Archive for the "คุยกับผู้เขียน" Category

วิสัยทัศน์ มาก่อน นโยบายและกลยุทธ์เสมอ…

มิถุนายน 2nd, 2011

vision

หากประเทศ หรือองค์กรใด ขาดวิสัยทัศน์ที่มีลักษณะเป็นเข็มทิศ นำนาวาของประเทศและขององค์กรไปสู่เป้าประสงค์ในระยะยาว เช่น “ในปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” แต่ไปกำหนดนโยบายที่ตามด้วยกลยุทธ์ รวมทั้งแผนงานและโครงการต่าง ๆ ถึงจะมี KPI และ KRI เป็นตัวกำกับและตัวชี้วัดผลการปฎิบัติงานที่ดูเหมือนจะดี และเป็นไปตามกระบวนการบริหารจัดการที่ดีนั้น น่าจะมีปัญหาการบูรณาการของการหล่อหลอมนโยบาย กลยุทธ์ แผนงานและโครงการต่าง ๆ ที่ดีและเหมาะสม และมีคุณภาพ โดยการใช้ทรัพยากรของประเทศและองค์กรอย่างมีคุณค่าที่แท้จริง

ทั้งนี้ก็เพราะประเทศหรือองค์กรนั้น ยังขาดวิสัยทัศน์ ซึ่งเป็นธงหลักและจำเป็นอย่างยิ่งที่นาวาของรัฐ และองค์กรที่มีประชาชน หรือผู้ที่อยู่นาวาลำนั้น ต้องช่วยกันขับเคลื่อนเป้าประสงค์ต่าง ๆ ไปในทิศทางเดียวกัน สิ่งนั้นคือ “วิสัยทัศน์”

ในการบริหารจัดการองค์กรโดยทั่วไป มีการกล่าวกันไว้ว่า หากขาดวิสัยทัศน์และพันธกิจที่ชัดเจน ประเทศหรือองค์กรก็ไม่น่าจะบริหารงานที่มีประสิทธิภาพ ประสิทธิผลที่ดีได้ ตามหลักการบริหารจัดการที่ดี ทั้งในมุมมองของ CG และ ITG ที่ก้าวไปสู่ GRC ซึ่งเป็นการบริหารแบบบูรณาการ ในลักษณะที่เรียกว่า Integrity – Driven Performance ซึ่งผมเคยอธิบายไปแล้ว และหากมีโอกาสผมจะได้มาแบ่งปันข้อมูลในมุมมองอื่น ๆ ต่อไปนะครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, คุยกับผู้เขียน
Tags: , , ,
2 Comments

วิสัยทัศน์ของประเทศและขององค์กร กับ GRC เพื่อการเติบโตอย่างยั่งยืน

พฤษภาคม 21st, 2011

วันนี้ผมจะนำเสนอในเรื่องที่ค้างคาใจของผมมานานแล้วก็คือ ผมอยากจะเห็น อยากได้อ่าน การกำหนดวิสัยทัศน์ของประเทศไทยที่ชัดเจน และเป็นรูปธรรม เป็นลายลักษณ์อักษร เพื่อเป็นทิศทางที่จะกำหนดพันธกิจ นโยบายและกลยุทธ์ของประเทศ รวมทั้งการจัดทำแผนงาน / โครงการต่าง ๆ ที่จะมีความชัดเจนและใช้ทรัพยากรอย่างมีคุณภาพยิ่งขึ้น หากประเทศไทยเรากำหนดวิสัยทัศน์อย่างเหมาะสม

ตามความเห็นของผมจึงได้นำเสนอวิสัยทัศน์ที่น่าจะเป็นไปได้มากของประเทศไทยที่อาจจะเรียกว่าเป็นการฉลองครบรอบ 100 ปีของการบริหารประเทศแบบประชาธิปไตย คือเริ่มตั้งแต่ปี พ.ศ. 2475 – 2575 โดยกำหนดเป็นวิสัยทัศน์ที่น่าจะท้าทายพอสมควร และเป็นเข็มทิศของประเทศว่า “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว”

ท่านผู้อ่านคิดว่าน่าจะดีไหมครับ ท่านผู้อ่านเคยได้ยิน หรือเคยเห็นว่าประเทศไทยมีการกำหนดวิสัยทัศน์ของประเทศไทยไว้ไหมครับ และเคยแปลกใจไหมว่า เราบริหารประเทศมากว่า 75 ปี ในแบบประชาธิปไตยนั้น ทิศทางที่เราต้องการจะเป็นหรือต้องการจะเห็นในอนาคตของประเทศไทยนั้นคืออะไร

นโยบายและแผนงานต่าง ๆ ที่กำหนดขึ้นมาโดยไร้ทิศทางที่กำหนดวิสัยทัศน์อย่างชัดเจนนั้น จะกำหนดแผนงานและโครงการอย่างไรให้เป็นไปอย่างสอดคล้องกันทั่วทั้งประเทศ ทั้งทางด้านเศรษฐกิจ การเงิน รวมทั้งความมั่นคงของประเทศ ถ้าหากขาดเป้าหมายที่ต้องการในอนาคต ในระดับชาติหรือองค์กร

ดังนั้นประเทศไทยจะนำแนวทางการบริหารประเทศแบบหลอมรวมและบรูณาการตามหลักการ GRC มาใช้ เพื่อให้เกิดการสอดประสานในนโยบาย รวมทั้งแผนงาน / โครงการต่าง ๆ ไม่ได้ดีเท่าที่ควร ถ้าหากขาดวิสัยทัศน์ที่ชัดเจน…

ท่านลองนึกดูนะครับว่า หากตัวท่านเองหรือองค์กรที่ท่านบริหารขาดวิสัยทัศน์ที่ชัดเจน ท่านหรือองค์กรที่ท่านบริหารจะมีทิศทางในการบริหารความสำเร็จในชีวิตของท่าน องค์กรของท่าน หรือประเทศของเราอย่างไร…

จริงอยู่ตัวเราเอง องค์กร และประเทศของเรา ก็บริหารกันมาด้วยดีตามสมควรมาโดยตลอด แต่เมื่อเทียบกับประเทศอื่น ๆ ที่มีวิสัยทัศน์ที่ชัดเจน และรวมพลังกันในการขับเคลื่อนให้วิสัยทัศน์นั้นเป็นจริง โดยการกำหนดนโยบาย กลยุทธ์ และแผนงาน / โครงการต่าง ๆ อย่างสอดประสานกันทั่วทั้งประเทศอย่างประเทศเพื่อนบ้านของเราหลายประเทศที่กำหนดวิสัยทัศน์อย่างชัดเจน เช่น ประเทศมาเลเซีย ที่กำหนดว่า “ภายใน ปี ค.ศ. 2020 ประเทศมาเลยเซียจะเป็นประเทศที่พัฒนาแล้ว” เป็นต้น

ดังนั้น ผมจึงขอนำเสนอเรื่องวิสัยทัศน์กับการบริหารประเทศแบบหลอมรวมและบรูณาการ / GRC ซึ่งอาจอธิบายประกอบกับภาพโดยย่อ ๆ ดังนี้นะครับ

ความหมายของ GRC ก็คือ G = Governance, R = Risk Management, C = Compliance
หากกล่าวเพียงแค่นี้ หลายท่านก็จะพูดว่า องค์กรของเรามี GRC แล้ว แต่แท้จริงแล้ว GRC มีความหมายมากกว่า G + R + C วิธีการง่าย ๆ ในการประเมินตนเองในเรื่องนี้ก็คือ หากองค์กรของท่านมีนโยบายเรื่อง G R C แยกต่างหากจากกัน และมีสายงานที่รับผิดชอบในเรื่องนั้น ๆ โดยเฉพาะ องค์กรของท่านถือว่ายังไม่มีการบริหารในแบบ GRC ที่แท้จริง เพราะการบริหารแบบ GRC เป็นการบริหารแบบหลอมรวมและบูรณาการ G + R + C เป็นหนึ่งเดียวเท่านั้น ผมขออธิบายตามรูปภาพย่อ ๆ ดังนี้ จากภาพเลข 6 เป็นการบริหารแบบ GRC ที่สมบูรณ์ ส่วนภาพเลข 5 เป็นการบริหารแบบ GRC ในลักษณะหนึ่งที่ยังต้องการความหลอมรวมไปสู่ GRC ภาพเลข 6 ซึ่งต้องใช้ IT – Based เป็นตัวเชื่อมในลักษณะ Technology Convergence

