เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

วันนี้เป็นวันดี เริ่มต้นแห่งปีใหม่ 2553 ผมก็ขออำนวยพรให้ท่านผู้ติดตาม www.itgthailand.com แห่งนี้ มีความสุขความเจริญทุกท่านเลยครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 นี้ เราจะมาคุยกันต่อถึงประเด็นการพิจารณาในส่วนที่ 2 ซึ่งจะเป็นเกณฑ์การพิจารณาด้านระบบการบริหารการจัดการสารสนเทศ

จากการพิจารณาว่าแผนแม่บทฯและแผนปฏิบัติการ สอดคล้องตามประเด็นพิจารณาต่าง ๆ หรือไม่นั้น จะขึ้นอยู่กับว่าสามารถรองรับต่อความต้องการ / ความจำเป็น / ความเหมาะสมขององค์กร รวมถึงความต้องการของผู้บริหารหรือไม่ เช่น รัฐวิสาหกิจขนาดเล็กและการดำเนินงานไม่ซับซ้อนอาจเลือกใช้คอมพิวเตอร์เพียงเครื่องเดียวเพื่อสอดคล้องกับประเด็นพิจารณาของ “ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร” เมื่อสามารถแสดงให้เห็นว่าสามารถตอบสนองต่อความต้องการขององค์กรได้จริง

ประเด็นการพิจารณาในส่วนที่ 2 มีรายละเอียดดังนี้

2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ

2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร

เป็นระบบสารสนเทศ (Information System) ที่สามารถเก็บรวบรวมข้อมูล ทำการประมวลผล และสร้างสารสนเทศขึ้นมาเพื่อสนับสนุนการตัดสินใจ การวางแผน และการควบคุม ให้สอดคล้องกับความต้องการของผู้บริหาร โดยจะต้องใช้อุปกรณ์ทางคอมพิวเตอร์ (Hardware) และโปรแกรม (Application Program) ร่วมกับผู้ใช้ (Peopleware) ในการดำเนินงาน เพื่อก่อให้เกิดความสำเร็จในการได้มาซึ่งสารสนเทศที่มีประโยชน์ และสามารถนำมาใช้ได้อย่างมีประสิทธิภาพ

โดยหลักการในการสร้างระบบสารสนเทศจะประกอบด้วยคอมพิวเตอร์ ที่มีระบบการประมวลผลที่เป็นลักษณะงานพื้นฐาน (Transaction Processing Systems) เกี่ยวข้องกับการดำเนินงานประจำวันที่จำเป็นขององค์กร (Business Functions) ซึ่งโดยทั่วไปจะมี 5 ฟังก์ชัน คือ ระบบงานขายและการตลาด (Sales and Marketing) ระบบงานการเงินและระบบงานบัญชี (Finance and Accounting) ระบบทรัพยากรมนุษย์ (Human Resources) ระบบงานการผลิต (Manufacturing) และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร (Core Business Functions) ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูล (Database) หลักขององค์กร และมีการเชื่อมโยงกับตัวแปรอื่น ๆ เช่น ลูกค้า ผู้จำหน่ายวัตถุดิบ คลังสินค้า เป็นต้น โดยจะมีโปรแกรม (Application Program) ที่ดึงข้อมูล และสรุปเป็นรายงานหรือสารสนเทศให้ตรงกับความต้องการของผู้บริหารและระดับความจำเป็นที่จะต้องใช้ในแต่ละองค์กร

