม่เพียงต้องการมีส่วนร่วมมากขึ้นเท่านั้น แต่พวกเขาต้องการความโปร่งใสด้วยว่า สิ่งเหล่านี้ หรือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จะเกิดขึ้นได้อย่างไร นั่นคือ การถ่ายทอดเป้าประสงค์หลักไปสู่วิธีการปฏิบัติ และจะบรรลุผลลัพธ์จริงได้ชัดเจนและพิสูจน์ได้ในกระบวนการที่เกี่ยวข้อง

ตามที่ผมได้กล่าวไว้ข้างต้นว่า หลักคิด ต้องเกี่ยวข้องกับหลักปฏิบัติได้จริง มีความสอดคล้องกับมาตรฐาน หรือแนวปฏิบัติที่ดีที่เป็นสากล เพื่อให้เป็นที่ยอมรับได้ เพราะหาก การร่าง พ.ร.บ. ของเราไม่ได้รับการยอมรับจากผู้มีส่วนได้เสียทั้งภายในและระหว่างประเทศอย่างแท้จริง ก็จะมีปัญหาต่อนโยบาย Thailand 4.0 และเป็นอุปสรรคต่อเศรษฐกิจ การเงิน การลงทุน และการให้บริการ ในระดับกว้าง และลึกเกินกว่าที่ประเทศหรือผู้มีส่วนได้เสียโดยรวมยอมรับได้ และจะนำไปสู่การยอมรับที่แท้จริงและปฏิบัติได้จริงของผู้มีส่วนได้เสียในที่สุดนั่นคือ อาจไม่มีการยอมรับในการปฏิบัติ หรือต่อต้าน พ.ร.บ. ในรูปแบบต่างๆ ที่ไม่อยากจะให้เกิดขึ้น ฯลฯ

แนวคิดอีกอย่างหนึ่งที่น่าจะมีประโยชน์ในการปรับปรุงร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ก็คือ การเชื่อมโยงกับนโยบาย Thailand 4.0 และกลยุทธ์ที่จะนำประเทศไปสู่ยุค Thailand 4.0 โดยการเชื่อมโยงกฎหมาย หรือ พ.ร.บ. นี้ที่ควรจะสอดคล้องกับ พ.ร.บ. พ.ร.ก. ประกาศ คำสั่งต่างๆ ที่เกิดขึ้น ซึ่งจะทำให้เกิดความสอดคล้องกับกรอบการดำเนินงานของประเทศ และมาตรฐานอื่นๆ ที่มีใช้อยู่ นี่คือกระบวนการกำกับการบริหาร รวมทั้งการกำกับแบบบูรณาการระดับองค์กร และระดับประเทศ และควรจะสอดคล้องกับแนวปฏิบัติอื่นๆ ที่โดยหลักการแล้วควรจะนำมารวมเป็นกรอบการพิจารณาเป็นหนึ่งเดียวอย่างแท้จริง

ความสำคัญของปัจจัยเอื้อ (Enablers) ระดับประเทศ และระดับองค์กร ตามกรอบและหลักคิดแบบบูรณาการ

ความเข้าใจของผู้ร่าง พ.ร.บ. นี้ และ พ.ร.บ.อื่นๆ และกฎหมาย ประกาศ คำสั่งอื่นๆ ที่เกี่ยวข้อง ตามที่ผมได้กล่าวไว้ข้างต้นที่มีความสำคัญมากที่สุดอย่างหนึ่งในการสร้างคุณค่าเพิ่มก็คือ ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) สำหรับกรณีนี้ ผมกำลังชวนคุยในการนำเรื่องปัจจัยเอื้อมาเกี่ยวข้องกับกระบวนการของการกำกับ การบริหาร ที่ควรมีหลักคิดแบบบูรณาการที่ควรเข้าใจปัจจัยหรือหลายปัจจัยต่างๆ ที่เกี่ยวข้อง และต้องนำมารวมกันคิด เพราะมีอิทธิพลต่อความสำเร็จของ พ.ร.บ. การร่างกฎหมายที่เกี่ยวข้อง ซึ่งก็คือ การบริหารจัดการเรื่อง Cybersecurity ในระดับประเทศ และระดับองค์กร เพราะปัจจัยเอื้อขับเคลื่อนได้โดยการส่งทอดเป้าหมายของประเทศไปสู่เป้าหมายทางไอที ซึ่งรวมถึงเป้าหมายทางด้าน Cybersecurity ในภาพโดยรวม จะต้องมีปัจจัยเอื้อที่เกี่ยวข้องที่จะนำไปสู่ความสำเร็จของการกำกับ พ.ร.บ. นี้ โดยหน่วยงานที่จะตั้งขึ้นใหม่

การร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องใช้กรอบแนวคิดแบบบูรณาการนั้นเป็นที่เข้าใจตรงกันแล้ว แต่สิ่งที่อาจจะขาดไปอย่างมีนัยสำคัญก็คือ ความเข้าใจและการนำความเข้าใจมาสู่การปฏิบัติในการออกกฎหมาย หรือ พ.ร.บ. ต่างๆ ที่เกี่ยวข้อง จำเป็นต้องมีปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ ดังนั้น ผู้ที่ออกกฎหมาย ออกประกาศ คำสั่งต่างๆ ควรจะเข้าใจถึงปัจจัยเอื้อ 7 ประเภทดังต่อไปนี้

ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ ได้พิจารณาหลักการภาพใหญ่ข้างต้น และการถ่ายทอดมาสู่ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ 7 ข้อตามที่จะกล่าวต่อไปนี้มากน้อยเพียงใด และหากจำเป็น ท่านสามารถที่จะถ่ายทอดมาเป็นกระบวนการและวิธีการปฏิบัติหลักได้หรือไม่?

