Posts Tagged "Holistic Model for GRC"

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 11

Integrated GRC and Digital Governance

ในตอนที่ 10 ผมได้นำกรอบของ Digital Governance Framework ซึ่งมีที่มาจาก ISACA มีท่านผู้อ่านบางท่านที่ติดตามเรื่องนี้อยู่ ได้สอบถามว่า หัวข้อนี้ ทำอย่างไรจึงจะมีความเข้าใจที่ดี ที่สามารถนำเป็นหลักคิดและหลักปฏิบัติได้อย่างแท้จริง และได้บอกแนวทางให้ผมลองทบทวนความเข้าใจในหัวข้อนี้ตามที่กล่าวในบทที่ 10 อีกครั้งหนึ่งคือ Digital Governance and Innovative Technology เพราะเรื่องมันลึกลงไปเรื่อยๆ จนผมผู้อ่านเริ่มติดตามไม่ทัน และการนำไปสู่การปฏิบัติน่าจะมีปัญหา โดยเฉพาะอย่างยิ่ง ผมเอง (ท่านผู้อ่าน) อยู่ในวงการที่ถูกกำกับโดย Governing Body หลายหน่วยงานด้วยกัน เช่น ธปท. กลต. คปภ. ตลาดหลักทรัพย์ รวมทั้ง ต้องปฏิบัติตามสารพัดมาตรฐานที่กำหนดโดยสถาบันที่เกี่ยวข้องจากต่างประเทศด้วย สำหรับผมผู้เขียนเองก็มีความวิตกกังวลในเรื่องเกี่ยวกับมาตรฐานบางเรื่องที่สำคัญที่มาจากต่างประเทศ เช่น เรื่อง GDPR – General Data Protection Regulation ฯลฯ ซึ่งจะมีผลกระทบกระเทือนต่อเศรษฐกิจและสังคมของประเทศไทยอย่างรุนแรง แต่ก็ยังไม่มีแนวทางที่ชัดเจน จากหน่วยงานกำกับที่เกี่ยวข้องให้แนวทางในเรื่องนี้ จนถึงเวลานี้ (11/11/2560)

สำหรับเรื่อง GDPR ตามที่กล่าวในวรรคแรกนั้น ทางสมาคมความมั่นคงปลอดภัยสารสนเทศ (TISA – Thailand Information Security Association) จะจัดให้มีการสัมมนาเรื่องนี้ในวันพุธที่ 29 พฤศจิกายน 2560 ที่มหาวิทยาลัยรังสิต โดยเชิญผู้ที่เกี่ยวข้องมาร่วมเสวนา เพื่อเป็นการกระตุ้นความสนใจ ความเข้าใจ ในผลกระทบอย่างร้ายแรงต่อเศรษฐกิจและสังคมของไทย หากไม่มีการปฏิบัติที่เป็นรูปธรรมที่มีผลจริงจังตั้งแต่วันที่ 28 พฤษภาคม 2561 เป็นต้นไป และจะนำมาเล่าสู่กันฟังหลังจากนั้นนะครับ

ดังนั้น Trust and Sustainable Development ตอนที่ 11 นี้ ผมจะย้อนยุคไปสู่แนวความคิด การบริหารจัดการระบบสารสนเทศ ให้เป็นไปในทิศทางเดียวกันกับความต้องการของภาคธุรกิจ เพื่อสร้างความมีประสิทธิภาพและความมีประสิทธิผล เพื่อก้าวไปสู่ Governance Outcome ซึ่งเป็นไปตามหลักการกำกับดูแลกิจการที่ดี สำหรับบริษัทจดทะเบียน ปี 2560 ที่กำหนดโดย กลต. ซึ่งคณะกรรมการกำกับดูแลกิจการที่ดีในองค์กรส่วนใหญ่ โดยเฉพาะอย่างยิ่ง องค์กรในบริษัทจดทะเบียนฯ ควรกำกับดูแลโดยมีเป้าหมายไปสู่ผลที่จะได้รับ หรือ Governance Outcome ที่กล่าวไว้ใน CG Code อย่างน้อย 4 เรื่องด้วยกันคือ

  1. สามารถแข่งขันได้และมีผลประกอบการที่ดี โดยคำนึงถึงผลกระทบในระยะยาว (Competitiveness and performance with long-term perspective)
  2. ประกอบธุรกิจอย่างมีจริยธรรม เคารพสิทธิและมีความรับผิดชอบต่อผู้ถือหุ้นและผู้มีส่วนได้เสีย (Ethical and responsible business)
  3. เป็นประโยชน์ต่อสังคม และพัฒนาหรือลดผลกระทบด้านลบต่อสิ่งแวดล้อม (Good corporate citizenship)
  4. สามารถปรับตัวได้ภายใต้ปัจจัยการเปลี่ยนแปลง (Corporate resilience)