แนวทางโดยสรุป Management Information System (MIS) ก็คือ ระบบสารสนเทศเพื่อการจัดการ ในส่วนของยุทธวิธีในการวางแผนการปฏิบัติ และการตัดสินใจของผู้บริหารระดับกลาง เป็นระบบที่สามารถออกรายงานสรุป (Summary Report) ในลักษณะที่เป็นงานประจำหรือ รายงานเรื่องใดเรื่องหนึ่งโดยเฉพาะ (Exception Report) เพื่อสนับสนุนการตัดสินใจของผู้บริหารได้ โดยอาจจะเป็นในรูปแบบกระดาษ หรือผ่านทางหน้าจอคอมพิวเตอร์ ตัวอย่างเช่น ระบบ MIS ขององค์กรที่เกี่ยวข้องกับการขนส่งสามารถออกรายงานสรุปยอดของจำนวนผู้ใช้บริการ ปริมาณงานขนส่ง และข้อมูลอื่นๆที่ผู้บริหารมีความต้องการเป็นรายวัน รายเดือนหรือตามความเหมาะสม ขึ้นอยู่กับความต้องการและลักษณะธุรกิจของแต่ละองค์กร

ส่วน Executive Information System (EIS) คือ ระบบสารสนเทศที่สนับสนุนการจัดการในการวางแผน นโยบาย กลยุทธ์ และการตัดสินใจของผู้บริหารในระดับสูง (Top Management) ที่สามารถออกรายงานสรุป (Summary Report) ทั้งที่เป็นลักษณะงานประจำ และที่ไม่ใช่ลักษณะงานประจำ และ ณ ช่วงเวลาใดก็ได้ตามต้องการ เพื่อสนับสนุนการตัดสินใจของผู้บริหารระดับสูงได้ โดยพิจารณาข้อมูลจากแหล่งต่าง ๆ ภายนอกองค์กร และนำมาประกอบการตัดสินใจในปัญหาที่ไม่มีโครงสร้างหรือรูปแบบที่แน่นอน ซึ่งอาจจะเป็นในรูปแบบของกระดาษ หรือหน้าจอคอมพิวเตอร์กราฟฟิก ตัวอย่างจากบริษัท Southstream Seafoods เป็นบริษัทนำเข้าและส่งออกอาหารทะเลแช่แข็ง เนื่องจากราคาของอาหารทะเลไม่คงที่ ผู้บริหารมีความจำเป็นที่จะต้องทราบราคาที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา โดยข้อมูลที่ผ่านการวิเคราะห์จากระบบ EIS ทำให้ได้รายงานที่สรุปถึงการเปลี่ยนแปลงของราคา ช่วงเวลาที่เกิดการเปลี่ยนแปลง และสาเหตุ ซึ่งผู้บริหารสามารถนำข้อมูลดังกล่าวมาคิดเป็นราคาที่เหมาะสมที่สุด ได้ราคาที่จะขายรวดเร็วกว่าคู่แข่ง และสามารถแจ้งให้ลูกค้าทราบได้ทันที ส่งผลให้เกิดข้อได้เปรียบทางด้านการตลาด

2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร

เป็นระบบการจัดการฐานข้อมูล (Database Management System) ที่เก็บรวบรวมข้อมูล ทำการประมวลผล และสามารถค้นคืนข้อมูล เพื่อให้ผู้บริหารมีสารสนเทศสำหรับใช้เป็นเครื่องมือในการติดตาม หรือวัดผลการดำเนินงานขององค์กรได้

โดยทั่วไปการที่จะมีระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กรได้นั้น จะต้องมีฐานข้อมูล (Database) ที่เก็บข้อมูลในแต่ละกระบวนการงาน (Transaction Processing Systems) ที่มีความสำคัญหรืออยู่ในความสนใจของผู้บริหาร และมีระบบการจัดการฐานข้อมูล (Database Management System) ซึ่งเมื่อมีการสืบค้นหรือดึงข้อมูลออกมา ก็จะทำให้ทราบถึงสถานภาพของการดำเนินงานที่เป็นอยู่ในปัจจุบัน ผู้บริหารสามารถที่จะทราบถึงระดับหรือความก้าวหน้าของการดำเนินงานว่าอยู่ ณ จุดใด สามารถที่จะวัดผลการดำเนินงานเป็นเปอร์เซ็นต์ของความสำเร็จได้