  1. หลักการ นโยบาย และกรอบดำเนินงาน เป็นสิ่งที่นำไปสู่การเปลี่ยนแปลงหลักคิด และแนวทางปฏิบัติได้จริง (ตาม พ.ร.บ. นี้ ผู้ร่างฯ ได้ใช้อะไรเป็นหลักการ และกรอบการดำเนินงาน เพื่อไปสู่การปฏิบัติ)
  2. กระบวนการที่เกี่ยวเนื่องกับ ข้อ1. ซึ่งเป็นการอธิบายถึงแนวทางปฏิบัติและกิจกรรมที่ใช้ในการบรรลุวัตถุประสงค์บางประการ และให้ผลลัพธ์เพื่อสนับสนุนการบรรลุวัตถุประสงค์ของ พ.ร.บ. นี้
  3. โครงสร้างในการจัดการ เป็นการระบุถึงโครงสร้างของหน่วยงานใหม่ ที่ใช้เป็นหลักในการตัดสินใจในการกำกับและบริหารที่ชัดเจน ได้ดุลยภาพตามโครงสร้างที่แท้จริง
  4. วัฒนธรรม จริยธรรม และพฤติกรรม เรื่องนี้ปกติจะเป็นจุดอ่อนหรือ painpoint เกือบทุกหน่วยงาน ซึ่งส่วนใหญ่จะได้รับการประเมินค่าน้อยกว่าความเป็นจริง ทั้งๆ ที่เป็นปัจจัยสำคัญสู่ความสำเร็จของการร่าง พ.ร.บ. นี้
  5. ความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งเป็นหัวใจสำคัญยิ่งยวดของการกำกับดูแลที่ดี เพื่อสร้างความพึงพอใจให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพ ตามร่าง พ.ร.บ. ฉบับนี้
  6. บริการ โครงสร้างพื้นฐาน และระบบงาน เป็นเรื่องสำคัญยิ่งที่เกี่ยวเนื่องกับเป้าหมายหลัก ทางด้านความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที
  7. บุคลากร ทักษะ และศักยภาพ ปัจจัยเอื้อต่างๆ ที่รวมกันเพื่อก่อให้เกิดความสำเร็จตาม ร่าง พ.ร.บ. นี้ จะถูกเชื่อมโยงเข้ากับตัวบุคคล ซึ่งช่วยกิจกรรมต่างๆ ตามพันธกิจ สำเร็จลุล่วงไปได้ด้วยดี และสามารถช่วยในการตัดสินใจได้อย่างถูกต้อง พร้อมทั้งดำเนินการแก้ไข

ปัจจัยเอื้อตามที่กล่าวในข้อ 5. 6. 7. กล่าวรวมกันก็ได้แก่การบริหารทรัพยากรที่ต้องไปด้วยกันกับการบริหารความเสี่ยงที่ดี มีคุณภาพ เพื่อให้พ.ร.บ. นี้ได้รับผลประโยชน์ สนองตอบต่อความต้องการทางด้านความมั่นคงปลอดภัยอย่างแท้จริง

ปัจจัยเอื้อทั้ง 7 ประการ รวมทั้งการบริหารทรัพยากรตามที่กล่าวข้างต้นนั้น หน่วยงานผู้ร่าง พ.ร.บ. นี้ได้คำนึงถึงและนำมาสู่กรอบความคิดในการกำกับและบริหารการร่าง พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์หรือไม่ เพียงใด ครับ ทั้งนี้เพราะ ทรัพยากรที่เกี่ยวข้องกับ ข้อ 5. 6. 7. เป็นหัวใจที่สำคัญยิ่ง ที่หน่วยงานใหม่ที่ต้องกำกับงานตาม พ.ร.บ. นี้ต้องเข้าใจอย่างลึกซึ้ง เพื่อนำมาสู่การกำกับดูแลและการบริหารจัดการทางด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ทั้งในระดับองค์กรและระดับประเทศอย่างแท้จริงนะครับ

ความเห็นโดยสรุปของผู้เขียน

ความเห็นข้างต้นเป็นความเห็นส่วนตัวของผมในฐานะผู้เขียน สำหรับประชาพิจารณ์ท่านอื่นๆ ที่ไม่เห็นด้วย ซึ่งมีไม่น้อย อาจมีความเห็นที่แตกต่างในแต่ละมุมมองที่ไม่เหมือนกัน ซึ่งผมจะได้นำมาเสนอในตอนต่อไป

สำหรับตอนนี้ ผมขอนำความเห็นของผู้ทรงคุณวุฒิที่มีความรู้ทางด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ท่านหนึ่งที่ไม่ประสงค์เปิดเผยนาม และผมได้รับอนุญาตในการนำมาเผยแพร่ เพื่อเปรียบเทียบบางมุมมองของการร่าง พ.ร.บ. จากต้นฉบับที่นำเสนอเพื่อการทำประชาพิจารณ์ เปรียบเทียบควบคู่กันไปกับ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์ ของท่านผู้ทรงคุณวุฒิท่านนี้ ภายใต้กรอบสีเหลี่ยมที่เป็นการแก้ไขในมุมมองของท่านฯ ทั้งนี้ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์นี้ ได้จัดทำขึ้นหลังการทำประชาพิจารณ์ (สามารถกดดาวโหลดไฟล์ได้ที่ลิงก์ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ได้เลย) ครับ

อนึ่ง ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตามที่ผมได้เขียนมา 15 ตอนนั้น ผมเพียงเพื่อจะย้ำความสำคัญของการสร้างความเชื่อให้กับประเทศ/องค์กร ในมิติต่างๆ ตามความเข้าใจของผม ในมิติที่เกี่ยวข้องกับการกำกับดูแล การบริหาร และการปฏิบัติงานที่ดี เพื่อเศรษฐกิจ การเงิน การลงทุน และความมั่นคงของประเทศ โดยการสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพที่โยงใยกับระบบเทคโนโลยีสารสนเทศ และการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

มาถึงตอนนี้ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ กำลังเป็นเรื่องร้อนแรงและมีการกล่าวถึงเป็นอันมาก ผมจึงขอสรุปเรื่องความเชื่อในมุมมองต่างๆ เพื่อการพัฒนาและการเติบโตอย่างยั่งยืนให้เหมาะสมกับสภาพแวดล้อมที่กล่าวถึง ใน ร่าง พ.ร.บ. นี้ มาเพื่อให้ท่านผู้อ่านได้ติดตามโดยสะดวกขึ้นครับ เมื่อท่านได้อ่านแต่ละตอนแล้ว ลองช่วยประเมินดูนะครับว่า การพัฒนาเพื่อการเติบโตของประเทศไทย ยังมีปัญหาและอุปสรรคอะไรบ้าง โดยเฉพาะในแง่มุมของการกำกับ การดำเนินงาน การบริหารจัดการสารสนเทศ และการบริหาร Cybersecurity ที่ดีในระดับองค์กรและระดับประเทศ ในการก้าวไปสู่ Thailand 4.0 ตามนโยบายของรัฐบาล

GDPR Governance – การกำกับดูแลข้อมูลส่วนบุคคล

Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน (Fintech and Sustainable Development)

ความโปร่งใสกับความน่าเชื่อถือ / Transparency and Trust

GRC ในมุมมองของ Governance

Integrated GRC and Digital Governance

Governance and Digital Governance and Innovative Technology / Business Model

ความเข้าใจในความหมายของคำว่า “ธรรมาภิบาล” หรือ การกำกับดูแลกิจการที่ดี กับความโปร่งใส

ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม (ภาคต่อ)

ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม

การตอบสนองต่อความต้องการของ Stakeholders กับ Thailand 4.0

ผลกระทบต่อการเติบโตอย่างยั่งยืน หากผู้มีผลประโยชน์ร่วมขาดความเชื่อถือในระดับองค์กร และระดับประเทศ