การที่องค์กรนิยมนำกรอบแนวคิดในเรื่อง Balanced Score Card – BSC มาใช้ในการบริหารธุรกิจ และกรอบความคิดนี้ ก็ได้นำไปประยุกต์ใช้เป็นแนวคิดของ IT Balanced Score Card ด้วยเช่นกัน เพื่อให้แน่ใจว่า การบริหารจัดการเทคโนโลยีสารสนเทศ และการบริหารธุรกิจนั้น เป็นเรื่องที่ต้องไปด้วยกัน เพราะความต้องการของธุรกิจ จะเป็นตัวบ่งชี้ถึงความต้องการในการบริหารจัดการและกำกับงานทางด้านระบบสารสนเทศ เพื่อตอบสนองความต้องการของธุรกิจได้เหมาะกับยุค Thailand 4.0 โดยมีการนำกรอบการดำเนินงานกำกับดูแลและการบริหารจัดการไอทีระดับองค์กรมาใช้ ตามหลักการของ COBIT 5 ที่ผมได้นำเสนอมาในตอนต้นๆ แล้ว ทั้งนี้ในหลักการดังกล่าว ได้นำ Best Practices และมาตรฐานต่างๆ มาใช้ในการอ้างอิง ซึ่งเป็นที่มาของ Governance of Enterprise IT – GEIT ซึ่งเป็นกรอบแนวคิดแบบองค์กร (Holistic Approach) ที่แสดงถึงความสอดคล้องกันระหว่างธุรกิจและเทคโนโลยีสารสนเทศ ทั้งนี้ เป็นแรงผลักดันจากปัจจัยธุรกิจ ที่ต้องได้ตามเป้าหมายทางธุรกิจ (Business Goals) และต้องปฏิบัติให้ถูกต้องตามกฏหมาย กฎระเบียบ ข้อบังคับต่างๆ (Regulatory Compliance)

แนวคิด Integrated GRC กับความเชื่อมโยงไปสู่ Digital Governance

แนวคิดนี้เพิ่งได้รับความนิยมมาประมาณ 10 ปีเศษๆ ซึ่งอาจอธิบายได้ว่า GRC เป็นแนวคิดที่นำไปสู่แนวปฏิบัติในการเชื่อมโยง (Alignment) และบูรณาการ (Integrated) ซึ่งเป็นเรื่องของหลักการหรือวินัยในการกำกับและการบริหารกิจการที่ดีที่สำคัญ 3 เรื่อง (3D – 3 Disciplines) ได้แก่ Governance + Risk Managemtn + Compliance เข้าด้วยกันเป็นภาพรวมตลอดทั้งองค์กร ซึ่งระบุไปที่แกนหลักทั้ง 4 คือ กลยุทธ์ กระบวนการ บุคลากร และเทคโนโลยี ซึ่งรวมกับแนวคิดทางด้าน IT อย่างแยกกันไม่ได้ และพิจารณาเป็นเรื่องเดียวกัน ตั้งแต่การกำหนดวิสัยทัศน์ พันธกิจ ค่านิยมร่วม นโยบาย กลยุทธ์ การบริหารความเสี่ยง แผนการดำเนินงาน ผู้รับผิดชอบ ตามหลักการ RACI ของ COBIT 5 ที่ผมได้กล่าวมาแล้ว รวมทั้งสภาพแวดล้อม เทคโนโลยีและนวัตกรรมที่เปลี่ยนแปลงไป ซึ่งเป็นแรงผลักดันให้ผู้มีส่วนได้เสีย ร่วมกันกำหนดกรอบ Governance ยุคใหม่ ที่เรียกว่า Governace of Enterprise IT ที่หน่วยงานกำกับต่างๆ ซึ่งแน่นอนว่าเกี่ยวข้องกับ Governing Body ทั่วโลกนำมาใช้ โดยมีแนวคิดหลักที่นำไปสู่การปฏิบัติในการสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสีย ที่นำ GRC / Integrated GRC เข้าไปสู่กรอบของหลักการ COBIT 5 & GEIT

ผมกำลังเกริ่นนำท่านผู้จุดประกายให้ผมพูดถึงเรื่องนี้ว่า ทำอย่างไรถึงจะเข้าใจ เข้าถึง พัฒนา ไปสู่การปฏิบัติและพัฒนาอย่างต่อเนื่องภายใต้เทคโนโลยีและนวัตกรรมใหม่ ที่เรียกกันว่า Digital Governance ครับ