แนวทางโดยสรุปก็คือ ระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถจัดเก็บ ประมวลผล และสามารถสืบค้นข้อมูลที่เกี่ยวข้องกับกระบวนการปฏิบัติงานขององค์กร เพื่อให้ทราบถึงสถานะของการดำเนินงานว่าอยู่ ณ จุดใด ซึ่งจะช่วยให้สามารถติดตามหรือวัดผลการดำเนินงานกับเป้าหมายขององค์กรที่ตั้งไว้ได้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอที่สามารถวัดระดับความสำเร็จของงานได้ เช่น ระบบการจัดการฐานข้อมูลของบริษัทขายผลิตภัณฑ์รองเท้าแห่งหนึ่ง ซึ่งมีฐานข้อมูลของโรงงานการผลิตที่เชื่อมต่อกับฐานข้อมูลของ Supplier และมีระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิต (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งหากเกิดกรณีที่ Supplier ไม่สามารถจัดส่งวัตถุดิบได้ทันต่อกระบวนการผลิต ระบบการจัดการฐานข้อมูลนี้จะทำให้ผู้บริหารทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้ ว่า Supplier ไม่สามารถส่งวัตถุดิบได้ทันเวลา และเป็นวัตถุดิบประเภทใด จำนวนเท่าไร ณ Process ใด ทำให้สามารถที่จะแก้ปัญหา หรือปรับปรุง เปลี่ยนแปลงได้อย่างถูกต้อง ตรงจุด และมีประสิทธิภาพ

2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

ระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย เป็นระบบที่จะต้องมีระบบการจัดการฐานข้อมูล (Database Management System) เพื่อใช้ในการจัดเก็บ รวบรวม และการจัดการข้อมูลเพื่อให้ข้อมูลในแต่ละส่วนงานสามารถที่จะแสดงความสัมพันธ์กันได้ ซึ่งระบบการรายงานผลและสอบเทียบผลการดำเนินงานจะไปดึงข้อมูลในแต่ละส่วนงานที่เกี่ยวข้องกันจากฐานข้อมูลกลางที่องค์กรมี เพื่อนำมาเปรียบเทียบกับค่าเป้าหมายที่องค์กรตั้งไว้ เพื่อสรุปเป็นรายงานที่บ่งบอกให้ทราบถึงผลของการดำเนินงานที่เกิดขึ้น ซึ่งผู้บริหารสามารถนำรายงานดังกล่าว ไปใช้เป็นเครื่องมือในการตรวจสอบการดำเนินงานขององค์กรได้ว่าควรจะมีการปรับปรุง เปลี่ยนแปลง แก้ไขให้กระบวนการทำงานดีขึ้นได้อย่างไร และที่กระบวนการใด

แนวทางโดยสรุปของระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย ก็คือ ระบบที่สามารถออกรายงานที่แสดงถึงผลของการดำเนินงานตามเป้าหมายต่าง ๆ ที่ได้กำหนดไว้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอ ที่สามารถวัดระดับความสำเร็จของงานได้ เช่น บริษัทผลิตเสื้อผ้าแห่งหนึ่งใช้ฐานข้อมูลของ Oracle ที่ Run บน IBM AS/400 Server และมี Show Case Software (Report Generator) ที่สามารถออกรายงานตามที่ต้องการได้ และสามารถเปรียบเทียบยอดการผลิตในแต่ละช่วงเวลากับที่ทางบริษัทได้ตั้งเป้าไว้ ทำให้ทราบถึงจำนวนที่ขาดเหลือและเปอร์เซ็นต์ที่ขาดเหลือดังกล่าว ระบบสามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิตเสื้อผ้า (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งจะทำให้ผู้บริหารสามารถติดตาม และทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง

2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง

ระบบในการบริหารความเสี่ยงจำเป็นจะต้องอาศัยระบบสารสนเทศที่เหมาะสมในการเก็บข้อมูลพื้นฐานและประมวลผลข้อมูล ซึ่งปัญหาของการเก็บข้อมูลในระบบคือ ข้อมูลในระบบอาจถูกนำเสนออย่างไม่เที่ยงตรงและไม่มีความสอดคล้องกับการนำเสนอข้อมูลในส่วนอื่นของระบบ และข่าวสารบางส่วนอาจมีข้อผิดพลาด คลุมเครือ หรือไม่ได้รับการแบ่งแยกอย่างเหมาะสมสำหรับการนำเสนอทางธุรกิจ