โลกที่พลิกโฉม กับ ความเชื่อ ที่ผ่านกระบวนการกำกับของคณะกรรมการฯ และผู้นำประเทศ

ผลประโยชน์ทางสังคมกับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

เทคโนโลยีสารสนเทศและการสื่อสาร กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

ความเชื่อ กับ การพัฒนาการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 1

 

 

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 15

GDPR Governance – การกำกับดูแลข้อมูลส่วนบุคคล

GDPR หรือ General Data Protection Regulation คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ของอียู ที่กำลังจะมีผลบังคับใช้อย่างเป็นทางการในวันที่ 25 พฤษภาคม 2561 และจะมีผลกระทบโดยตรงต่อผู้ประกอบการธุรกิจในประเทศไทยเป็นจำนวนมากที่มีการเก็บบันทึก หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่มีถิ่นพำนักในอียู เนื่องจากกฎหมายฉบับนี้มีบทบังคับใช้นอกอาณาเขต (Extraterriterial Application) และมีบทลงโทษปรับที่รุนแรงมาก โดยมีเพดานค่าปรับสูงถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายได้ทั่วโลกของธุรกิจในหนึ่งปี แล้วแต่ว่าปัญหาขององค์กรธุรกิจที่อยู่ในข่ายที่จะได้รับผลกระทบจากกฎหมายฉบับนี้ก็คือ ทั้งผู้บริหารและระดับปฏิบัติงานยังสับสน ไม่รู้ว่าจะต้องปฏิบัติอย่างไร จึงจะถูกต้องเป็นไปตามข้อบังคับของกฎหมาย

องค์กรของท่านมีความพร้อมหรือยัง ซึ่งเรื่องนี้จากการสำรวจทั่วโลก ปรากฎว่ามีประมาณร้อยละ 47 ที่มีความพร้อมระดับหนึ่ง แต่ไม่สมบูรณ์ นอกนั้นยังไม่พร้อมหรือยังไม่รู้เลยว่า GDPR คืออะไร ซึ่งเป็นเรื่องที่น่าห่วงใยเป็นอย่างมาก และมีความเสี่ยงที่องค์กรไม่น่าจะยอมรับได้ หากมีความรู้ มีความเข้าใจในเรื่องการกำกับดูแลข้อมูลที่ดี ซึ่งต้องเริ่มด้วยคำว่า องค์กรมีความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดีเพียงใด การกำกับดูแลกิจการที่ดีนี้ จะครอบคลุมทุกเรื่อง ทั้งที่เป็นเรื่องของ governance ที่ประกอบด้วย Coporate Governance + IT Governance + Information Security/Cyber Security Governance หากองค์กรใดไม่มีนโยบายที่เกี่ยวข้องกับ GDPR หรือการปกป้องข้อมูลส่วนบุคคลที่ชัดเจน เป็นรูปธรรม และเป็นไปตามมาตรฐานของกฎหมายที่ระบุไว้ใน GDPR นี้ ก็ถือว่า องค์กรนั้นไม่มีการกำกับดูแลกิจการที่ดี ผลกระทบจะมีอยู่มากมาย ซึ่งเกิดจากความเสี่ยงที่ตามมา รวมทั้งการไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ มาตรฐาน นโยบาย กระบวนการทำงานที่เกี่ยวข้อง ซึ่งล้วนแล้วแต่มีผลกระทบต่อชื่อเสียง และความอยู่รอดขององค์กรได้ทั้งสิ้น

credit : gdpr- ready.co.uk

นอกจากนั้น ในมิติหรือมุมมองของการบริหารความเสี่ยง ซึ่งแน่นอนว่า จะเกี่ยวข้องกับ Enterprise Risk Management + IT Risk + Information Security/Cyber Security Risk ก็จะมีปัญหาในมิติที่เกี่ยวข้อง ตามหลักดุลยภาพการบริหารที่ดีในมุมมองของ Balanced Score Card ซึ่งในเรื่องนี้ก็อาจอธิบายได้ว่า การไม่ปฏิบัติตาม GDPR ก็จะมีผลต่อการควบคุมความเสี่ยง ที่ทำลายชื่อเสียงและความไว้วางใจขององค์กรอย่างสิ้นเชิง ทั้งนี้ การบริหารความเสี่ยงตามที่กล่าวนี้ เป็นมิติหนึ่งที่เกี่ยวข้องกับการกำกับดูแลกิจการที่ดี (Governance) และเมื่อพิจารณาต่อไปในมิติของ Compliance การไม่ปฏิบัติตาม GDPR ก็จะมีผลต่อการไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ รวมทั้งการไม่ปฏิบัติตามที่ผู้กำกับได้กำหนดเอาไว้ รวมทั้งผลกระทบจากการไม่ปฏิบัติตามมาตรฐานและหลักการบริหารจัดการองค์กรที่ดี ทั้ง 3 ส่วนที่เกี่ยวข้องกับ GDPR ในมิติกว้างๆ นั้น ก็จะมีผลทำให้ไม่มีการวางแผนที่ดี ซึ่งจะนำไปสู่ความล้มเหลวของกระบวนการกำกับที่ดีที่ไม่อาจยอมรับได้

credit : gdpr- ready.co.uk

ตอนนี้เป็นตอนแรกของเรื่องที่ผมนำมาเล่าสู่กันฟังในเรื่องเกี่ยวกับ Get GDPR Ready ซึ่งมีหลายเรื่องมากที่จะต้องมีการกำกับและกระบวนการจัดการที่ดี เพื่อก้าวไปสู่ GDPR Governance

GDPR เป็นทั้งความเสี่ยง และเป็นทั้งโอกาส ที่จะสร้างคุณค่าเพิ่มในหลายมิติ แล้วแต่มุมมองของคณะกรรมการ หรือผู้นำของประเทศ และขององค์กรที่เกี่ยวข้องว่า ได้ติตดามมาตรฐานต่างๆ ที่เกี่ยวข้องกับการกำกับดูแลกิจการที่ดีอย่างทันการหรือไม่เพียงใด

credit : gdpr- ready.co.uk

แล้วองค์กรของท่านล่ะครับ มีความพร้อมเพียงใด ในเรื่องของ GDPR Governance ซึ่งผมขออธิบายด้วยรูปภาพที่จะเข้าใจได้ดี ที่สามารถอธิบายได้หลายมุมมองมากกว่าคำเป็นพันๆ คำ ซึ่งจะเริ่มต้นด้วย Governance of Enterprise IT – GEIT ที่พิจารณาได้ว่า เป็นการบริหาร Governance แบบบูรณาการอย่างแท้จริง ระหว่าง Business กับ IT และนวัตกรรมในการสร้างคุณค่าเพิ่มให้กับองค์กรและประเทศชาติ เพื่อก้าวไปสู่ Thailand 4.0 ตามนโยบายของรัฐบาล

