Archive for พฤษภาคม 15th, 2009

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

 

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

 

การป้องกันการทุจริตในจุดอ่อนระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง (ต่อ)

จนถึงปัจจุบัน ผู้กำกับหน่วยงานของ ธอส. ที่เกี่ยวข้องกับการทุจริตและเกิดผลเสียหายประมาณ 400 ล้านบาท ยังเป็นที่สนใจของบุคคลที่เกี่ยวข้องว่า หน่วยงานของรัฐแห่งนี้มีการบริหารงานที่ดี โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง อันเป็นที่ยอมรับได้ระดับหนึ่งนั้น เกิดการทุจริตเช่นนี้ขึ้นได้อย่างไร เหตุใดผู้ทุจริตจึงสามารถกระทำการทุจริตได้โดยใช้เวลาอันยาวนาน และผู้บริหาร ผู้ตรวจสอบ รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยงไม่สามารถ Mornitor หรือติดตามความเสี่ยงที่เกิดจาก Operation Risk ที่เกี่ยวข้องกับ People, Process และ Technology รวมทั้ง Compliance Risk ที่เกี่ยวข้องกับการปฏิบัติตามระเบียบและกฎเกณฑ์ของหน่วยงานและผู้กำกับที่เกี่ยวข้อง

Value Creation for Effectiveness & Efficiency of Operations

Value Creation for Effectiveness & Efficiency of Operations

สำหรับส่วนตัวของผม ผมยังมีความเข้าใจและมั่นใจว่า ธอส. ยังมีกระบวนการบริหารและการจัดการที่ดีอยู่ เพียงยังอาจปรับปรุงกระบวนการบริหารความเสี่ยงบางมุมมอง โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับกระบวนการทบทวนการบริหาร การควบคุมความเสี่ยงของระบบงานที่เกี่ยวข้องกับ Business Process ไปสู่ Business Objective ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ที่รวมทั้งเรื่อง ISO 27001 และ COBIT ตามหลักการของ IT Governance ที่มีผลเกี่ยวข้องกับ Corporate Governance ซึ่งเชื่อมโยงกับการบริหารความเสี่ยงตามหลักการของ COSO – ERM การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

วันนี้ ผมจึงขอออกความเห็นเบื้องต้นที่ยังขาดข้อมูลและข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้นอยู่มาก แต่จะขออธิบายภาพโดยรวม ถึงสิ่งที่หน่วยงานที่เกี่ยวข้องอาจใช้ประสบการณ์เกี่ยวกับกระบวนการบริหารความเสี่ยง การควบคุมความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ การวิเคราะห์ Business Process การวิเคราะห์ Business Model บางประการ ดังนี้

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

ผมขอให้ข้อสังเกตผ่านแผนภาพเป็นสำคัญ แทนการใช้คำอธิบายที่อาจจะน่าเบื่อสำหรับบางท่าน ขอให้ท่านที่สนใจอ่านและทบทวนกระบวนการดำเนินการตามภาพข้างต้น แล้วซักถามผู้ที่เกี่ยวข้องอย่างเป็นระบบและเป็นกระบวนการตามขั้นตอนที่เหมาะสมให้เป็นไปตามแนวทางของ COSO – ERM คำตอบที่ได้รับในประเด็นที่น่าสนใจนำกลับมาตั้งคำถามใหม่ เพื่อให้คำตอบตรงกับเป้าประสงค์ของผู้ถาม ซึ่งต้องมีความรอบรู้และมีประสบการณ์บริหารอย่างเป็นกระบวนการที่แท้จริง ทั้งทางด้าน IT และ Non – IT