ดังนั้น ระบบสารสนเทศที่เหมาะสมจึงเป็นสิ่งสำคัญในการจัดเก็บข้อมูลพื้นฐานในแต่ละหน่วยงานขององค์กร ทั้งนี้ เพื่อให้มีศูนย์กลางในการรวบรวมข้อมูลในแต่ละหน่วยขององค์กร เพื่อให้แต่ละหน่วยสามารถแลกเปลี่ยนข้อมูลกันได้ และเพื่อให้ผู้บริหารสามารถดึงข้อมูลที่ต้องการเพื่อใช้เป็นแนวทางในการตัดสินใจถึงการบริหารความเสี่ยงใน แต่ละหน่วยงาน และเชื่อมโยงถึงการบริหารความเสี่ยงในภาพรวมขององค์กร

ตามหลักการแล้ว ในองค์กรจะมีศูนย์กลางที่เรียกว่า Risk Data Warehouse ซึ่งทำหน้าที่เก็บข้อมูล รวบรวมข้อมูล และประมวลผลข้อมูลในเบื้องต้นให้กับผู้บริหาร โดยข้อมูลดังกล่าวจะมาจากหน่วยงานต่างๆ ทั้งภายในและภายนอกองค์กร ดังนั้น หน้าที่หลักของ Risk Data Warehouse คือรวบรวมข้อมูลจากฝ่ายต่างๆ และนำมาจัดเรียงให้อยู่ในรูปแบบ (Format) ที่ฝ่ายบริหารต้องการเพื่อจะนำไปประมวลผลข้อมูลได้ทันที และระบบสารสนเทศต้องสามารถรองรับได้ทันทีหากข้อมูลมีการเปลี่ยนแปลงไป

Risk Data Processing

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถรวบรวมข้อมูลจากหน่วยงานต่างๆ ในองค์กร เพื่อเป็นศูนย์กลางในการรวบรวม แลกเปลี่ยนข้อมูลระหว่างหน่วยงาน และเพื่อให้ผู้บริหารสามารถใช้ข้อมูลเพื่อเป็นแนวทางตัดสินใจในการบริหารความเสี่ยงได้

ตัวอย่าง : ธนาคารแห่งหนึ่งมีหน่วยงานภายในหลายหน่วยงาน ล้วนแต่มีกิจกรรมที่ต่างกันและมีผลิตภัณฑ์ของแต่ละหน่วยงานที่ต่างกัน ดังนั้น จำเป็นต้องมีระบบสารสนเทศที่ทำการจัดเก็บข้อมูลในแต่ละหน่วยงาน เพื่อสามารถแปลงข้อมูลในแต่ละหน่วยงานที่มีความแตกต่างกันนี้ ให้อยู่ในรูปแบบเดียวกัน เพื่อให้ผู้บริหาร หรือหน่วยงานที่เกี่ยวข้องสามารถนำไปตัดสินใจในส่วนที่เกี่ยวข้องกับการบริหารความเสี่ยงได้ โดยผู้บริหารต้องทำการเรียกดูข้อมูลได้อย่างรวดเร็ว และเป็นข้อมูลที่ถูกต้องและอยู่ในรูปแบบที่เหมาะสมในการตัดสินใจ

โดยที่ข้อมูลดังกล่าว อาจจะมาจากภายในธนาคารเอง (Internal) หรือภายนอกธนาคาร (External) เช่น ข้อมูลของสาขาต่างประเทศของธนาคารดังกล่าวก็ได้ ซึ่งจะเป็นการใช้ประโยชน์จากระบบการเชื่อมโยงระหว่าง Server ของสาขา โดยระบบสารสนเทศนี้ต้องมีสามารถรองรับการเปลี่ยนแปลงของข้อมูล ในกรณีที่ข้อมูลมีการเปลี่ยนแปลง (Update) อยู่ตลอดเวลาได้