Slide1

ท่านผู้อ่านคงอาจจะสังเกตได้นะครับว่า เว็บนี้เริ่มนำเสนอความคิดที่เกี่ยวข้องกับ วิสัยทัศน์ของประเทศไทยที่น่าจะเป็น และท้าทายก็คือ “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” นั่นคือ การบริหารประเทศหรือการบริหารองค์กร จำเป็นอย่างยิ่งที่ต้องกำหนดทิศทางของประเทศและองค์กรในอนาคตที่ชัดเจน เพื่อให้เกิดพันธกิจ นโยบาย กลยุทธ์ รวมทั้งแผนงาน / โครงการที่จะดำเนินการภายใต้กลยุทธ์และนโยบายตามพันธกิจ สู่วิสัยทัศน์อย่างเป็นระบบ ซึ่งจะก่อให้เกิดการบริหารแบบสอดประสานและบูรณาการของแผนงาน และโครงการต่าง ๆ ที่มีประสิทธิภาพและประสิทธิผล ในการบริหารทรัพยากรของประเทศและองค์กรอย่างเป็นรูปธรรม และจะก่อให้เกิดการบูรณาการ Integrated Management ในระดับต่าง ๆ เพื่อก้าวไปสู่ Integrity – Driven Performance ที่เป็นแนวทางการบริหารแบบหลอมรวม และบูรณาการที่เรียกว่า GRC อย่างแท้จริง

ความหมายของคำว่า Integrity – Driven Performance ที่น่าจะเข้าใจได้ง่าย ก็คือ การขับเคลื่อนการบริหาร และการจัดการขององค์กรไปสู่ความสมบูรณ์แบบ / Integrity โดยใช้ IT – Based ไปขับเคลื่อนกระบวนการปฏิบัติงาน ตั้งแต่ระดับบนไปสู่ระดับปฏิบัติการ อย่างเป็นระบบ และมีระเบียบ เป็นขั้นตอน เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรมีการบริหารในลักษณะบูรณาการ / Integrated ในทุกองค์ประกอบที่เกี่ยวข้องกับ Governance (CG + ITG +++), Risk Management (IT และ Non – IT ซึ่งประกอบด้วย CobiT / ITIL + COSO – ERM) และ Compliance (การปฏิบัติตามกฎหมาย กฎเกณฑ์ คำสั่ง ระเบียบ การปฏิบัติตามสัญญา +++ รวมทั้งการปฏิบัติตามมาตรฐาน / Good Practice / Lesson – Learned ต่าง ๆ ที่เกี่ยวข้อง) โดยมีการติดตามการบริหาร (Monitoring) และการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk Based Internal Audit Approach) อย่างเป็นระบบที่เน้นไปในลักษณะของ Continuous Monitoring / Auditing และการรายงาน รวมทั้ง การปฏิบัติงานที่มีประสิทธิภาพในระดับต่าง ๆ +++

ทั้งนี้ หลักการของ GRC จะสมบูรณ์ไม่ได้เลยหากประเทศหรือองค์กร ขาดหลักการและแนวทาง การมี การใช้ อย่างเป็นรูปธรรมของจรรยาบรรณ และจริยธรรม (Ethics) และการปรับเปลี่ยนวัฒนธรรม รวมทั้งสภาพแวดล้อมที่ไม่เหมาะสมและไม่สอดคล้องกับหลักการของ Governance เช่น ความโปร่งใสที่ตรวจสอบได้ (Transparency) ความรู้ความสามารถในการปฏิบัติหน้าที่ (Responsibility) ความรับผิดชอบในผลของการปฏิบัติงาน (Accountability) การปฏิบัติโดยเท่าเทียมกัน (Equitable Treatment) การมีวิสัยทัศน์เพื่อสร้างความเติบโตอย่างยั่งยืน (Creation of Long Term Value – Sustainable Growth) การดูแลสังคมและสภาพแวดล้อมที่ดี (Social and Environmental Awareness) และการส่งเสริมการปฏิบัติอันเป็นเลิศและการมีจรรยาบรรณาที่ดีในการประกอบธุรกิจ (Promotion of Best Practices)

An Integrated Approach To GRC

ทั้งนี้ การบริหารในแบบ GRC นี้จะต้องคำนึงถึง ผู้มีผลประโยชน์ร่วม และสังคม (Stakeholders) มากกว่าผู้ถือหุ้น (Shareholders) ที่ผู้บริหารประเทศและคณะกรรมการระดับสูงขององค์กรต้องเป็นผู้กำหนดวิสัยทัศน์ และนโยบายที่ชัดเจน ในลักษณะ Tone at the top ด้วยจิตวิญญาณของความรับผิดชอบต่อประเทศ / องค์กร เพื่อก้าวไปสู่พันธกิจและวิสัยทัศน์ที่กำหนดอย่างมุ่งมั่น และทุ่มเท

อย่างไรก็ดี การที่ประเทศหรือองค์กรจะบริหารได้ดีมีประสิทธิภาพในลักษณะการบริหารแบบบูรณาการและการหลอมรวมกระบวนการจัดการต่าง ๆ เป็นหนึ่งเดียว ที่มิใช่นำเพียง G + R + C มารวมกันเท่านั้น เป็นเรื่องท้าทายยิ่ง เพราะการประสานงานและกระบวนการจัดการต่าง ๆ ที่หลอมรวมแบบบูรณาการเป็นหนึ่งเดียวกันนั้น จะเกิดไม่ได้เลย ถ้าประเทศหรือองค์กร ไม่มีวิสัยทัศน์ที่ชัดเจน หรือไม่กำหนดวิสัยทัศน์ในการบริหารจัดการประเทศ หรือองค์กรอย่างเป็นรูปธรรม เพราะพันธกิจ นโยบาย และแผนงาน/โครงการต่าง ๆ ที่ตามมาจะขาดทิศทางที่ชัดเจน ที่จะก่อให้เกิดการบริหารแบบบูรณาการ (Integrated Management) เพื่อก้าวไปสู่การบริหารแบบหลอมรวมและบูรณาการ ตามแบบฉบับของ GRC ที่แท้จริงนะครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, คุยกับผู้เขียน
Tags: , , , , , , ,
3 Comments

itgthailand.com ย้าย host ใหม่

มีนาคม 3rd, 2011

สวัสดีครับ ทุกท่าน ผมต้องขออภัยในความไม่สะดวก หลังจากที่ www.itgthailand.com แห่งนี้ ไม่สามารถเข้าใช้งานได้หลายวัน เพราะมีปัญหาในเรื่องของ host ทำให้ทุกท่านไม่สามารถติดตามเนื้อหา สาระ ข่าวสารความเคลื่อนไหวจากทางเว็บได้ ผมจึงขอแจ้งให้ทุกท่านทราบว่า ตอนนี้ www.itgthailand.com ได้ดำเนินการย้าย host ไปที่แห่งใหม่เรียบร้อย และสามารถใช้งานได้ตามปกติแล้วครับ โดยเราได้รับการเอื้อเฟื้อ และให้การช่วยเหลือเป็นอย่างดีจาก ดร. ปริญญา หอมอเนก และคุณนิพนธ์ จาก เอซิส โปรเฟสชั่นแนล เซ็นเตอร์ (ACIS Professional Center) สถาบันที่ให้ความรู้ที่หลากหลายทางด้าน Information Security/Technology+++ ผมต้องขอขอบคุณทั้ง 2 ท่าน เป็นอย่างยิ่ง รวมถึงคุณกฤษณีย์ เกียรติไพบูลย์ แห่ง วินท์คอม เทคโนโลยี (Vintcom Technology) ที่คอยอำนวยความสะดวกแก่เราเสมอมา ทำให้ www.itgthailand.com นี้ยังคงสามารถดำเนินงานเผยแพร่ข้อมูล ข่าวสาร และสาระประโยชน์ให้แก่สาธารณชนผู้สนใจทุกท่านได้ต่อไป

อย่างไรก็ตาม เพื่อมิให้ทุกท่านพลาดการติดตามเนื้อหา สาระประโยชน์ จาก itgthailand ผมจะ update ข้อมูลควบคู่ไปกับ www.itgthailand.wordpress.com อย่างสม่ำเสมอ เพื่อรองรับหากเกิดกรณีที่ไม่สามารถใช้งาน itgthailand.com ได้

ขอบคุณทุกท่านที่ติดตาม itgthailand ครับ

 

Posted in CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, ITG และองค์ประกอบที่เกี่ยวข้อง, Non - IT Audit / การตรวจสอบโดยทั่วไป, คุยกับผู้เขียน, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework
Tags:
No Comments

พรฎ. เรื่องหลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553

ธันวาคม 5th, 2010

วันนี้ ผมมีเรื่องใหม่ล่าสุดมาเล่าสู่กันฟังถึง 2 เรื่องเลยทีเดียวครับ เรื่องแรก เป็นประกาศของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ที่กล่าวถึง หลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 ซึ่งได้ประกาศในราชกิจจานุเบกษา เล่ม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หน้า ๔๗ เมื่อวันที่ ๒๖ ตุลาคม ๒๕๕๓

