ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 12

GRC ในมุมมองของ Governance

Governance ในที่นี้จะหมายถึง Enterprise Governance ที่ผสมผสานกับ IT Governance และ Information Security Governance / Cyber Security Governance ดังนั้น คำว่า การกำกับดูแล หรือ Governance จึงต้องพิจารณาทั้ง 3 องค์ประกอบนี้เป็นสำคัญ และขอให้เข้าใจตรงกันว่า Governance หรือ การสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมในทุกองค์ประกอบที่เกี่ยวข้องอย่างเป็นบูรณาการตามที่กล่าวแล้ว หากขาดในเรื่อง Risk Management และ Compliance ก็ไม่อาจก่อให้เกิดการกำกับดูแลที่สามารถสร้างคุณค่าเพิ่มได้เลย

ในมิติของตัว R หรือ Risk Management หรือการบริหารความเสี่ยงนั้น ก็จะมีองค์ประกอบ 3 อย่างที่เกี่ยวข้องซึ่งกันและกัน นั่นคือ Enterprise Risk Management และ IT Risk Management รวมทั้ง Information Security / Cyber Security Risk Management ทั้ง 3 องค์ประกอบของ Risk Management นี้จะเกี่ยวพันซึ่งกันและกัน ดังนั้น กระบวนการบริหารความเสี่ยง จึงต้องพิจารณาทั้ง 3 องค์ประกอบและความสำคัญขององค์ประกอบทั้ง 3 นี้ ในขณะเดียวกัน การปฏิบัติตามกฎระเบียบ ที่เรียกว่า Compliance (C) ก็จะประกอบด้วย องค์ประกอบ 3 อย่าง คือ Law and Regal Requirements และ Rules, Regulations, Agreements และ Policies, Standards, Internal Controls ซึ่งเป็นองค์ประกอบของ Compliance ที่จะเชื่อมโยงไปกับ Risk Management ทั้ง 3 องค์ประกอบ และเชื่อมโยงต่อไปยัง Governance ทั้ง 3 องค์ประกอบ ตามที่แสดงไว้ในแผนภาพ

Strategic IT-GRC Integration Concepts มีความเชื่อมโยงและมีความสัมพันธ์กันอย่างแยกกันไม่ได้ ในมิติของ IT และในมิติของธุรกิจ ดังนั้น เมื่อองค์กรใดจะมีนโยบายทางด้าน Digital Governance ควรเข้าใจในเรื่อง Strategic IT-GRC Integration Concepts ข้างต้น เพราะหากเข้าใจคลาดเคลื่อนจากหลักการดังกล่าว ก็จะก่อให้เกิดความเสี่ยงที่สร้างความเสียหายให้กับองค์กร และในระดับประเทศได้อย่างขาดไม่ถึง

ก่อนที่ผมจะชวนคุยในเรื่องนี้ต่อไป ผมขอยกตัวอย่างที่เป็นข้อสรุปในเรื่อง Cyber Security – Cyber Resilience ที่ธนาคารแห่งประเทศไทยจัดให้มีการเสวนาให้กับคณะกรรมการ และผู้บริหารระดับสูงของสถาบันการเงินต่างๆ ในวันที่ 23 พฤศจิกายน 2560 เพื่อสร้างความตระหนักถึงภัยที่มองไม่เห็น และพัฒนารูปแบบการโจมตีที่หลากหลายรูปแบบ ซึ่งอาจทำลายสเถียรภาพขององค์กรและระบบการเงินของประเทศได้

ผมจึงขออนุญาตนำเอกสารที่เผยแพร่โดยธนาคารแห่งประเทศไทยในเรื่องดังกล่าวมาเผยแพร่ต่อ เพื่อให้ท่านผู้อ่านได้เห็นภาพที่เกี่ยวข้องกับการบริหารความเสี่ยง ในมิติของ Information / Cyber Security Risk Management ซึ่งเป็นส่วนหนึ่งขององค์ประกอบที่เกี่ยวกับ IT Risk Management และมีผลกระทบเชื่อมโยงไปยัง Enterprise Risk Management ซึ่งสามารถเข้าใจได้ค่อนข้างง่ายจากภาพที่ปรากฎข้างต้น ที่เป็นแก่นและแกนกลางของ Risk-based Standards and Best Practices ในมุมมองของ GRC Integration ที่เกี่ยวข้องกับ Compliance และผูกกันไว้กับ Governance ในทุกองค์ประกอบที่เกี่ยวข้องตามที่อธิบายไว้ในแผนภาพ

ข้อมูลต่อไปนี้ เป็นข้อมูลที่ได้มาจาก ธนาคารแห่งประเทศไทย ตามที่ผมได้อ้างถึงข้างต้นครับ