2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early warning system (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)

องค์ประกอบหลักของการบริหารความเสี่ยงที่สำคัญคือ การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ซึ่ง ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง และองค์กรต้องมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ระดับเสียหายข้างต้นด้วย

ดังนั้น ระบบสารสนเทศ จะต้องสนับสนุนการมี Early Warning System เพื่อป้องกันความเสี่ยงหลัก โดยจัดให้มี Management Trail เพื่อการติดตาม สอบทานแบบต่อเนื่องอย่างเหมาะสม ในการบริหารความเสี่ยง

แนวทางโดยสรุป ระบบ Early Warning System คือ ระบบสารสนเทศที่สนับสนุนการจัดรูปแบบและประมวลผลข้อมูลให้อยู่ในรูปของระดับความรุนแรงในการเกิดเหตุการณ์ และโอกาสของการเกิดความเสี่ยงแต่ละประเภท เพื่อให้องค์กรได้กำหนดระดับที่ยอมรับได้ของความเสี่ยง (Limited Risk Level) ได้ และหากระดับความเสียหายเกินกว่า Level ที่ยอมรับได้ ระบบจะต้องทำการเตือน / รายงานทันทีโดยทันกาล (Timely manner)

ตัวอย่าง : องค์กรแห่งหนึ่ง ได้กำหนดระดับความเสียหาย (ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) ไว้ 5 ระดับ โดยทำเป็น Matrix ดังนี้

จากตารางด้านบน จะพบว่า องค์กรกำหนดระดับความถี่ไว้ 5 ระดับ และระดับความรุนแรงไว้ 5 ระดับ ดังนั้นระดับความเสียหาย จะอยู่ที่ระดับต่ำสุดคือ 1 และระดับสูงที่สุดคือ 25

ขั้นตอนของระบบในการประมวลผลและมีระบบเตือนภัย
1. ระบบสารสนเทศ จะทำการรวบรวมข้อมูลความเสี่ยงจากแต่ละหน่วยงาน โดยแต่ละหน่วยงานต้องระบุระดับความถี่และระดับความรุนแรงของความเสี่ยงแต่ละประเภท
2. องค์กรจะต้องระบุระดับความเสียหายที่ยอมรับได้ ซึ่งในที่นี้ ยกตัวอย่างระดับความเสียหายที่ยอมรับได้เท่ากับ 9
3. เมื่อระบบรวบรวมข้อมูลความเสี่ยงซึ่งระบุระดับความเสียหายของแต่ละหน่วยงานแล้ว ระบบจะต้องประเมินผลระดับความเสียหายของแต่ละปัจจัยเสี่ยง หากปัจจัยเสี่ยงใดมีระดับความเสียหายที่เกิน 9 (เกินระดับที่ยอมรับได้) ระบบจะต้องมีสัญญาณเตือน / รายงาน / แจ้งต่อผู้บริหารถึงระดับความเสียหายที่เกิดขึ้น เพื่อที่ผู้บริหารจะได้บริหารจัดการต่อความเสี่ยงนั้นได้ทันท่วงที

2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
• การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) โดยรัฐวิสาหกิจสามารถเลือกมาตรฐานที่ใช้ควบคุมป้องกันมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ทั้งสิ้น 10 ประการ ดังนี้

IT Security ของศูนย์คอมพิวเตอร์หลัก

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

• การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up) โดยรัฐวิสาหกิจต้องมีการควบคุมป้องกันศูนย์คอมพิวเตอร์สำรองตามคุณลักษณะที่กำหนดเช่นเดียวกัน ซึ่งรัฐวิสาหกิจสามารถเลือกมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ดังนี้

Off-site Back up

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

ครั้งหน้าจะไปต่อกันในส่วนของระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในกันครับ

 

Leave a Reply