ในช่วงเวลา 3-4 เดือนที่ผ่านมานี้ มีพระราชกฤษฎีกาที่เกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์ออกมาก่อนหน้านี้อย่างน้อย 2 เรื่องตามที่ผมได้นำเสนอไปก่อนหน้านี้แล้วครับ และครั้งนี้ขอนำเสนออีก 2 เรื่องใหม่ ที่คณะกรรมการและผู้บริหารของหน่วยงานที่เกี่ยวข้องจะต้องติดตาม และปฏิบัติให้เป็นไปตามกฎหมายและกฎเกณฑ์ ซึ่งมีใจความโดยสรุปดังนี้

การจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ ให้เป็นไปตามหลักเกณฑ์และวิธีการ ตามประกาศของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ข้อ ๓ นั้นก็คือ

1) ข้อมูลอิเล็กทรอนิกส์ที่จัดทำหรือแปลง ต้องมีความหมายหรือรูปแบบเหมือนกับเอกสาร
และขอความเดิม ซึ่งนำมาจัดทำหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ โดยผู้จัดทำหรือแปลงจะต้องตรวจสอบและรับรองว่าข้อมูลอิเล็กทรอนิกส์นั้น มีความหมายหรือรูปแบบเหมือนกับเอกสารและข้อความเดิม

2) ข้อมูลอิเล็กทรอนิกส์ต้องจัดทำหรือแปลงขึ้นด้วยวิธีการที่เชื่อถือได้ในการระบุตัวตน
ผู้จัดทำหรือแปลงที่รับผิดชอบในการจัดทำหรือแปลงนั้น

3) ข้อมููลอิเล็กทรอนิกส์ต้องจัดทำหรือแปลง โดยมีเทคโนโลยีและมาตรการป้องกัน มิให้มีการเปลี่ยนแปลงหรือแก้ไขเกิดขึ้นกับข้อมูลนั้น เว้นแต่การรับรองหรือบันทึกเพิ่มเติม ซึ่งไม่มีผลต่อความหมายของข้อมูลอิเล็กทรอนิกส์

ส่วนรายละเอียดของวิธีการในการจัดทำ หรือแปลงเอกสาร และข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกสให้เป็นไปตามที่กำหนดไว้ในหัวข้อ ๔ ถึงหัวข้อ ๙ โดยสรุปดังนี้

๔. การจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์
ให้มีกระบวนการในการจัดทำหรือแปลงเอกสารและข้อความอย่างน้อย คือ

1) กระบวนการจัดทำหรือแปลงเอกสารและข้อความให้เป็นข้อมูลอิเล็กทรอนิกส์ด้วยวิธีการ
ทางอิเล็กทรอนิกส์

2) กระบวนการตรวจสอบและรับรองว่าข้อมูลอิเล็กทรอนิกส์ที่จัดทำหรือแปลงนั้น
มีความหมายเหมือนกับเอกสารและข้อความเดิม

3) กระบวนการบันทึกหลักฐานการดำเนินงานการจัดทำหรือแปลงเอกสารและข้อความ
ให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์

4) กระบวนการบันทึกเมตาดาตาในรูปแบบอิเล็กทรอนิกส์ที่เป็นข้อความบรรยายสาระสำคัญ
ของเอกสารและข้อความ ซึ่งต้องครอบคลุมให้สามารถสืบค้นเอกสารและข้อความนั้นได้ถูกต้อง

๕. การจัดทำหรือแปลงเอกสารและข้อความด้วยวิธีการทางอิเล็กทรอนิกส์ ให้มี
ผู้รับผิดชอบดำเนินงานในการจัดทำหรือแปลงในเรื่องของวิธีการดังนี้

1) จัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์

2) ตรวจสอบและรับรองความถูกต้องและครบถ้วนของข่้อมูลอิเล็กทรอนิกส์ที่ได้จากการ
จัดทำหรือแปลงเอกสารและข้อความให้อยูในรูปของข้อมูลอิเล็กทรอนิกส์ ว่าข้อมูลอิเล็กทรอนิกส์มีความหมายหรือรูปแบบเหมือนกับเอกสารและข้อความเดิม

3) ตรวจสอบกระบวนการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ให้เป็นไปตามที่กาหนดไว้

4) ตรวจสอบและรับรองความถูกต้องและครบถ้วนของเมตาดาตา ตามข้อ ๔ (4)

๖. การจัดทำหรือแปลงเอกสารและข้อความด้วยวิธีการทางอิเล็กทรอนิกส์ ให้มีการ
กำหนดมาตรการเกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูลอิเล็กทรอนิกส์ ซึ่งเป็นวิธีการที่เชื่อถือได้ อย่างน้อยต้องครอบคลุมหัวข้อต่อไปนี้

1) การระบุตัวตน (Identification)

2) การยืนยันตัวตน (Authentication)

3) อนุญาตเฉพาะผู้มีสิทธิเข้าถึง (Authorization)

4) ความรับผิดชอบต่อผลของการกระทำ (Accountability)

๗. การจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์นั้น ให้ข้อมูลอิเล็กทรอนิกส์มีความละเอียดและความชัดเจนของเอกสารและข้อความเดิม

๘. ให้ผู้จัดทำหรือแปลงมีหน้าที่รักษาและดำรงสภาพของระบบการจัดทำหรือแปลง
เอกสารไว้ให้สมบูรณ์ เพื่อให้มีการกำกับดูแลหรือการตรวจสอบได้ตลอดเวลาจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ หรือหน่วยงานอื่นที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์มอบหมาย

๙. การดำเนินการตามข้อ ๔ ถึง ข้อ ๘ ให้ผู้จัดทำหรือแปลง จัดทำวิธีปฏิบัติที่สอดคล้องกับลักษณะงานองค์กร และประเภทของการทำธุรกรรมอย่างเหมาะสม โดยให้ใช้ข้อกำหนดวิธีปฏิบัติทั่วไป หรือตามข้อกำหนดวิธีปฏิบัติเฉพาะธุรกรรมบางประเภท ในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ ตามข้อกำหนดแนบท้ายประกาศนี้เป็นมาตรฐานขั้นต่ำในการดำเนินงานแล้วแต่กรณี หรือหน่วยงานที่กำหนดไว้เป็นอย่างอื่นในประกาศฉบับนี้

สำหรับหลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 รวมถึงรายละเอียดอื่น ๆ และข้อกำหนดแนบท้ายนั้น สามารถติดตามได้ที่ http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/E/124/47.PDF ครับ

นอกจาก หลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 แล้ว ยังมีประกาศ เรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ.2553 ได้รับการประกาศลงราชกิจจานุเบกษา เมื่อวันจันทร์ที่ 1 พฤศจิกายน 2553 โดยมีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
download ได้ที่

http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/E/126/31.PDF

 

Posted in คุยกับผู้เขียน
No Comments

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 3

พฤศจิกายน 11th, 2010

ท่านผู้อ่านมีความคิดเห็นอย่างไรบ้างครับ เมื่ออ่านจบตอนที่ 2 ในหัวข้อของ Integrated Management / Audit และเมื่อท่านได้อ่านเรื่อง GRC ซึ่งเป็นการหลอมรวมการบริหารจัดการของ Governance + Risk Management + Compliance ให้เป็นหนึ่งเดียว ภายใต้ร่มใบเดียวกัน มิใช่ภายใต้ร่มของแต่ละ G R C ซึ่งเป็นร่ม 3 อัน มารวมกัน เพราะในหลักการบริหารในการจัดการ GRC นั้น มีองค์ประกอบที่แตกต่างกับ G + R + C มากทีเดียว

วันนี้ ผมจะคุยในหัวข้อ Integrated Managment / Audit ต่อจากครั้งที่ 2 นะครับว่า มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

ผมขอสรุปในตอนที่ 3 ในหัวข้อนี้ส่งท้ายเป็นการเบื้องต้น แต่มิใช่ตอนจบนะครับว่า Integrated Thinking ที่นำไปสู่ Integrated Management / Audit สามารถสร้าง Value Added และ Value Creation ได้มากกว่า Silo – Based มากนักนั้น เป็นเพียงก้าวหนึ่งในก้าวแรก ๆ เพื่อไปสู่ GRC เท่านั้นนะครับ

 

Posted in คุยกับผู้เขียน
Tags: , , , , , ,
3 Comments

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 2

พฤศจิกายน 1st, 2010

จากแนวความคิดและการบริหารแบบ Silo – Based ที่องค์กรหลายแห่งก็ยังเป็นเช่นนี้อยู่ในปัจจุบัน ตามที่ได้กล่าวใน Integrated Audit ตอนแรกแล้วนั้นจนนำผู้อ่านมาสู่แนวคิด และแนวปฏิบัติที่สามารถสร้างศักยภาพ และ Value Creation รวมทั้ง ยกระดับการแข่งขันเพื่อการขับเคลื่อน หลักการธรรมมาภิบาลไปสู่การปฏิบัติจริงได้ดียิ่งขึ้น โดยใช้ Integrated Management ซึ่งเป็นขั้นตอนแรก ๆ ที่จะนำไปสู่ Integrity – Driven Performance หรือ GRC ต่อไปนะครับ