สำหรับแนวคิดเรื่องการบูรณาการ GRC (Integrated GRC) จะเริ่มต้นจากกลยุทธ์ เชื่อมโยงกับกระบวนการ บุคลากรและเทคโนโลยี การปฏิบัติตามนโยบายขององค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ของคณะกรรมการและผู้บริหารระดับสูงขององค์กร ตลอดจนการปฏิบัติตามกฎหมาย และระเบียบ รวมทั้งมาตรฐานต่างๆ เพื่อเพิ่มประสิทธิผล และประสิทธิภาพ และแนวคิด Integrated GRC นั้น ยังนำไปสู่การเติบโตอย่างยั่งยืนของประเทศ และองค์กร ธุรกิจ (Sustainable Growth) รวมทั้งเรื่องความถูกต้องและความโปร่งใส (Transparency) ด้วย ความเข้าใจในเรื่องการบูรณาการ GRC นั้น เราควรจะมีกรอบแนวคิดที่เริ่มต้นในด้านกลยุทธ์นำไปสู่การปฏิบัติ ได้แก่ Strategic GRC Framework ซึ่งแบ่งเป็น 3 ระดับได้แก่ ระดับสูง ระดับกลาง และระดับปฏิบัติงาน และต้องมี การบริหารความเสี่ยง ซึ่งเป็นแกนกลางที่สำคัญมากที่นำไปสู่การกำกับดูแลกิจการที่ดี และมีความเกี่ยวข้องโดยตรงกับการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ รวมถึงการบริหารความเสี่ยงทางด้านความมั่นคงปลอดภัยของสารสนเทศ (Information Security Risk Manament)

แนวคิดของ GRC มีความหมายที่ต้องการความเข้าใจอย่างลึกซึ้งในการเชื่อมโยงและบูรณาการอยู่ในตัว ทั้งด้าน IT และ Non-IT มีการเชื่อมโยงไปถึงเรื่องภาวะผู้นำ และวัฒนธรรมภายในองค์กร ดังนั้น ความร่วมมือและความเข้าใจของคณะกรรมการ ผู้บริหาร และผู้ปฏิบัติงานในองค์กร (Human Factor) จึงเป็นเรื่องสำคัญที่เป็นปัจจัยแห่งความสำเร็จ (Key Success Factor)

ทั้งนี้ แนวปฏิบัติและปัจจัยแห่งความสำเร็จในการประยุกต์ใช้ GRC สู่ Digital Governance จะนำเสนอในตอนต่อไปนะครับ

อนึ่ง ผมมีข้อแนะนำเป็นข้อคิดชวนปฏิบัติในการทำความเข้าใจทุกเรื่องที่เราสนใจ เช่น กรอบความคิด GRC ที่นำไปสู่ Digital Governance จะนำไปสู่กระบวนการเปลี่ยนแปลงทางด้านวิสัยทัศน์ พันธกิจ และกลยุทธ์ รวมทั้งเรื่องที่เกี่ยวเนื่องมากมาย ที่ผสมผสานทางด้านเศรษฐกิจ การเงิน การลงทุน กระบวนการกำกับและบริหารธุรกิจ และกระบวนการตัดสินใจ ที่นำไปสู่ Governance Outcome ที่มีเทคโนโลยีและนวัตกรรมเป็นตัวขับเคลื่อนสำคัญ ที่มีผลต่อกระบวนการพัฒนาศักยภาพของบุคลากรในทุกระดับ ตั้งแต่ผู้นำของประเทศ ผู้นำของทุกองค์กร และผู้นำของธุรกิจ และผู้มีผลประโยชน์ร่วมที่เป็นตัวขับเคลือนสำคัญ

3 H คือ กระบวนการที่สร้างความเข้าใจจากความคิดที่นำไปสู่การปฏิบัติที่เป็นรูปธรรมได้ อันได้แก่ 1 Head -> 2 Heart -> 3 Hand ซึ่งหมายถึง การทำความเข้าใจ โดยการสังเกต และวิเคราะห์ (Head) ของทุกเรื่องที่เราอ่านและสนใจในกรณีนี้ก็คือ GRC ที่นำไปสู่ Digital Governance ส่วน Heart ก็คือ ความใส่ใจ/มีใจ ที่มาจากผลลัพธ์ของการใช้ Head ที่ต้องการนำไปสู่การปฏิบัติอย่างแท้จริง อย่างมุ่งมั่นของทุกท่านที่เกี่ยวข้องกับงานในความรับผิดชอบและในตำแหน่งหน้าที่ที่เกี่ยวข้อง รวมทั้งสนใจผลกระทบจากขั้นตอนและกระบวนการทำงานในทุกระดับ ทั้งในระดับบน ระดับล่าง (Vertical) และในระดับเดียวกัน (Holizontal) ซึ่งนำไปสู่การปฏิบัติ (Hand) โดยมีผู้รับผิดชอบและแยกกันไปทำในส่วนของฝ่ายตน แต่ต้องทำงานร่วมกันภายใต้นโยบายและจุดมุ่งหมายเดียวกัน ซึ่งมีคณะกรรมการและผู้บริหารระดับสูงเป็นผู้กำหนดนโยบายในภาพรวม และมีระดับความเสี่ยงที่องค์กรยอมรับได้