จากข้อมูลที่ธนาคารแห่งประเทศไทยสรุปให้กับผู้มาร่วมเสวนา และจากข้อมูลของ ดร. รอม หิรัญพฤกษ์ ที่สรุปจากการเสวนาในวันที่ 23 พฤศจิกายน 2560 นี้นั้น ขอให้ท่านผู้อ่านทำความเข้าใจกับข้อมูลที่สรุปโดยย่อตามที่กล่าวข้างต้น ในมุมมองของ Risk-based Standards and Best Practices for Strategic IT-GRC Management ที่โยงใยไปยังการกำกับดูแล (Governance) จากการเชื่อมโยงและบูรณาการที่แยกกันไม่ได้ตามหลักการของ GRC Integration เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสีย (Stakeholders) จากผลกระทบที่คณะกรรมการของทุกองค์กร รวมทั้งผู้บริหารระดับประเทศ พึงตระหนักถึงความเสี่ยงภัย และการบริหารความเสี่ยง ที่ต้องปฏิบัติตามหลักการ GRC Integration ที่เชื่อมโยงไปยัง Compliance และ Governance ตามตัวอย่างที่ผมหยิบยกมาจาก การเผยแพร่ของธนาคารแห่งประเทศไทยในเรื่อง “Cyber Resilience Leadership”

นอกจากนี้ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA – Thailand Information Security Association) ได้จัดเสวนาในหัวข้อ “นับถอยหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU) เมื่อวันที่ 29 พฤศจิกายน 2560 ณ ศูนย์ศึกษาวิภาวดี มหาวิทยาลัยรังสิต อาคารทีเอสที ทาวเวอร์ ซึ่งมีผู้ร่วมเสวนาที่สำคัญคือ วรรณวิทย์ อาขุบุตร ที่ปรึกษากระทรวงดิจิตอลฯ, อาจารย์ปริญญา หอมเอนก กรรมการ และเลขาธิการสมาคมความมั้่นคงปลอดภัยระบบสารสนเทศ, อาจารย์นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล กรรมการและรองเลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ และ นพ. สุธี ทุวิรัตน์ กรรมการบริหารสมาคมเวชสารสนเทศไทย โดยมี นพ. สุธี ทุวิรัตน์ เป็นผู้สรุป ซึ่งทุกท่านเป็นกรรมการของ TISA โดยมีหัวข้อที่น่าสนใจดังนี้

  • กฏหมายคุ้มครองส่วนบุคคลสหภาพยโรป หรือ GDPR EU คืออะไร ธุรกิจจะอยู่รอดหรือหายไป
  • ค่าปรับมหาศาล ใครจะรับไหว คุ้มการลงทุนในการปฏิบัติตามหรือไม่
  • ใครในองค์กรที่เกี่ยวข้องบ้าง จะปรับตัวอย่างไร

ทั้งนี้ การอภิปรายมีความน่าสนใจเป็นอย่างยิ่ง และผู้ร่วมเสวนาได้มีโอกาสแลกเปลี่ยนกันอย่างกว้างขวางถึงปัญหาที่จะเกิดขึ้นในอนาคต โดยเฉพาะอย่างยิ่ง ในธุรกิจที่เกี่ยวข้องกับชาวยุโรปทุกคนที่จะมาใช้บริการในประเทศไทย และประเทศอื่นๆ ซึ่งผู้ให้บริการของทุกองค์กรในประเทศนั้นๆ จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU / General Data Protection Regulation – EU) ทั้งนี้มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561

ผมขออนุญาตที่จะไม่เอ่ย องค์กรและสถาบันที่จะมีผลกระทบต่อกฎหมาย GDPR EU นี้ เพราะเป็นเรื่องอ่อนไหวอย่างมากที่ไม่สามารถระบุองค์กรที่จะได้รับความเสียหาย รวมทั้งความเสียหายระดับประเทศอย่างมีนัยสำคัญด้วย ทั้งนี้ องค์กรหรือภาคธุรกิจที่เก็บข้อมูลส่วนบุคคลไม่ว่าในรูปแบบใด เช่น ผู้ให้บริการเกี่ยวกับการประกันฯ ธุรกิจโรงแรม ท่องเที่ยว สายการบิน รถเช่า ฯลฯ ซึ่งมีการเก็บข้อมูลชื่อบุคคลจากประเทศในกลุ่มยุโรปที่มาใช้บริการ ที่อยู่ เบอร์โทรศัพท์ บัตรเครดิต ใบขับขี่ ฯลฯ ก็ต้องปฏิบัติตามกฎระเบียบนี้ด้วย

ท่านผู้อ่านครับ ขอให้ท่านย้อนไปดูสิ่งที่ผมเล่าสู่กันฟังในเรื่อง Digital Governance Policy and Digital Governance Framework ในตอนที่ 10 ซึ่งเป็นกรอบการกำกับดูแล การบริหารการจัดการ IT ระดับองค์กรส่วนหนึ่ง ที่เกี่ยวข้องกับ GRC Integration ตามที่ผมได้เล่าสู่กันฟังข้างต้นนะครับ

 

One Response

You can follow any responses to this entry through the RSS 2.0 feed.

Responses are currently closed, but you can trackback from your own site.