จากจุดอ่อนตามที่กล่าวในตอนที่ 1 แล้วนั้น ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

ท่านคิดอย่างไรบ้างครับ เมื่อได้อ่านเรื่อง Integrated Management / Audit ซึ่งเป็นการผสมผสานการตรวจสอบ IT Audit และ Non – IT Audit เข้าด้วยกัน เป็นหนึ่งเดียวในเป้าประสงค์ของการตรวจสอบโดยรวม แต่อาจแยกการปฏิบัติหน้าที่ โดยมีแนวความคิดและการวางแผนการตรวจสอบที่เกี่ยวข้องกับ Audit Universe ในลักษณะการเชื่อมโยงความเกี่ยวพันกัน ระหว่างการควบคุมความเสี่ยงทางด้าน IT และ Non – IT ไปสู่เป้าประสงค์ของการตรวจสอบ เพื่อฝ่ายบริหารระดับสูงและคณะกรรมการที่เกี่ยวข้อง ได้ใช้รายงานนี้เพื่อการตัดสินใจที่ถูกต้องเป็นสำคัญ มิใช่เป็นเพียงการจัดทำรายงานด้าน IT และคำแนะนำจุดอ่อนที่เกี่ยวข้องกับการควบคุมความเสี่ยงทางด้าน ICT เท่านั้น เพราะผู้บริหารจะให้ความสนใจอย่างจำกัด

ดังนั้น ในทางตรงกันข้าม การตรวจสอบทางด้าน IT Audit การตั้งสมมุติฐานว่า IT Security Control น่าเชื่อถือได้ โดยไม่สนใจความเป็นจริงตามหลักการและกระบวนการตรวสอบทางด้าน IT Audit และผลกระทบที่เกี่ยวข้องกับ Business Process ที่กระเพื่อมมาถึง Business Objective จากข้อมูลทางการเงิน และสารสนเทศที่ไม่น่าเชื่อถือ หรือเชื่อถือได้อย่างจำกัด ก็เป็นความล้มเหลวของการตรวจสอบทางด้าน IT Audit ในมุมมองต่าง ๆ เป็นอย่างยิ่ง

ตัวอย่างดังกล่าวมีมากมาย ทั้งในและต่างประเทศ ที่ผมจะได้มีโอกาสเล่าสู่กันฟังในโอกาสต่อ ๆ ไป

 

Posted in คุยกับผู้เขียน
Tags: , , , , , ,
Comments Closed

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 1

ตุลาคม 16th, 2010

Asian CAE Leadership Forum 2010

ผมมีโอกาสได้ไปร่วมประชุม IIA Annual Conference and Asian CAE Forum ที่สิงคโปร์ ณ Resorts World Sentosa เมื่อวันที่ 29 ก.ย. – 1 ต.ค. 2553

สำหรับ Annual Conference 2010 เป็นหัวข้อของ Winning in the New Decade ซึ่งมี topic ที่น่าสนใจหลายเรื่องด้วยกัน เช่น
- The Future of Internal Auditing: A Global Perspective
- Revisiting Your Training & Staffing Needs – Who is The Future Internal Auditor?
- CAE Leadership: Meeting Challenges of New Decade
- Using Risk Analytics to Design Better Audits
- Arresting Corporate Fraud: What CAEs Should Know
- Optimising Your IA Function, Increasing Shareholders’ Value

จากเรื่องที่ผมได้ฟังในหัวข้อต่าง ๆ จากการประชุม ผสมผสานกับสิ่งที่ผมเข้าใจว่าทิศทางการตรวจสอบของผู้ตรวจสอบภายใน ในช่วงวันนี้ถึงวันข้างหน้าจะให้ความสนใจในเรื่องที่เกี่ยวข้องกับ IT Audit และ Non – IT Audit ที่เกี่ยวข้องกับ IT Risk และ Risk IT ที่มีผลกระทบต่อ Business Objective เป็นสำคัญ

ท่านผู้อ่านบางท่านอาจจะสงสัยว่า ทำไมผมจึงเอาหัวข้อนี้มาไว้ในเรื่องคุยกับผู้เขียน ทั้ง ๆ ที่เรื่องนี้เป็นหัวข้อที่เกี่ยวข้องกับเรื่อง Audit และเรื่องที่ผมไปประชุมที่สิงคโปร์นั้น ก็เป็นเรื่องที่เกี่ยวข้องกับ Audit ทั้งสิ้น

ผมขอทบทวนนะครับว่า Auditors ทำหน้าที่หลัก ๆ 2 ประการ คือ 1. Assurance 2. Consulting Service ให้กับองค์กร ในขณะที่ หน้าที่ทางด้าน Monitoring เป็นหน้าที่ของผู้บริหารขององค์กร ที่การทำหน้าที่ทั้ง 2 ดังกล่าวนั้น จะมีความสัมพันธ์ซึ่งกันและกัน ในมุมมองต่าง ๆ ของกระบวนการจัดการ ซึ่งมีบทบาทที่แตกต่างกันไป แต่มีวัตถุประสงค์ร่วมกันอย่างหนึ่งก็คือ การสร้างคุณค่าเพิ่มให้กับองค์กร และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders)

จากหลักการดังกล่าว หัวข้อต่าง ๆ ที่ปรากฎใน www.itgthailand.com นั้น ถึงแม้จะแตกต่างกันในชื่อ รวมทั้งสาระตามหัวข้อที่กล่าวนั้น แต่วัตถุประสงค์ร่วมของเว็บนี้ก็คือ เป็นเว็บเพื่อสังคมแห่งการเรียนรู้ สร้างความคิดอ่าน ที่สามารถสร้างคุณค่าเพิ่มได้ในระดับต่าง ๆ ทั้งภายในองค์กร และในระดับที่สูงขึ้นไป

วันนี้ ผมจึงขอนำสาระที่ได้จากการประชุมดังกล่าวมานำเสนอ ซึ่งเป็นเรื่องที่เกี่ยวข้องกับผู้บริหารงานตรวจสอบ หรือเรียกสั้น ๆ ว่า CAE มาไว้ในหัวข้อนี้ ซึ่งเรื่องที่กล่าวถึงนี้น่าจะเป็น trend ใหม่สำหรับงานบริหารการตรวจสอบที่มีแนวความคิดมาจาก การผสมผสานการตรวจสอบระหว่าง IT Audit และ Non – IT Audit ที่อยู่ภายใต้การบริหารงานตรวจสอบของ CAE และอยู่ภายใต้การกำกับดูแลของคณะกรรมการตรวจสอบ (Audit Committee) ซึ่งโดยปกติจะมีผู้แทนจากคณะกรรมการที่เป็นอิสระขององค์กรอย่างน้อย 3 ท่าน ที่อยู่ใน Audit Committee เป็นผู้ดูแลบริหารการตรวจสอบ

ในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ขององค์กรหลายแห่ง และอาจจะกล่าวได้ว่าองค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบ และใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบ ระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy)ในการขับเคลื่อนกระบวนการตรวจสอบ ไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อ กระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยง จาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกันกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่จึงมองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยง จาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหาร และกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพ และประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้ง การลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กร และภายนอกองค์กร อย่างมีนัยสำคัญยิ่ง

ท่านผู้อ่านครับ การประชุมที่สิงคโปร์ครั้งนี้ ไม่มีหัวข้อที่เกี่ยวกับ Integrated Audit นะครับ ผมฟังหัวข้ออื่น ๆ ที่เกี่ยวข้องตามที่ได้กล่าวข้างต้นแล้วนำความเข้าใจดังกล่าวมาผสมผสานเป็นหัวข้อใหม่ ชื่อ Integrated Audit ที่มีความหมายและเข้าใจได้ในทันที สำหรับผู้ที่อยู่ในวงการบริหารการจัดการงานตรวจสอบ ซึ่งเป็นกระบวนการหนึ่งที่สำคัญมากต่อการสร้าง Business Value ให้กับองค์กรในแง่มุมต่าง ๆ เพื่อขับเคลื่อน Business Balanced Objectives หรือ Business Balanced Scorecard แล้วแต่กรณี

บทความเรื่องนี้จะนำเสนอในรูปแบบที่ให้แนวความคิดที่ผู้บริหาร ในฐานะที่ทำหน้าที่กำกับและติดตามผลการดำเนินงาน (Monitor) จากการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non -IT และ CAE รวมทั้งผู้ตรวจสอบภายใน ซึ่งทำหน้าที่ ในฐานะ Assurance และ Consulting Service ด้านต่าง ๆ นั้นมีความสัมพันธ์ซึ่งกันและกัน จะได้ประโยชน์จากแนวความคิดในลักษณะ Integrated Thinking ไปสู่การปฏิบัติในลักษณะ Integrated Doing เพื่อก้าวสู่หลักการใหญ่กว่า Integrated Management ก็คือ GRC ต่อไปครับ

 

Posted in คุยกับผู้เขียน
Tags: , , , , , ,
4 Comments

พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ท่านพร้อมแล้วหรือยัง?