ครั้งต่อไป ผมจะพยายามสร้าง Scenario เพื่อซักถามเป็นตุ๊กตาต้นแบบ เพื่อก้าวเข้าไปหาหรือเพื่อการวิเคราะห์ต้นเหตุหรือสาเหตุ (Root Cause) ของจุดอ่อนของกระบวนการทำงาน (Business Process) รวมไปถึงเทคโนโลยี (Technology) ที่เกี่ยวข้องและแน่นอนว่า จะสัมพันธ์กับบุคลากร (People) ที่จะมีรายการสัมพันธ์กัน เชื่อมโยงกันในกระบวนการที่เป็นจุดอ่อนที่เกิดขึ้น รวมไปถึงการก้าวไปสู่ผู้ที่น่าจะเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นได้

Functional Perspectives & Competency to drive IT Security + Successful Business

Functional Perspectives & Competency to drive IT Security + Successful Business

ก่อนจะจบการให้ข้อสังเกตในวันนี้ ผมใคร่ขอจะกล่าวสั้น ๆ เพียงว่า ศักยภาพของผู้ตรวจสอบ ผู้บริหารความเสี่ยงในระดับต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจถึงเรื่อง Risk Convergence ซึ่งส่วนใหญ่จะเกี่ยวข้องกับทางด้าน IT Governance และ IT Management เพื่อลดความเสี่ยงในการบริหารและการตรวจสอบ (Risk Management & Audit Risk) ที่เกี่ยวข้องกับ
– Poor Security & Reporting
– Poor Management Control ที่เกี่ยวข้องกับการบริหารองค์ประกอบของสารสนเทศที่ดี 7 ประการ ตามที่เคยกล่าวไปแล้ว รวมทั้งรายงานที่เกี่ยวข้อง
– Poor Financial Transparency โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับ IT Investments รวมทั้งการกำกับและการบริหารที่ผิดทิศทาง ไม่เป็นไปตามหลักการของกระบวนการบริหารทางด้าน ITG – COBIT และ IT Security ที่ดี
– Fraud ซึ่งเป็นการทุจริตส่วนใหญ่ที่เกิดขึ้นภายในองค์กร โดยบุคลากรขององค์กรนั้นเองเป็นสำคัญ ที่ไม่เข้าใจ Business Process ในการก้าวไปสู่ Business Objective ที่เกี่ยวข้องกับ Internal Control ซึ่งสัมพันธ์กับ Risk Management และ Internal Audit – Risk – Based และ Audit Instinct หรือสัญชาตญาณในการตรวจสอบ หรือศัยกภาพในการตรวจสอบ ที่จะครอบคลุมและผสมผสานระหว่าง IT Audit และ Non – IT Audit โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบทางด้าน Non – IT ที่อาจจะไม่สนใจผลกระทบหรือ Impact ของ IT Risk ต่อ Business Risk ซึ่งมีผลอย่างสำคัญถึงกระบวนการตรวจสอบและการวางแผนการตรวจสอบ ซึ่งมีเรื่องที่ต้องทำความเข้าใจกันค่อนข้างมาก

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

นี่เป็นเหตุผลสำคัญที่ผมยังไม่แยกภาคการตรวจสอบ IT Audit กับ Non – IT Audit อย่างชัดเจนในช่วงนี้ ทั้งนี้ผมต้องการที่จะให้ผู้บริหารที่เกี่ยวข้องต่อการกำกับและการตรวจสอบทั้ง 2 ด้าน เห็นความสัมพันธ์และความเชื่อมโยง รวมทั้งผลกระทบของ IT Risk ที่มีต่อกระบวนการตรวจสอบโดยรวม

ซึ่งผมจะได้กล่าวในรายละเอียดในช่วงต่อ ๆ ไปนะครับ

 

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร ซึ่งมีขั้นตอนค่อนข้างเยอะ แต่ผมก็ได้พยายามอธิบายในลักษณะเป็นขั้นเป็นตอนพร้อมรูปภาพประกอบในแต่ละขั้น คงทำให้หลายท่านพอจะเข้าใจได้ง่ายขึ้นนะครับ