อย่างไรก็ดี การก้าวไปสู่นโยบาย ตามกลยุทธ์ของประเทศ ไปสู่ Thailand 4.0 นั้น เราได้เข้าใจถึงความหมายที่แท้จริงของคำจำกัดความและความหมายของคำว่า Thailand 4.0 ดีแล้วเพียงใด และข้อสำคัญอย่างยิ่งที่ผมอยากจะกล่าวไว้ในที่นี้ก็คือ การก้าวสู่ Thailand 4.0 มีหลักการอะไร มีนโยบายอะไร มีกระบวนการดำเนินการอย่างไร ที่จะใช้ในการกำกับให้ทุกนโยบายทั้งภาครัฐและเอกชน อยู่ภายใต้หลักการกำกับดูแลกิจการที่ดี ซึ่งผมอยากจะเรียกคำๆ นี้ว่า Thailand 4.0 Governance และจะขอแบ่งปันกับท่านผู้อ่านต่อไปควบคู่กับ GDPR Governance ที่ผมได้เริ่มต้นในหัวข้อใหญ่ คือความเชื่อกับการพัฒนาเพื่อการเติบโตอย่างยั่งยั่น ตอนที่ 15 ในวันนี้ครับ

 

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 14

Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน (Fintech and Sustainable Development)

Fintech (Financial Technology) – New Technology and Dealing with Disruption

จากภาพข้างต้น เป็นภาพในมุมกว้างๆ ที่จะทำให้ผู้อ่านได้เห็นภาพโดยรวม เป็นกรอบใหญ่ๆ ที่ใช้ในความหมายของคำว่า “Fintech” ซึ่งต่อไปจะขยายความไปถึงเรื่องเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง เช่น Bitcoin, Cryptocurrency/Digital Currency … เป็นต้นนั้น เป็นเรื่องที่มีความสำคัญอย่างยิ่งยวดที่นำไปสู่ การออกแบบและพัฒนานวัตกรรม (Design Thinking) ซึ่งเป็นกระบวนการคิดในการแก้ไขปัญหา และการออกแบบผลิตภัณฑ์ บริการ หรือกระบวนการที่ต้องการทำความเข้าใจในปัญหาต่างๆ อย่างลึกซึ้ง ซึ่งต้องเอาผู้ใช้เป็นศูนย์กลางและสร้างความคิดสร้างสรรในมุมมองของผู้มีผลประโยชน์ร่วม (Stakeholders) ที่เกี่ยวข้องอย่างได้ดุลยภาพ ตามหลักการของ COBIT 5 เพื่อนำมุมมองเหล่านั้นมาสร้างเป็นไอเดีย และแนวทางแก้ไขปัญหา รวมทั้งการสร้างคุณค่าเพิ่ม เพื่อตอบสนองความต้องการในการบรรลุผลประโยชน์ของประเทศ ขององค์กร และนำเอาแนวทางต่างๆ มาทดสอบและพัฒนา เพื่อให้ได้แนวทางหรือนวัตกรรมที่ตอบโจทย์ เพื่อการก้าวสู่ผลประโยชน์หรือการแก้ไขปัญหาที่ต้องการให้กับผู้ใช้กลุ่มต่างๆ ซึ่งในช่วงแรกนี้ผมจะยังไม่กล่าวถึงรายละเอียดที่เกี่ยวข้องกับกระบวนการ Design Thinking นี้

หากจะกล่าวถึงกระแสการเปลี่ยนแปลงที่ได้เกิดขึ้นในโลกธุรกิจ และกระแสของการทำลายล้าง (Disruption) นั้น กระแสโลกาภิวัฒน์ มีผลรุนแรงมาตั้งแต่ช่วงปี 1990 ที่โลกทั้งใบเชื่อมกันในด้านเศรษฐกิจ สังคม การลงทุน และการแข่งขัน ทำให้เกิดโลกไร้พรมแดน การปรับตัวของธุรกิจคือการวางแผนจากความคิดที่ลดต้นทุนคงที่ (Fixed Cost) เพราะต้นทุนคงที่เป็นภาระทางการเงิน และทำให้ไม่เกิดความคล่องตัวในการปรับเปลี่ยนให้เหมาะสมกับสภาพแวดล้อมยุคใหม่ทางด้านดิจิตอล ซึ่งทำให้เกิดสภาวะความไม่เหมาะสมกับสภาพการแข่งขัน

ความเชื่อ ความเข้าใจ และผลกระทบของ Digital Era กับการล่มสลายจากการกำกับในเรื่อง Dealing with Disruption

กระแสของ Big Data จากการที่มีการบันทึกติดตามพฤติกรรมต่างๆ ของผู้บริโภค เพื่อดูว่ากำลังสนใจหรือกำลังค้นหาข้อมูล หรือกำลังติดตามข้อมูลอะไรบนสื่อสังคมออนไลน์ ไม่ว่าจะเป็น Youtube, Facebook หรือ Line ทำให้เกิดกระแสธุรกิจที่จะต้องเก็บข้อมูลลูกค้าเพิ่มขึ้นมาก เพื่อสามารถนำมาวิเคราะห์ไปสู่การสร้างนวัตกรรมที่ตรงกับความต้องการของลูกค้าและผู้มีผลประโยชน์ร่วมได้

กระแสสกุลเงิน Digital หรือ Cryptocurrency สกุลเงินที่โด่งดังในตอนนี้คือ Bitcion ที่เริ่มมีการซื้อขายครั้งแรกในปี 2011 ซึ่งเกิดจากความเชื่อในกระบวนการที่มีการสอบยันกันและกัน ซึ่งมีรายละเอียดที่จะเล่าสู่กันฟังในภายหลังนะครับ เพราะในช่วงแรกของ Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน ผมเพียงจะเกริ่นนำให้รู้ว่า “ความเชื่อ” จะนำไปสู่การพัฒนาเพื่อการเติบโตอย่างยั่งยืน ตามหัวข้อหลักนั่นเอง แต่ผมอดที่จะกล่าวไม่ได้ว่า คำว่า Cryptocurrency นั้นมาจากคำว่า Cryptography ซึ่งแปลว่าการเข้ารหัส กับคำว่า Currency ซึ่งมีความหมายว่า สกุลเงิน ความสำเร็จในการใช้เครือข่ายระหว่างกันเพื่อแบ่งปันข้อมูลและตรวจสอบเงินอิเล็กทรอนิกส์ แต่ละหน่วยว่าถูกต้องหรือไม่นั้น เป็นจุดกำเนิดของการใช้วิธีการเข้ารหัส (Cryptography) การเข้ารหัสนี้ทำให้สามารถสร้างสกุลเงินอิเล็กทรอนิกส์ อันมีส่วนประกอบสำคัญของสกุลเงินไม่แตกต่างไปจากสกุลเงินประเภท “Fiat Money” ซึ่งก็คือ บัญชีเพื่อบันทึกปริมาณเงิน (Account) ยอดคงเหลือของเงิน (Balance) และรายการแลกเปลี่ยนที่เกิดขึ้นโดยใช้เงินสกุลนั้น (Transection) ซึ่งเงินประเภท Fiat Money ทั่วไปที่ทุกคนรู้จักกันดี ก็จะเข้าใจปัญหาเรื่อง Dubble Spending ได้โดยไม่ยาก ซึ่งจะรู้จักกันในเรื่องของการปลอมแปลงเงินนั่นเอง