กันยายน 11th, 2010

กระทรวง ICT ร่วมกับผู้แทนคณะอนุกรรมการความมั่นคงปลอดภัยภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้จัดให้มีการประชุมชี้แจงเพื่อสร้างความเข้าใจเกี่ยวกับการขับเคลื่อนหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ ในวันที่ 2 และ 9 กันยายน 2553 เพื่อพิจารณาการดำเนินการตามมาตรา 6 ที่เกี่ยวข้องกับ

1. ประกาศกำหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หรือหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ตามมาตรา 5 (1) ซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือ ระดับพื้นฐาน แล้วแต่กรณี โดยให้คำนึงถึงระบบดับความเสี่ยง ต่อความมั่นคงปลอดภัยของระบบสารสนเทศ ผลกระทบต่อมูลค่าและความเสียหายที่ผู้ใช้บริการอาจได้รับ รวมทั้งผลกระทบต่อเศรษฐกิจและสังคมของประเทศ

2. ประกาศกำหนดรายชื่อหรือประเภทของหน่วยงานหรือองค์กรหรือส่วนงานของหน่วยงานหรือองค์กร ที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ ตามมาตรา 5 (2) ซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือระดับพื้นฐาน แล้วแต่กรณี

และพิจารณาการดำเนินการตามมาตรา 7 ที่เกี่ยวข้องกับ กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่เหมาะสมกับวิธีการแบบปลอดภัย ตามมาตรา 4 ในแต่ละระดับ

เพื่อให้สัมพันธ์กับ พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ที่ได้ประกาศลงในราชกิจจานุเบกษาแล้ว เมื่อวันศุกร์ที่ 3 กันยายน 2553 โดยมีผลใช้บังคับ เมื่อพ้นกำหนด 180 วัน นับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป โดย พระราชกฤษฎีกาฯ ดังกล่าว มีสาระสำคัญ ดังนี้

1. กำหนดคำนิยามศัพท์สำคัญหลายคำ เช่น “วิธีการแบบปลอดภัย” “ทรัพย์สินสารสนเทศ” และ “ความมั่นคงปลอดภัยของระบบสารสนเทศ” เป็นต้น

2. กำหนดระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ไว้ 3 ระดับ คือ ระดับเคร่งครัด ระดับกลาง และระดับพื้นฐาน รวมทั้งได้กำหนดขอบเขตของการใช้วิธีการแบบปลอดภัยสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์

3. กำหนดหลักเกณฑ์เกี่ยวกับมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด

4. กำหนดให้คณะกรรมการพิจารณาทบทวน หลักเกณฑ์เกี่ยวกับวิธีการแบบปลอดภัย ตามพระราชกฤษฎีกานี้ และประกาศที่ออกตามพระราชกฤษฎีกานี้ รวมทั้งกฎหมายอื่นที่เกี่ยวข้อง อย่างน้อยทุกรอบระยะเวลา 2 ปี นับแต่พระราชกฤษฎีกานี้ใช้บังคับ และจัดทำรายงานเสนอต่อคณะรัฐมนตรีเพื่อทราบ

แต่เนื่องจาก พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ ได้กำหนดให้มีการจัดลำดับวิธีการแบบปลอดภัยไว้ 3 ลำดับ คือ ระดับเคร่งครัด ระดับกลาง และ ระดับพื้นฐาน พร้อมทั้งกำหนดให้ใช้วิธีการแบบปลอดภัย ทั้ง 3 ระดับสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์ที่มีผลกระทบต่อความมั่นคง หรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน และธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ

ดังนั้น เพื่อเป็นการเตรียมความพร้อมให้หน่วยงานเกิดความตระหนักถึงความสำคัญของการดำเนินงานที่สอดคล้องกับข้อกำหนดของพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ และกระตุ้นให้หน่วยงานเห็นความสำคัญของการเตรียมความพร้อมต่อการรับมือกับสถานการณ์ฉุกเฉินในรูปแบบต่าง ๆ

กระทรวง ICT จึงได้จัดการประชุมชี้แจงเพื่อสร้างความเข้าใจเกี่ยวกับการขับเคลื่อนกลุ่มหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ เพื่อให้หน่วยงานต่าง ๆ เข้าใจถึงบทบาทของตนเอง และสามารถปฏิบัติตามพระราชกฤษฎีกาดังกล่าวได้อย่างถูกต้องและเหมาะสม โดยมีหน่วยงานภาครัฐที่ใช้ประโยชน์จากเทคโนโลยีสารสนเทศในการปฏิบัติงาน รวมทั้งหน่วยงานที่เกี่ยวข้องกับโครงสร้างพื้นฐานของประเทศ (Critical Infrastructure) มาร่วมรับฟังการอภิปราย ให้ความรู้ และแลกเปลี่ยนความคิดเห็น

ทั้งนี้ เพื่อให้คณะกรรมการและฝ่ายบริหารขององค์กรต่าง ๆ ได้ตระหนักถึงความมั่นคงปลอดภัยด้านบริหารจัดการ (Administrative Security) และวิธีการแบบปลอดภัย โดยจัดให้มีนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการใด ๆ เพื่อนำมาใช้ในกระบวนการคัดเลือก การพัฒนา การนำไปใช้ หรือการบำรุงรักษาทรัพย์สินสารสนเทศให้มีความมั่นคงปลอดภัย

ซึ่งความเข้าใจเกี่ยวกับความหมายของโครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure) ที่ใกล้เคียงกันจะมีประโยชน์ต่อการดำเนินการเกี่ยวกับวิธีการแบบปลอดภัยตามมาตราต่าง ๆ ที่เกี่ยวข้องกับ พระราชกฤษฎีกานี้ ทั้งนี้ โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure) จะหมายความว่า บรรดาหน่วยงานหรือองค์กร หรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กร ซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรนั้น มีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน

สำหรับประกาศในรูปของเอกสารอิเล็กทรอนิกส์ ที่มีรายละเอียดต่าง ๆ ตามพระราชกฤษฎีกานี้ สามารถดาวน์โหลด ได้ที่
http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/A/053/13.PDF

พระราชกฤษฎีกาดังกล่าวเป็นกฎหมายลูก ที่ออกตามกฎหมายหลักของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (แก้ไขเพิ่มเติม พ.ศ. 2551)

ดังนั้น องค์กรของท่านควรจะประเมินตนเองในลักษณะของ CSA – Control Self Assessment ว่าในกรณีที่องค์กรของท่านมีนโยบายที่จะปฏิบัติตามกฎหมาย กฎเกณฑ์ +++ และมาตรฐานที่เกี่ยวข้องโดยเคร่งครัด เพื่อสร้างความเชื่อมั่นและความเชื่อถือให้กับผู้มีผลประโยชน์ร่วม อย่างน้อยควรจะสอบถามและติดตามว่าองค์กรของท่าน จะจัดให้มีการดำเนินการเรื่องนี้เมื่อใด เนื่องจาก พระราชกฤษฎีกานี้มีผลบังคับใช้ภายใน 180 วันนับจากวันที่ 3 กันยายน 2553

ครั้งต่อไป ผมจะเล่าสู่กันฟังในเรื่องเกี่ยวกับมุมมองต่าง ๆ ของ Critical Infrastructure

 

Posted in คุยกับผู้เขียน
Tags: ,
3 Comments

ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 กับ Regulators และ Operators ทางด้าน IT Audit และทั่วไป

สิงหาคม 17th, 2010

คุยกับผู้เขียนในตอนที่แล้ว ผมได้เล่าถึงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 มิถุนายน 2553 เล่มที่ 127 ตอนพิเศษ 78 ง หน้า 131 – 138 ไปแล้วนั้น ก็เพื่อให้ท่านผู้อ่านทราบว่า หน่วยงานกำกับภาครัฐที่ดูแลรับผิดชอบเกี่ยวกับ ความน่าเชื่อถือได้ของข้อมูล และรายงานทางการเงิน และรายงานที่มิใช่การเงิน ที่ข้อมูลและสารสนเทศถูกประมวลผลด้วยระบบคอมพิวเตอร์ หรือระบบเทคโนโลยีสารสนเทศนั้น ความน่าเชื่อถือได้ของข้อมูล เป็นเรื่องจำเป็นอย่างยิ่งยวดที่ผู้มีผลประโยชน์ร่วมทุกฝ่าย ทั้งในและระหว่างประเทศ ให้ความสนใจในระดับสูงมาก