สำหรับวันนี้ ผมจะกล่าวถึงเรื่ององค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management) ซึ่งเป็นแนวทางการบริหารความเสี่ยงตามหลักการของ COSO ที่ประกอบด้วยส่วนประกอบหลัก ๆ 8 ประการ ได้แก่

1. สภาพแวดล้อมภายใน – ฝ่ายบริหารต้องกำหนดปรัชญาเกี่ยวกับความเสี่ยงและความเสี่ยงที่ยอมรับได้ขึ้นมา สภาพแวดล้อมภายในจะกำหนดพื้นฐานเพื่อใช้ในการวิธีการจัดการความเสี่ยงและควบคุม หลักสำคัญขององค์กรคือบุคลากรและสภาพแวดล้อมการทำงาน เช่น โครงสร้าง วัฒนธรรมการทำงาน เป็นต้น

2. การกำหนดวัตถุประสงค์ – ต้องมีการกำหนดวัตถุประสงค์ก่อน ฝ่ายบริหารจึงจะสามารถระบุสถานการณ์ที่อาจทำให้ไม่บรรลุผลสำเร็จได้ ERM จะสร้างความแน่ใจให้กับฝ่ายบริหารว่ามีกระบวนการกำหนดวัตถุประสงค์และเลือกวัตถุประสงค์ที่สนับสนุนและสอดคล้องกับภารกิจ/วิสัยทัศน์และมีความเสี่ยงในระดับที่องค์กรยอมรับได้

3. การระบุสถานการณ์ – ปัจจัยในการระบุสถานการณ์ประกอบด้วย ปัจจัยทั้งภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

4. การประเมินความเสี่ยง – การระบุความเสี่ยงเป็นพื้นฐานนำมาวิเคราะห์ว่าจะจัดการกับความเสี่ยงอย่างไร

5. การตอบสนองความเสี่ยง – ฝ่ายบริหารต้องเลือกวิธีการจัดการกับความเสี่ยงที่ประเมินได้ให้อยู่ในระดับที่องค์กรยอมรับได้ วิธีการจัดการกับความเสี่ยงประกอบด้วย การหลีกเลี่ยง การยอมรับ การลดและการกระจายความเสี่ยง

6. กิจกรรมการควบคุม – เป็นนโยบายและวิธีการที่สร้างขึ้นมาและใช้ในการช่วยให้ฝ่ายบริหารสามารถจัดการกับความเสี่ยงที่อย่างมั่นใจ

7. ข้อมูลสารสนเทศและการสื่อสาร – มีการระบุ จัดการและสื่อสารข้อมูลที่เกี่ยวข้องในรูปแบบและช่วงเวลาที่สามารถทำให้บุคลากรปฏิบัติหน้าที่ความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งจำเป็นในทุกระดับขององค์กรในการระบุ ประเมิน และตอบสนองความเสี่ยง

8. การติดตาม – ต้องมีการติดตามดูแลกระบวนการ ERM ขององค์กร และดัดแปลงเท่าที่จำเป็น การติดตามดูแลต้องทำเป็นกิจกรรมที่ต่อเนื่อง แยกออกมาจากการประเมินผลกระบวนการ ERM หรือผสมผสานทั้งสองอย่างเข้าด้วยกัน

อธิบายไปครบทั้ง 8 ประการแล้ว เราไปดูแผนภาพของส่วนประกอบของ ERM ให้เห็นภาพที่ชัดเจนขึ้นกันครับ

องค์ประกอบของ ERM 8 ประการ

องค์ประกอบของ ERM 8 ประการ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM สามารถแสดงให้เห็นได้ใน 3 มิติ ในลักษณะของลูกเต๋าดังภาพ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

– วัตถุประสงค์ 4 ข้อที่แสดงในแนวตั้ง ได้แก่ กลยุทธ์ การดำเนินงาน การรายงาน และการปฏิบัติตาม
– องค์ประกอบ 8 ประการที่แสดงให้เห็นในแนวนอนและ
– องค์กรและหน่วยต่าง ๆ ขององค์กรจะบรรยายในมิติที่ 3