วิธีการของ Blockchain นั้น เป็นการบันทึกความถูกต้องของเงินในสกุลเงิน รวมทั้งยอดคงเหลือเอาไว้ในทุกหน่วย แทนการเก็บความถูกต้องและตรวจสอบความถูกต้อง โดยใช้คอมพิวเตอร์ศูนย์กลาง (Central Server) ในการทำหน้าที่นั้น ซึ่งในการพัฒนาสกุลเงินอิเล็กทรอนิกส์ก่อนหน้านั้น ใช้หน่วยกลางทำหน้าที่ตรวจสอบความถูกต้องของเงินแต่ละหน่วย รวมทั้งทำหน้าที่เก็บยอดเงินคงเหลือด้วย แต่ไม่ประสบความสำเร็จ

ทั้งนี้ ในระบบเครือข่ายกระจายศูนย์ (Decentralized Network) นั้น ไม่มีความจำเป็นที่จะต้องมีคอมพิวเตอร์กลาง (Central Server) หรือมีหน่วยศูนย์กลางทำหน้าที่ แต่ใช้หน่วยทุกหน่วยในเครือข่ายทำหน้าที่ดังกล่าว ทั้งนี้ ทุกหน่วย (คอมพิวเตอร์) ในเครือข่ายจะมีรายการทุกรายการที่เกิดขึ้น เพื่อใช้ในการตรวจสอบรายการใหม่ที่เกิดขึ้น และการตรวจสอบเช่นนั้นก็จะช่วยป้องกันปัญหาการปลอมแปลงเงินแต่ละหน่วย หรือที่เรียกว่า การป้องกันปัญหา Dubble Spending นั่นเอง

ข้างต้นเป็นการเกริ่นนำของผลกระทบทั้งทางบวกและทางลบต่อการมี การใช้ หรือการไม่มี การไม่ใช้ หรือการมี การใช้ที่ไม่มีคุณภาพ เพราะขาดความเข้าใจจริงของผู้บริหารที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งในระดับบนของประเทศ หรือระดับบนขององค์กร ที่เกี่ยวข้องกับ Fintech New Technology and Dealing with Disruption” ที่เกี่ยวข้องกับการกำกับ การบริหาร และกรอบการดำเนินงานระดับประเทศ และระดับองค์กร ภายใต้กรอบการดำเนินงานทางธุรกิจยุคใหม่ คือ ยุค Thailand Digital 4.0 สำหรับการกำกับดูแลและการบริหารจัดการไอที และเทคโนโลยียุคใหม่ตามที่กล่าวเป็นตัวอย่างข้างต้น ซึ่งผมจะค่อยๆ เล่าสู่กันฟังในรายละเอียดที่เกี่ยวข้องในตอนต่อๆ ไป

สำหรับตอนนี้ ขอนำเรื่องการจัดงาน Bangkok FinTech Fair 2018 ที่จัดโดย ธนาคารแห่งประเทศไทย ในระหว่างวันที่ 19-20 มีนาคม 2561 ณ อาคารศูนย์การเรียนรู้ ธนาคารแห่งประเทศไทย ซึ่งผมได้ไปร่วมงานด้วยทั้ง 2 วัน มาเล่าสู่กันฟัง โดยเริ่มตั้งแต่บทสรุปของการจัดงานครั้งนี้ และคำกล่าวเปิดงานโดย ดร. วิรไท สันติประภาพ ผู้ว่าการ ธปท. เพื่อให้ทราบถึงความห่วงใยที่มีต่อการกำกับสถาบันการเงิน และหน่วยงานอื่นๆ ที่เกี่ยวข้องที่สนใจ เพื่อสนับสนุนการพัฒนาระบบเศรษฐกิจและการเงิน และการขับเคลื่อนนโยบายต่างๆ โดยเป็นการเพิ่มประสิทธิภาพบริการทางการเงิน ปรับปรุงการบริหารความเสี่ยง รวมทั้งส่งเสริมการพัฒนาผลิตภัณฑ์ทางการเงินที่มีความหลากหลายและเข้าถึงผู้ใช้บริการได้อย่างทั่วถึง ทั้งในรูปแบบสรุปโดยย่อเป็นภาษาไทย และคำกล่าวเปิดที่เป็นภาษาอังกฤษโดยละเอียด ซึ่งนำมาจาก เว็บไซต์ของ ธปท. เพื่อให้เห็นภาพโดยรวมอีกมิติหนึ่งในมุมมองของ ธปท. ที่เกี่ยวกับ Fintech และเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง ในการนำไปสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพ เพื่อการกำกับดูแลกิจการที่ดีแบบบูรณาการ

 

คำกล่าวเปิดงานโดย ดร. วิรไท สันติประภาพ ผู้ว่าการ ธปท. ภาคภาษาไทย

คำกล่าวเปิดงานโดย ดร. วิรไท สันติประภาพ ผู้ว่าการ ธปท. ภาคภาษาอังกฤษ







 

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 13

ความโปร่งใสกับความน่าเชื่อถือ / Transparency and Trust

ในตอนที่ 12 ผมได้พูดถึงเรื่อง GRC ในมุมมองของ Governance ซึ่งสรุปได้ว่า การกำกับดูแลกิจการที่ดีในระดับประเทศ และในระดับองค์กร ที่เรียกในภาพโดยรวมว่า Governance นั้น จะต้องประกอบด้วยมิติของการบริหารความเสี่ยง ที่เชื่อมโยงกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายต่างๆ รวมทั้งมาตรฐานที่เกี่ยวข้องในแต่ละองค์ประกอบอย่างบูรณาการที่เรียกว่า GRC ตามที่ผมได้เล่าสู่กันฟังในตอนที่ 12 แล้วนะครับ