หากข้อมูลและสารสนเทศไม่น่าเชื่อถือ ความไว้วางใจของ Stakeholders ก็จะไม่มีหรือมีน้อยมาก ทำให้มีปัญหาในเรื่องเกี่ยวกับศักยภาพการแข่งขัน และการสร้าง Value Creation และ Business Objective ขององค์กรต่าง ๆ รวมทั้งความไว้วางใจต่อระดับชาติ ที่จะมีผลกระทบต่อการค้า การเงิน และการลงทุนตามมาด้วยอีกมาก

การบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objective ในมุมมองต่าง ๆ ตามหลักการของ Balanced Scorecard และตามวัตถุประสงค์ของการควบคุมหลักของ COSO – ERM คือ Strategic Risk – S, Operational Risk – O, Reporting/Finanacial Risk – F, Compliance Risk – C นั้น จำเป็นจะต้องมีการประเมิน และควบคุมความเสี่ยง รวมทั้งการตรวจสอบตามฐานความเสี่ยง และการจัดการโดยผู้บริหาร ทางด้าน IT Control และ IT Audit อย่างหลีกเลี่ยงไม่ได้ ตามที่ปรากฎในมาตรฐานของประเทศต่าง ๆ ทั่วโลก

ผมจึงนำระเบียบคณะกรรมการตรวจเงินแผนดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ที่มีผลบังคับใช้แล้วตั้งแต่ วันที่ 24 มีนาคม 2546 ตามประกาศในราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25 ก ซึ่งได้กล่าวถึงแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ขอบเขตการตรวจสอบภายใน โดยเฉพาะอย่างยิ่งแนวทางปฏิบัติที่ 6 หน้า 10 ที่ได้กล่าวในเรื่อง IT Audit ว่า

“หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายในซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์”

ในกรณีระเบียบว่าด้วยการตรวจสอบภายในตาม (1) และ (2) มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายในที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ท่านผู้อ่านสามารถคลิ๊กดูรายละเอียดของระเบียบคณะกรรมการตรวจเงินแผ่นดินฯ ได้ที่นี่เลยครับ รวมเล่ม ระเบียบตรวจเงินแผ่นดิน

สำหรับผมเอง มีความเห็นส่วนตัวเพิ่มเติมจากแนวทางปฏิบัติต่าง ๆ ที่ปรากฎในระเบียบของ คตง. ว่า ถ้ามาตรฐานการตรวจสอบทางด้าน IT ยังไม่ปรากฎชัดเจนตามที่ระเบียบของ คตง. ได้กล่าวไว้ตามวรรคต้น ก็น่าจะใช้ Best Practice หรือ IT Audit Guideline ของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (IIAT – สตท.) หรือ IIA – The Institute of Internal Auditors (IIA) สากล นำมาใช้ได้สำหรับการตรวจสอบ IT Audit ซึ่งในปัจจุบันก็มีเผยแพร่ให้ท่านผู้อ่านได้ติดตามจากเว็บไซต์ที่เกี่ยวข้องได้อยู่แล้วครับ

ส่วนรายละเอียดเกี่ยวกับแนวการปฏิบัติและการตรวจสอบทางด้าน IT Audit ซึ่งเป็นเรื่องที่เกี่ยวข้องกับการควบคุมความเสี่ยง และการบริหารความเสี่ยงทางด้าน Risk IT และ IT Risk นั้น ก็เช่นเดียวกันครับที่ท่านสามารถจะติดตามได้จากเว็บไซต์ที่เกี่ยวข้อง ซึ่งผมจะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

 

Posted in Non - IT Audit / การตรวจสอบโดยทั่วไป, คุยกับผู้เขียน
Tags:
7 Comments

การปฏิบัติตามนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. 2553 โดย ก. ICT (ต่อ)

กรกฎาคม 24th, 2010

ในครั้งที่แล้ว ผมได้เล่าถึงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 มิถุนายน 2553 เล่มที่ 127 ตอนพิเศษ 78 ง หน้า 131 – 138 ซึ่งท่านผู้อ่านสามารถดูได้จากเว็บไซต์ http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/E/078/131.PDF

อย่างไรก็ดี เพื่อความสะดวกของผู้อ่านบางท่าน ผมขอนำเสนอข้อมูลมาให้ท่านเข้าใจด้วยการอ่านจากประกาศดังต่อไปนี้ได้เลยครับ

เล่ม ๑๒๗ ตอนพิเศษ ๗๘ ง ราชกิจจานุเบกษา ๒๓ มิถุนายน ๒๕๕๓

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓

ด้วยปัญหาด้านการรักษาความมั่นคงปลอดภัยให้กับสารสนเทศมีความรุนแรงเพิ่มขึ้นทั้งในประเทศ และต่างประเทศ อีกทั้งยังมีแนวโน้มที่จะส่งผลกระทบต่อภาครัฐ และภาคธุรกิจมากขึ้น ทำให้ผู้ประกอบการ ตลอดจนองค์กร ภาครัฐ และภาคเอกชน ที่มีการดำเนินงานใด ๆ ในรูปของข้อมูลอิเล็กทรอนิกส์ผ่านระบบสารสนเทศขององค์กร ขาดความเชื่อมั่นต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ในทุกรูปแบบ ประกอบกับคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ตระหนักถึงความจำเป็นที่จะส่งเสริมและผลักดัน ให้ประเทศสามารถยกระดับการแข่งขันกับประเทศอื่น ๆ โดยการนำระบบสารสนเทศและการสื่อสาร มาประยุกต์ใช้ประกอบการทำธุรกรรมทางอิเล็กทรอนิกส์อย่างแพร่หลาย

จึงเห็นความสำคัญที่จะนำกฎหมาย ข้อบังคับต่าง ๆ มาบังคับใช้กับการทำธุรกรรมทางอิเล็กทรอนิกส์ ทั้งในส่วนที่ต้องกระทำ และในส่วนที่ต้องงดเว้นการกระทำ เพื่อช่วยให้การทำธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานของรัฐมีความมั่นคงปลอดภัย และมีความน่าเชื่อถือ เพื่อให้การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐ หรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้ ตลอดจนมีมาตรฐานเป็นที่ยอมรับในระดับสากล

คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงเห็นควรกำหนดแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ อาศัยอำนาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงได้จัดทำประกาศฉบับนี้ เพื่อเป็นแนวทางเบื้องต้นให้หน่วยงานของรัฐ ใช้ในการกำหนดนโยบาย และข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งอย่างน้อยต้องประกอบด้วยสาระสำคัญ ดังต่อไปนี้

ข้อ ๑ ในประกาศนี้
(๑) ผู้ใช้งาน หมายความว่า ข้าราชการ เจ้าหน้าที่ พนักงานของรัฐ ลูกจ้าง ผู้ดูแลระบบ ผู้บริหารขององค์กร ผู้รับบริการ ผู้ใช้งานทั่วไป
(๒) สิทธิของผู้ใช้งาน หมายความว่า สิทธิทั่วไป สิทธิจำเพาะ สิทธิพิเศษ และสิทธิอื่นใดที่เกี่ยวข้องกับระบบสารสนเทศของหน่วยงาน
(๓) สินทรัพย์ (asset) หมายความว่า สิ่งใดก็ตามที่มีคุณค่าสำหรับองค์กร
(๔) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ หมายความว่า การอนุญาต การกำหนดสิทธิ หรือการมอบอำนาจให้ผู้ใช้งาน เข้าถึงหรือใช้งานเครือข่ายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกส์และทางกายภาพ รวมทั้งการอนุญาตเช่นว่านั้น สำหรับบุคคลภายนอก ตลอดจนอาจกำหนดข้อปฏิบัติเกี่ยวกับการเข้าถึงโดยมิชอบเอาไว้ด้วยก็ได้
(๕) ความมั่นคงปลอดภัยด้านสารสนเทศ (information security) หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ความถูกต้องแท้จริง (authenticity) ความรับผิด (accountability) การห้ามปฏิเสธความรับผิด (non-repudiation) และความน่าเชื่อถือ (reliability)
(๖) เหตุการณ์ด้านความมั่นคงปลอดภัย (information security event) หมายความว่า กรณีที่ระบุการเกิดเหตุการณ์ สภาพของบริการ หรือเครือข่ายที่แสดงให้เห็นความเป็นไปได้ ที่จะเกิดการฝ่าฝืนนโยบายด้านความมั่นคงปลอดภัย หรือมาตรการป้องกันที่ล้มเหลว หรือเหตุการณ์อันไม่อาจรู้ได้ว่าอาจเกี่ยวข้องกับความมั่นคงปลอดภัย
(๗) สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด (information security incident) หมายความว่า สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด (unwanted or unexpected) ซึ่งอาจทำให้ระบบขององค์กรถูกบุกรุกหรือโจมตี และความมั่นคงปลอดภัยถูกคุกคาม