เมื่อท่านได้อ่านตอนที่ 12 แล้วท่านจะเข้าใจว่า การบูรณาการในการกำกับที่ต้องเข้าใจในเรื่องของ GRC และองค์ประกอบที่เกี่ยวข้อง เป็นเรื่องที่มีความจำเป็นและสำคัญมากต่อการสร้างความน่าเชื่อถือ ระดับองค์กรและระดับประเทศ ซึ่งแน่นอนว่า ผู้บริหารระดับสูง ได้แก่ คณะกรรมการในภาคเอกชน และผู้บริหารระดับสูงในภาครัฐ ตั้งแต่ระดับนายกรัฐมนตรี ลงมาถึง รองนายกฯ รัฐมนตรี และเรื่อยลงมาถึงระดับปลัดกระทรวง และอธิบดี ควรจะมีความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดี ซึ่งในยุคใหม่จะมีงานที่เกี่ยวข้องกับ IT Governance, IT Risk / Cyber Security Risk และ Compliance Risk ที่เกี่ยวข้องกับกระบวนการกำกับ IT และการบริหารจัดการ IT กระบวนการดังกล่าวมีกรอบการดำเนินงานทางธุรกิจ สำหรับการกำกับดูแลและการบริหารจัดการ IT ระดับองค์กร และระดับประเทศ เป็นกรอบในการดำเนินงานตามที่ผมได้เล่าสู่กันฟังในตอนต้นๆ แล้ว

องค์กรเพื่อความโปร่งใสนานาชาติ (Transparency International : TI) กับตัวชี้วัดใหม่

องค์กรนี้เป็นองค์กรพัฒนาภาคเอกชน (NGO) ที่ก่อตั้งขึ้นในปี พ.ศ. 2536 ณ กรุงเบอร์ลิน ประเทศเยอรมนี มีภารกิจรณรงค์ให้ผู้คนทุกประเทศในโลกนี้ ต่อต้านและม่ยอมรับการคอรัปชั่น ผ่านกิจกรรมต่างๆ โดยเฉพาะการจัดอันดับความโปร่งใสในการบริหารราชการแผ่นดินของประเทศต่างๆ ที่เริ่มทำกันมาตั้งแต่ปี พ.ศ. 2538 ซึ่งเป็นเรื่องของการประกาศหน้าตาและระดับความโปร่งใสของทุกประเทศ ที่ทั่วโลกคอยจับตาดูความสามารถในการบริหารความโปร่งใส หรือการปรามปราบคอรัปชั่น แต่ที่น่าสนใจมากที่สุดที่เป็นข่าวอยู่ในขณะนี้ก็คือ ประเทศไทย ขอถอนตัวออกจากการจัดอันดับความโปร่งใสนานาชาติ ซึ่งเป็นที่น่าแปลกใจของผู้ที่เกี่ยวข้อง ของประชาชนในประเทศไทยเอง และของประเทศต่างๆ เป็นอย่างมาก

ในอดีต ประเทศไทย เคยถูกจัดอันดับความโปร่งใส โดยสถาบัน TI – Transparency International ให้อยู่ในระดับ 3 ของประเทศที่มีการคอรัปชั่นสูงสุดในโลก ซึ่งต่อมา ประเทศไทย ก็ได้พัฒนาศักยภาพและประสิทธิภาพการบริหารความโปร่งใส ในกิจกรรมต่างๆ ให้ได้มาตรฐานสากลมากขึ้น จนกระทั่งในปี พ.ศ. 2559 ประเทศไทยได้คะแนน 35 จาก 100 คะแนน ซึ่งอยู่ในระดับที่ไม่น่าเชื่อถือ อันเกิดจากการบริหารจัดการความโปร่งใสที่ยังสามารถปรับปรุงศักยภาพได้อีกมาก ในมิติต่างๆ ที่เป็นตัววัดการจัดอันดับความโปร่งใสนานาชาติ

การที่มูลนิธิ องค์กรเพื่อความโปร่งใสในประเทศไทย ประกาศถอนตัวจากการเป็นพันธมิตรกับองค์กรเพื่อความโปร่งใสนานาชาตินั้น ได้รับการเปิดเผยจากเลขาธิการมูลนิธิ คุณจุรี วิจิตรวาทการ เมื่อวันที่ 23 มกราคม 2651 ว่า ที่ประเทศไทยได้อันดับต่ำลง เมื่อเทียบกับปีก่อนหน้านั้น เป็นเพราะ ตัวชี้วัดที่ Transparency International ใช้ในการจัดอันดับใหม่นั้น ไม่สอดคล้องกับบริบทจริงของสังคมไทย ถึงแม้ท่านจะไม่ได้กล่าวอย่างชัดเจนว่า ตัวชี้ชัดที่ไม่สอดคล้องกับบริบทของสังคมไทยนั้นคืออะไร แต่ก็มีเสียงวิพากษ์วิจารณ์ตามมาไปยังข้อสังเกตที่ “ความเป็นประชาธิปไตย (Varieties of Democracy Project – VDEM” ซึ่งเป็นตัวชี้วัดใหม่ ที่ถูกนับรวมเข้ามาในการจัดอันดับล่าสุด เมื่อปี 2559 เป็นครั้งแรก จากเดิมที่ก่อนหน้านั้น มี 8 ตัวชี้วัด ซึ่งประกอบด้วย

  1. World Justice Project (WJP) ดูความเป็น “นิติรัฐ” กฎหมายบังคับใช้ได้อย่างเป็นธรรม
  2. International Institute Management (IMD) ดูศักยภาพในการแข่งขันของประเทศ
  3. International Country Risk Guide (ICRG) หรือ Political Risk Services (PRS) ฟังเสียงสะท้อนของภาคธุรกิจว่า เคยถูกผู้มีอำนาจ “เรียกรับสินบน” เพื่อให้ทำธุรกิจได้อย่างสะดวกหรือไม่ หรือใช้ “ระบบอุปถัมภ์” ใช้เส้นสายเล่นพรรคเล่นพวกหรือไม่? เป็นต้น
  4. Bertelsmann Foundation Transformation Index (BFTI) ดูการเปลี่ยนแปลงไปสู่ความเป็นประชาธิปไตยและตลาดเสรี ทั้งการเมือง เศรษฐกิจ และการบริหารจัดการของรัฐบาล
  5. Economist Intelligence Unit (EU) ดูความโปร่งใสในการจัดสรรและใช้จ่ายงบประมาณ และการมีหน่วยงานที่เป็นอิสระเพื่อตรวจสอบการปฏิบัติงานของผู้มีอำนาจ
  6. Political and Economic Risk Consultancy (PERC) สอบถามนักธุรกิจทั้งในท้องถิ่นและต่างชาติที่เข้าไปลงทุนว่า ประเทศนั้นๆ สถานการณ์การทุจริตดีขึ้น เท่าเดิมหรือแย่ลง
  7. World Economic Forum (WEF) สอบถามนักลงทุนต่างชาติว่าประเทศที่เข้าไปลงทุนมีความเสี่ยงใดบ้าง จาก 5 ด้าน คือ การทุจริต ความไม่มั่นคงของรัฐบาล ความไม่แน่นอนด้านนโยบาย ระบบราชการที่ไม่มีประสิทธิภาพ และโครงสร้างพื้นฐานและสาธารณูปโภคที่ไม่เพียงพอ และ
  8. Global Insight Country Risk Rating (GI) ว่าด้วยความเสี่ยงในการทำธุรกิจที่อาจเข้าไปเกี่ยวกับการทุจริต อาทิ การให้สินบนเจ้าหน้าที่รัฐ เพื่อแลกกับสัญญาสัมปทานหรือใบอนุญาตประกอบกิจการ

ที่มา : หนังสือพิมพ์แนวหน้าวาไรตี้ ฉบับลงวันที่ 29 มกราคม พ.ศ. 2561

ประชาธิปไตย หรือไม่เป็นประชาธิปไตย กับคอรัปชั่น ที่เชื่อมโยงกับความโปร่งใส

เมื่อต้นปี 2560 คุณสมเกียรติ ตั้งกิจวานิชย์ ประธานสารบัญวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) เคยกล่าวถึงเรื่องนี้ในงาน ปัญหาและทางออก กรณีดัชนีการรับรู้ด้านคอรัปชั่น (CPI) ของไทยว่า

  1. สมมุติฐานเชื่อมโยงระหว่างประชาธิปไตยกับคอรัปชั่นไม่ใช่เรื่องแปลก เพราะการไม่มีประชาธิปไตย “ใครจะตรวจสอบการใช้อำนาจรัฐ?” และในความเป็นจริง “มีน้อยมาก” ที่ประเทศซึ่งไม่เป็นประชาธิปไตย จะมีอัตราการทุจริตต่ำ อย่างไรก็ดี สิงค์โปร์ ถึงแม้จะถูกชาวโลกมองว่าการเลือกตั้งไม่ได้เกิดขึ้นอย่างเป็นธรรม เพราะฝ่ายค้านถูกสกัดกั้นทุกทาง และเสรีภาพในการวิพากษ์วิจารณ์ของประชาชนก็น้อย แต่ “ได้ผู้นำดี” ที่กล้าจัดการคนที่ทุจริต แม้คนทำผิดจะเป็นคนใกล้ตัวก็ไม่ละเว้น
  2. ต่อให้ไม่มีเกณฑ์ความเป็นประชาธิปไตย ก็ไม่ได้หมายความว่า คะแนนประเทศไทยจะดีขึ้นอย่างมีนัยสำคัญแต่อย่างใด เรื่องนี้พิสูจน์ได้จาก การจัดอันดับในทุกๆ ปีก่อนหน้า (“ทรุดลง.. ทรงตัว” “ปราบโกง” “ฝันอันเลือนราง” นสพ.แนวหน้า ฉบับวันที่ 10 ก.พ. 2560)

ดัชนีตัวชี้วัดใหม่ ตามที่กล่าวข้างต้นนั้น ได้ปรากฎใน Transparency International’s 2016 Corruption Perception Index ซึ่งเป็น CPI ของปี 2559 สำหรับประเทศในเอเซียแปซิฟิก ซึ่งผมได้ค้นคว้ามาจาก globalcompliancenews.com และนำมาเสนอเป็นแผนภาพดังนี้

สำหรับหัวข้อหลักในวันนี้ก็เพื่อให้ความเห็นอย่างเป็นกลางว่า ความโปร่งใส ซึ่งเป็นเรื่องสำคัญของการกำกับดูแลกิจการที่ดี ทั้งในภาครัฐและภาคเอกชน รวมทั้งในระดับประเทศนั้น เป็นกระบวนการหนึ่งที่สำคัญอย่างยิ่งของการสร้างความน่าเชื่อถือ และการพัฒนาเพื่อการเติบโตอย่างยั่งยืน ตามหัวข้อหลัก ซึ่งผมได้เขียนมาเป็นตอนที่ 13 แล้วครับ

 

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 12

GRC ในมุมมองของ Governance

Governance ในที่นี้จะหมายถึง Enterprise Governance ที่ผสมผสานกับ IT Governance และ Information Security Governance / Cyber Security Governance ดังนั้น คำว่า การกำกับดูแล หรือ Governance จึงต้องพิจารณาทั้ง 3 องค์ประกอบนี้เป็นสำคัญ และขอให้เข้าใจตรงกันว่า Governance หรือ การสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมในทุกองค์ประกอบที่เกี่ยวข้องอย่างเป็นบูรณาการตามที่กล่าวแล้ว หากขาดในเรื่อง Risk Management และ Compliance ก็ไม่อาจก่อให้เกิดการกำกับดูแลที่สามารถสร้างคุณค่าเพิ่มได้เลย

ในมิติของตัว R หรือ Risk Management หรือการบริหารความเสี่ยงนั้น ก็จะมีองค์ประกอบ 3 อย่างที่เกี่ยวข้องซึ่งกันและกัน นั่นคือ Enterprise Risk Management และ IT Risk Management รวมทั้ง Information Security / Cyber Security Risk Management ทั้ง 3 องค์ประกอบของ Risk Management นี้จะเกี่ยวพันซึ่งกันและกัน ดังนั้น กระบวนการบริหารความเสี่ยง จึงต้องพิจารณาทั้ง 3 องค์ประกอบและความสำคัญขององค์ประกอบทั้ง 3 นี้ ในขณะเดียวกัน การปฏิบัติตามกฎระเบียบ ที่เรียกว่า Compliance (C) ก็จะประกอบด้วย องค์ประกอบ 3 อย่าง คือ Law and Regal Requirements และ Rules, Regulations, Agreements และ Policies, Standards, Internal Controls ซึ่งเป็นองค์ประกอบของ Compliance ที่จะเชื่อมโยงไปกับ Risk Management ทั้ง 3 องค์ประกอบ และเชื่อมโยงต่อไปยัง Governance ทั้ง 3 องค์ประกอบ ตามที่แสดงไว้ในแผนภาพ

Strategic IT-GRC Integration Concepts มีความเชื่อมโยงและมีความสัมพันธ์กันอย่างแยกกันไม่ได้ ในมิติของ IT และในมิติของธุรกิจ ดังนั้น เมื่อองค์กรใดจะมีนโยบายทางด้าน Digital Governance ควรเข้าใจในเรื่อง Strategic IT-GRC Integration Concepts ข้างต้น เพราะหากเข้าใจคลาดเคลื่อนจากหลักการดังกล่าว ก็จะก่อให้เกิดความเสี่ยงที่สร้างความเสียหายให้กับองค์กร และในระดับประเทศได้อย่างขาดไม่ถึง