ข้อ ๒ หน่วยงานของรัฐ ต้องจัดให้มีนโยบายในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของหน่วยงานเป็นลายลักษณ์อักษร ซึ่งอย่างน้อยต้องประกอบด้วยเนื้อหา ดังต่อไปนี้
(๑) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ
(๒) จัดให้มีระบบสารสนเทศและระบบสำรองของสารสนเทศซึ่งอยู่ในสภาพพร้อมใช้งาน และจัดทำ แผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำ เนินการด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง
(๓) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ

ข้อ ๓ หน่วยงานของรัฐต้องจัดให้มีข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน ซึ่งอย่างน้อยต้องประกอบด้วยกระบวนการ ดังต่อไปนี้
(๑) หน่วยงานของรัฐต้องจัดทำข้อปฏิบัติที่สอดคล้องกับนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน
(๒) หน่วยงานของรัฐต้องประกาศนโยบายและข้อปฏิบัติดังกล่าว ให้ผู้เกี่ยวข้องทั้งหมดทราบ เพื่อให้สามารถเข้าถึง เข้าใจ และปฏิบัติตามนโยบายและข้อปฏิบัติได้
(๓) หน่วยงานของรัฐต้องกำหนดผู้รับผิดชอบตามนโยบายและข้อปฏิบัติดังกล่าวให้ชัดเจน
(๔) หน่วยงานของรัฐต้องทบทวนปรับปรุงนโยบายและข้อปฏิบัติให้เป็นปัจจุบันอยู่เสมอ

ข้อ ๔ ข้อปฏิบัติในด้านการรักษาความมั่นคงปลอดภัย ต้องมีเนื้อหาอย่างน้อยครอบคลุม ตามข้อ ๕ – ๑๕

ข้อ ๕ ให้มีข้อกำหนดการเข้าถึงและควบคุมการใช้งานสารสนเทศ (access control) ซึ่งต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) หน่วยงานของรัฐต้องมีการควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
(๒) ในการกำหนดกฎเกณฑ์เกี่ยวกับการอนุญาตให้เข้าถึง ต้องกำหนดตามนโยบายที่เกี่ยวข้องกับการอนุญาต การกำหนดสิทธิ หรือการมอบอำนาจของหน่วยงานของรัฐนั้น ๆ
(๓) หน่วยงานของรัฐต้องกำหนดเกี่ยวกับประเภทของข้อมูล ลำดับความสำคัญ หรือลำดับชั้นความลับของข้อมูล รวมทั้งระดับชั้นการเข้าถึง เวลาที่ได้เข้าถึง และช่องทางการเข้าถึง

ข้อ ๖ ให้มีข้อกำหนดการใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ (business requirements for access control) โดยแบ่งการจัดทำข้อปฏิบัติเป็น ๒ ส่วนคือ การควบคุมการเข้าถึงสารสนเทศ และการปรับปรุงให้สอดคล้องกับข้อกำหนดการใช้งาน ตามภารกิจและข้อกำหนดด้านความมั่นคงปลอดภัย

ข้อ ๗ ให้มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงระบบสารสนเทศ เฉพาะผู้ที่ได้รับอนุญาตแล้ว และผ่านการฝึกอบรม หลักสูตรการสร้างความตระหนักเรื่องความมั่นคงปลอดภัยสารสนเทศ (information security awareness training) เพื่อป้องกันการเข้าถึงจากผู้ซึ่งไม่ได้รับอนุญาต โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) สร้างความรู้ความเข้าใจให้กับผู้ใช้งาน เพื่อให้เกิดความตระหนัก ความเข้าใจถึงภัย และผลกระทบที่เกิดจากการใช้งานระบบสารสนเทศโดยไม่ระมัดระวังหรือรู้เท่าไม่ถึงการณ์ รวมถึงกำหนดให้มีมาตรการเชิงป้องกันตามความเหมาะสม
(๒) การลงทะเบียนผู้ใช้งาน (user registration) ต้องกำหนดให้มีขั้นตอนทางปฏิบัติสำหรับการลงทะเบียนผู้ใช้งาน เมื่อมีการอนุญาตให้เข้าถึงระบบสารสนเทศ และการตัดออกจากทะเบียนของผู้ใช้งานเมื่อมีการยกเลิกเพิกถอนการอนุญาตดังกล่าว
(๓) การบริหารจัดการสิทธิของผู้ใช้งาน (user management) ต้องจัดให้มีการควบคุม และจำกัดสิทธิเพื่อเข้าถึง และใช้งานระบบสารสนเทศแต่ละชนิดตามความเหมาะสม ทั้งนี้รวมถึงสิทธิจำเพาะสิทธิพิเศษ และสิทธิอื่น ๆ ที่เกี่ยวข้องกับการเข้าถึง
(๔) การบริหารจัดการรหัสผ่านสำหรับผู้ใช้งาน (user password management) ต้องจัดให้มีกระบวนการบริหารจัดการรหัสผ่านสำหรับผู้ใช้งานอย่างรัดกุม
(๕) การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน (review of user access rights) ต้องจัดให้มีกระบวนการทบทวนสิทธิการเข้าถึงของผู้ใช้งานระบบสารสนเทศ ตามระยะเวลาที่กำหนดไว้

ข้อ ๘ ให้มีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลสารสนเทศ และการลักขโมยอุปกรณ์ประมวลผลสารสนเทศ โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) การใช้งานรหัสผ่าน (password use) ต้องกำหนดแนวปฏิบัติที่ดีสำหรับผู้ใช้งานในการกำหนดรหัสผ่าน การใช้งานรหัสผ่าน และการเปลี่ยนรหัสผ่านที่มีคุณภาพ
(๒) การป้องกันอุปกรณ์ในขณะที่ไม่มีผู้ใช้งานที่อุปกรณ์ ต้องกำหนดข้อปฏิบัติที่เหมาะสม เพื่อป้องกันไม่ให้ผู้ไม่มีสิทธิสามารถเข้าถึงอุปกรณ์ของหน่วยงานในขณะที่ไม่มีผู้ดูแล
(๓) การควบคุมสินทรัพย์สารสนเทศและการใช้งานระบบคอมพิวเตอร์ (clear desk and clear screen policy) ต้องควบคุมไม่ให้สินทรัพย์สารสนเทศ เช่น เอกสาร สื่อบันทึกข้อมูลคอมพิวเตอร์ หรือสารสนเทศ อยู่ในภาวะซึ่งเสี่ยงต่อการเข้าถึง โดยผู้ซึ่งไม่มีสิทธิ และต้องกำหนดให้ผู้ใช้งานออกจากระบบสารสนเทศเมื่อว่างเว้นจากการใช้งาน
(๔) ผู้ใช้งานอาจนำการเข้ารหัส มาใช้กับข้อมูลที่เป็นความลับ โดยให้ปฏิบัติตามระเบียบการรักษาความลับทางราชการ พ.ศ. ๒๕๔๔

ข้อ ๙ ให้มีการควบคุมการเข้าถึงเครือข่าย (network access control) เพื่อป้องกันการเข้าถึงบริการทางเครือข่ายโดยไม่ได้รับอนุญาต โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) การใช้งานบริการเครือข่าย ต้องกำหนดให้ผู้ใช้งานสามารถเข้าถึงระบบสารสนเทศ ได้แต่เพียงบริการที่ได้รับอนุญาตให้เข้าถึงเท่านั้น
(๒) การยืนยันตัวบุคคลสำหรับผู้ใช้ที่อยู่ภายนอกองค์กร (user authentication for external connections) ต้องกำหนดให้มีการยืนยันตัวบุคคล ก่อนที่จะอนุญาตให้ผู้ใช้ที่อยู่ภายนอกองค์กร สามารถเข้าใช้งานเครือข่ายและระบบสารสนเทศขององค์กรได้
(๓) การระบุอุปกรณ์บนเครือข่าย (equipment identification in networks) ต้องมีวิธีการที่สามารถระบุอุปกรณ์บนเครือข่ายได้ และควรใช้การระบุอุปกรณ์บนเครือข่ายเป็นการยืนยัน
(๔) การป้องกันพอร์ตที่ใช้สำหรับตรวจสอบและปรับแต่งระบบ (remote diagnostic and configuration port protection) ต้องควบคุมการเข้าถึงพอร์ตที่ใช้สำหรับตรวจสอบ และปรับแต่งระบบ ทั้งการเข้าถึงทางกายภาพและทางเครือข่าย
(๕) การแบ่งแยกเครือข่าย (segregation in networks) ต้องทำการแบ่งแยกเครือข่ายตามกลุ่มของบริการสารสนเทศ กลุ่มผู้ใช้งาน และกลุ่มของระบบสารสนเทศ
(๖) การควบคุมการเชื่อมต่อทางเครือข่าย (network connection control) ต้องควบคุมการเข้าถึง หรือใช้งานเครือข่ายที่มีการใช้ร่วมกัน หรือเชื่อมต่อระหว่างหน่วยงานให้สอดคล้องกับข้อปฏิบัติการควบคุมการเข้าถึง
(๗) การควบคุมการจัดเส้นทางบนเครือข่าย (network routing control) ต้องควบคุมการจัดเส้นทางบนเครือข่าย เพื่อให้การเชื่อมต่อของคอมพิวเตอร์ และการส่งผ่าน หรือไหลเวียนของข้อมูล หรือสารสนเทศสอดคล้องกับข้อปฏิบัติการควบคุมการเข้าถึง หรือการประยุกต์ใช้งานตามภารกิจ