ก่อนที่ผมจะชวนคุยในเรื่องนี้ต่อไป ผมขอยกตัวอย่างที่เป็นข้อสรุปในเรื่อง Cyber Security – Cyber Resilience ที่ธนาคารแห่งประเทศไทยจัดให้มีการเสวนาให้กับคณะกรรมการ และผู้บริหารระดับสูงของสถาบันการเงินต่างๆ ในวันที่ 23 พฤศจิกายน 2560 เพื่อสร้างความตระหนักถึงภัยที่มองไม่เห็น และพัฒนารูปแบบการโจมตีที่หลากหลายรูปแบบ ซึ่งอาจทำลายสเถียรภาพขององค์กรและระบบการเงินของประเทศได้

ผมจึงขออนุญาตนำเอกสารที่เผยแพร่โดยธนาคารแห่งประเทศไทยในเรื่องดังกล่าวมาเผยแพร่ต่อ เพื่อให้ท่านผู้อ่านได้เห็นภาพที่เกี่ยวข้องกับการบริหารความเสี่ยง ในมิติของ Information / Cyber Security Risk Management ซึ่งเป็นส่วนหนึ่งขององค์ประกอบที่เกี่ยวกับ IT Risk Management และมีผลกระทบเชื่อมโยงไปยัง Enterprise Risk Management ซึ่งสามารถเข้าใจได้ค่อนข้างง่ายจากภาพที่ปรากฎข้างต้น ที่เป็นแก่นและแกนกลางของ Risk-based Standards and Best Practices ในมุมมองของ GRC Integration ที่เกี่ยวข้องกับ Compliance และผูกกันไว้กับ Governance ในทุกองค์ประกอบที่เกี่ยวข้องตามที่อธิบายไว้ในแผนภาพ

ข้อมูลต่อไปนี้ เป็นข้อมูลที่ได้มาจาก ธนาคารแห่งประเทศไทย ตามที่ผมได้อ้างถึงข้างต้นครับ

จากข้อมูลที่ธนาคารแห่งประเทศไทยสรุปให้กับผู้มาร่วมเสวนา และจากข้อมูลของ ดร. รอม หิรัญพฤกษ์ ที่สรุปจากการเสวนาในวันที่ 23 พฤศจิกายน 2560 นี้นั้น ขอให้ท่านผู้อ่านทำความเข้าใจกับข้อมูลที่สรุปโดยย่อตามที่กล่าวข้างต้น ในมุมมองของ Risk-based Standards and Best Practices for Strategic IT-GRC Management ที่โยงใยไปยังการกำกับดูแล (Governance) จากการเชื่อมโยงและบูรณาการที่แยกกันไม่ได้ตามหลักการของ GRC Integration เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสีย (Stakeholders) จากผลกระทบที่คณะกรรมการของทุกองค์กร รวมทั้งผู้บริหารระดับประเทศ พึงตระหนักถึงความเสี่ยงภัย และการบริหารความเสี่ยง ที่ต้องปฏิบัติตามหลักการ GRC Integration ที่เชื่อมโยงไปยัง Compliance และ Governance ตามตัวอย่างที่ผมหยิบยกมาจาก การเผยแพร่ของธนาคารแห่งประเทศไทยในเรื่อง “Cyber Resilience Leadership”

นอกจากนี้ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA – Thailand Information Security Association) ได้จัดเสวนาในหัวข้อ “นับถอยหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU) เมื่อวันที่ 29 พฤศจิกายน 2560 ณ ศูนย์ศึกษาวิภาวดี มหาวิทยาลัยรังสิต อาคารทีเอสที ทาวเวอร์ ซึ่งมีผู้ร่วมเสวนาที่สำคัญคือ วรรณวิทย์ อาขุบุตร ที่ปรึกษากระทรวงดิจิตอลฯ, อาจารย์ปริญญา หอมเอนก กรรมการ และเลขาธิการสมาคมความมั้่นคงปลอดภัยระบบสารสนเทศ, อาจารย์นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล กรรมการและรองเลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ และ นพ. สุธี ทุวิรัตน์ กรรมการบริหารสมาคมเวชสารสนเทศไทย โดยมี นพ. สุธี ทุวิรัตน์ เป็นผู้สรุป ซึ่งทุกท่านเป็นกรรมการของ TISA โดยมีหัวข้อที่น่าสนใจดังนี้

  • กฏหมายคุ้มครองส่วนบุคคลสหภาพยโรป หรือ GDPR EU คืออะไร ธุรกิจจะอยู่รอดหรือหายไป
  • ค่าปรับมหาศาล ใครจะรับไหว คุ้มการลงทุนในการปฏิบัติตามหรือไม่
  • ใครในองค์กรที่เกี่ยวข้องบ้าง จะปรับตัวอย่างไร

ทั้งนี้ การอภิปรายมีความน่าสนใจเป็นอย่างยิ่ง และผู้ร่วมเสวนาได้มีโอกาสแลกเปลี่ยนกันอย่างกว้างขวางถึงปัญหาที่จะเกิดขึ้นในอนาคต โดยเฉพาะอย่างยิ่ง ในธุรกิจที่เกี่ยวข้องกับชาวยุโรปทุกคนที่จะมาใช้บริการในประเทศไทย และประเทศอื่นๆ ซึ่งผู้ให้บริการของทุกองค์กรในประเทศนั้นๆ จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU / General Data Protection Regulation – EU) ทั้งนี้มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561

ผมขออนุญาตที่จะไม่เอ่ย องค์กรและสถาบันที่จะมีผลกระทบต่อกฎหมาย GDPR EU นี้ เพราะเป็นเรื่องอ่อนไหวอย่างมากที่ไม่สามารถระบุองค์กรที่จะได้รับความเสียหาย รวมทั้งความเสียหายระดับประเทศอย่างมีนัยสำคัญด้วย ทั้งนี้ องค์กรหรือภาคธุรกิจที่เก็บข้อมูลส่วนบุคคลไม่ว่าในรูปแบบใด เช่น ผู้ให้บริการเกี่ยวกับการประกันฯ ธุรกิจโรงแรม ท่องเที่ยว สายการบิน รถเช่า ฯลฯ ซึ่งมีการเก็บข้อมูลชื่อบุคคลจากประเทศในกลุ่มยุโรปที่มาใช้บริการ ที่อยู่ เบอร์โทรศัพท์ บัตรเครดิต ใบขับขี่ ฯลฯ ก็ต้องปฏิบัติตามกฎระเบียบนี้ด้วย

ท่านผู้อ่านครับ ขอให้ท่านย้อนไปดูสิ่งที่ผมเล่าสู่กันฟังในเรื่อง Digital Governance Policy and Digital Governance Framework ในตอนที่ 10 ซึ่งเป็นกรอบการกำกับดูแล การบริหารการจัดการ IT ระดับองค์กรส่วนหนึ่ง ที่เกี่ยวข้องกับ GRC Integration ตามที่ผมได้เล่าสู่กันฟังข้างต้นนะครับ