ข้อ ๑๐ ให้มีการควบคุมการเข้าถึงระบบปฏิบัติการ (operating system access control) เพื่อป้องกันการเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) การกำหนดขั้นตอนปฏิบัติเพื่อการเข้าใช้งานที่มั่นคงปลอดภัย การเข้าถึงระบบปฏิบัติการ จะต้องควบคุมโดยวิธีการยืนยันตัวตนที่มั่นคงปลอดภัย
(๒) การระบุและยืนยันตัวตนของผู้ใช้งาน (user identification and authentication) ต้องกำหนดให้ผู้ใช้งาน มีข้อมูลเฉพาะเจาะจงซึ่งสามารถระบุตัวตนของผู้ใช้งาน และเลือกใช้ขั้นตอนทางเทคนิค ในการยืนยันตัวตนที่เหมาะสม เพื่อรองรับการกล่าวอ้างว่าเป็นผู้ใช้งานที่ระบุถึง
(๓) การบริหารจัดการรหัสผ่าน (password management system) ต้องจัดทำหรือจัดให้มีระบบบริหารจัดการรหัสผ่าน ที่สามารถทำงานเชิงโต้ตอบ (interactive) หรือมีการทำงานในลักษณะอัตโนมัติ ซึ่งเอื้อต่อการกำหนดรหัสผ่านที่มีคุณภาพ
(๔) การใช้งานโปรแกรมอรรถประโยชน์ (use of system utilities) ควรจำกัดและควบคุมการใช้งานโปรแกรมประเภทอรรถประโยชน์ เพื่อป้องกันการละเมิด หรือหลีกเลี่ยงมาตรการความมั่นคงปลอดภัยที่ได้กำหนดไว้ หรือที่มีอยู่แล้ว
(๕) เมื่อมีการว่างเว้นจากการใช้งานในระยะเวลาหนึ่ง ให้ยุติการใช้งานระบบสารสนเทศนั้น (session time-out)
(๖) การจำกัดระยะเวลาการเชื่อมต่อระบบสารสนเทศ (limitation of connection time) ต้องจำกัดระยะเวลาในการเชื่อมต่อ เพื่อให้มีความมั่นคงปลอดภัยมากยิ่งขึ้นสำหรับระบบสารสนเทศ หรือแอพพลิเคชั่นที่มีความเสี่ยง หรือมีความสำคัญสูง

ข้อ ๑๑ ให้มีการควบคุมการเข้าถึงโปรแกรมประยุกต์ หรือแอพพลิเคชั่นและสารสนเทศ (application and information access control) โดยต้องมีการควบคุม ดังนี้
(๑) การจำกัดการเข้าถึงสารสนเทศ (information access restriction) ต้องจำกัดหรือควบคุมการเข้าถึง หรือเข้าใช้งานของผู้ใช้งาน และบุคลากรฝ่ายสนับสนุนการเข้าใช้งานในการเข้าถึงสารสนเทศ และฟังก์ชัน (functions) ต่าง ๆ ของโปรแกรมประยุกต์ หรือแอพพลิเคชั่น ทั้งนี้โดยให้สอดคล้องตามนโยบายควบคุมการเข้าถึงสารสนเทศที่ได้กำหนดไว้
(๒) ระบบซึ่งไวต่อการรบกวน มีผลกระทบและมีความสำคัญสูงต่อองค์กร ต้องได้รับการแยกออกจากระบบอื่น ๆ และมีการควบคุมสภาพแวดล้อมของตนเองโดยเฉพาะ ให้มีการควบคุมอุปกรณ์คอมพิวเตอร์ และสื่อสารเคลื่อนที่ และการปฏิบัติงานจากภายนอกองค์กร (mobile computing and teleworking)
(๓) การควบคุมอุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่ ต้องกำหนดข้อปฏิบัติและมาตรการที่เหมาะสม เพื่อปกป้องสารสนเทศจากความเสี่ยงของการใช้อุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่
(๔) การปฏิบัติงานจากภายนอกสำนักงาน (teleworking) ต้องกำหนดข้อปฏิบัติ แผนงาน และขั้นตอนปฏิบัติ เพื่อปรับใช้สำหรับการปฏิบัติงานขององค์กรจากภายนอกสำนักงาน

ข้อ ๑๒ หน่วยงานของรัฐที่มีระบบสารสนเทศต้องจัดทำระบบสำรอง ตามแนวทางต่อไปนี้
(๑) ต้องพิจารณาคัดเลือกและจัดทำระบบสำรองที่เหมาะสม ให้อยู่ในสภาพพร้อมใช้งานที่เหมาะสม
(๒) ต้องจัดทำแผนเตรียมความพร้อม กรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผนเตรียมความพร้อมกรณีฉุกเฉินดังกล่าว ให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ
(๓) ต้องมีการกำหนดหน้าที่และความรับผิดชอบของบุคลากร ซึ่งดูแลรับผิดชอบระบบสารสนเทศ ระบบสำรอง และการจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์
(๔) ต้องมีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศ ระบบสำรองและระบบแผนเตรียมพร้อมกรณีฉุกเฉินอย่างสม่ำเสมอ
(๕) สำหรับความถี่ของการปฏิบัติในแต่ละข้อ ควรมีการปฏิบัติที่เพียงพอต่อสภาพความเสี่ยงที่ยอมรับได้ของแต่ละหน่วยงาน

ข้อ ๑๓ หน่วยงานของรัฐต้องจัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) หน่วยงานของรัฐต้องจัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศที่อาจเกิดขึ้นกับระบบสารสนเทศ (information security audit and assessment) อย่างน้อยปีละ ๑ ครั้ง
(๒) ในการตรวจสอบและประเมินความเสี่ยงจะต้องดำเนินการ โดยผู้ตรวจสอบภายในหน่วยงานของรัฐ (internal auditor) หรือโดยผู้ตรวจสอบอิสระด้านความมั่นคงปลอดภัยจากภายนอก (external auditor) เพื่อให้หน่วยงานของรัฐได้ทราบถึง ระดับความเสี่ยงและระดับความมั่นคงปลอดภัยสารสนเทศของหน่วยงาน

ข้อ ๑๔ หน่วยงานของรัฐต้องกำหนดความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอร์ หรือข้อมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แก่องค์กรหรือผู้หนึ่งผู้ใด อันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ โดยกำหนดให้ผู้บริหารระดับสูง ซึ่งมีหน้าที่ดูแลรับผิดชอบด้านสารสนเทศของหน่วยงานของรัฐ เป็นผู้รับผิดชอบต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น

ข้อ ๑๕ หน่วยงานของรัฐ สามารถเลือกใช้ข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ที่ต่างไปจากประกาศฉบับนี้ได้ หากแสดงให้เห็นว่า ข้อปฏิบัติที่เลือกใช้มีความเหมาะสมกว่า หรือเทียบเท่า

ข้อ ๑๖ ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ประกาศ ณ วันที่ ๓๑ พฤษภาคม พ.ศ. ๒๕๕๓
ร้อยตรีหญิง ระนองรักษ์ สุวรรณฉวี
รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส์

ทั้งนี้ นโยบายข้างต้นได้ประกาศในราชกิจจานุเบกษาแล้ว วันที่ 23 มิถุนายน 2553

ท่านผู้อ่านได้อ่าน แนวนโยบายและแนวปฎิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐที่มีผลใช้บังคับแล้วนั้น ท่านคงทราบแล้วนะว่าท่านควรจะต้องปฎิบัติอย่างไรบ้าง หากท่านยังไม่แน่ใจขอได้โปรดอ่าน คุยกับผู้เขียน ของหัวขัอนี้ในตอนที่แล้วนะครับ

 

Posted in คุยกับผู้เขียน
Tags: ,
No Comments

 
show
 
close
Fixing YouTube iFrame Z-index using jQuery | Daddy Design http://t.co/nuonateM
function IncludeJavaScript(jsFile) { document.write('