ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 17

ตุลาคม 15, 2018

ความท้าทายในการ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Law) ของไทย

ความเป็นมา

ในตอนที่ 16 ผมได้ออกความเห็นเกี่ยวกับหลักการ หลักเกณฑ์ กรอบความคิด ในการเป็นจุดตั้งต้นของการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อเป็นการให้ข้อสังเกตกับผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ว่า หากทำ Gap Analysis ถึงกระบวนการที่จำเป็นในการที่ควรมีกรอบการร่างกฎหมายที่ได้นำเสนอในครั้งที่แล้ว กับความเป็นจริงที่ผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. นี้ได้ดำเนินการไป และนำเสนอต่อสาธารณะ เพื่อระดมความคิดเห็นไปเมื่อวันที่ 5 และ 11 ตุลาคม 2561 และปรากฎตามสื่อต่างๆ ค่อนข้างมากว่า มีผู้ไม่เห็นด้วย และไม่อยากให้ร่าง พ.ร.บ. ฉบับนี้ถูกนำมาใช้โดยไม่มีการเปลี่ยนแปลงในเรื่องต่างๆ ที่เกี่ยวข้อง ในหลายองค์ประกอบและในหลายปัจจัย โดยเฉพาะในหลักการ กระบวนการ และอื่นๆ ตามที่ผมได้กล่าวไปแล้ว

ในครั้งนี้ ผมจึงขอรวบรวมความเห็นที่ได้จากการทำประชาพิจารณ์เท่าที่ได้รับมาเพียงบางส่วน มาให้ท่านผู้อ่านใช้ดุลยพินิจในการพิจารณาว่า พ.ร.บ. นี้ มีผลกระทบต่อความน่าเชื่อถือ ในระดับประเทศ ซึ่งมีผลกระทบในระดับมหภาคในมิติต่างๆ ของการพัฒนาประเทศไทยเพื่อการเติบโตอย่างยั่งยืนมากน้อยเพียงใด โดยเฉพาะอย่างยิ่ง หากกฎหมายนี้ผ่านออกมาได้และนำมาใช้ในทางปฏิบัติจริง น่าจะเป็นการละอายเพียงใด ในการนำ พ.ร.บ. ของต่างประเทศมาประยุกต์ใช้เป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ของไทย อย่างไม่เหมาะสม โดยการตัดข้อความที่สำคัญและมีนัยสำคัญต่อความหมายในการปฏิบัติงานการกำกับและการบริหารจัดการ ทางด้านความมั่นคงปลอดภัยไซเบอร์ของไทย ที่แน่นอนว่า โอกาสเป็นไปได้ในทางปฏิบัติมีน้อยมาก ซึ่งผมก็ได้กล่าวย้ำแล้วว่า เมื่อถอด พ.ร.บ. มาสู่แนวการปฏิบัติไม่ได้ ไม่ว่าในมิติของการกำกับ หรือในมิติของการปฏิบัติก็จะส่งผลให้ไม่สามารถที่จะปฏิบัติได้จริงตามตัวอย่างที่เกิดขึ้นมาแล้ว ในเรื่อง พ.ร.บ. หมา-แมว, พ.ร.บ. บ้านเช่า, การคิดค่าน้ำ ค่าไฟกับผู้เช่า, พ.ร.บ. รถกระบะ ฯลฯ ซึ่งไม่สามารถนำมาใช้ในทางปฏิบัติได้ เนื่องจาก พ.ร.บ. ดังกล่าวนั้น ไม่ได้คำนึงถึงผู้มีส่วนได้เสีย ตามหลักการกำกับดูแล กฎหมาย และการบริหารการจัดการ การติดตามผล รวมทั้งการตรวจสอบอย่างเป็นกระบวนการ

ดังนั้น ความเห็นของประชาชนจำนวนไม่น้อยต่อร่าง พ.ร.บ. นี้ จึงมีลักษณะในเชิงไม่เห็นด้วยในหลายเรื่องที่เกี่ยวข้อง ซึ่งในตอนนี้ ผมจะนำความเห็นของท่านผู้ทำประชาพิจารณ์บางส่วนเท่าที่เผยแพร่ได้ เป็นการทั่วไป เพื่อไม่ให้กระทบกับความเป็นส่วนตัวของผู้ออกความเห็นนั้นๆ ในภาพโดยรวม เมื่อท่านผู้อ่านได้อ่านความเห็นในลักษณะที่ไม่เห็นด้วยนี้ ก็ไม่ควรสรุปว่า เป็นความเห็นที่ถูกต้องหรือไม่ ทั้งนี้เพราะขึ้นกับดุลยพินิจของแต่ละท่านเป็นสำคัญ เนื่องจากท่านผู้อ่าน ทุกกลุ่มของประชากรในประเทศไทย และผม ล้วนเป็นผู้มีส่วนได้เสียที่มีความต้องการแตกต่างกัน และขึ้นกับมุมมองความเข้าใจถึงผลกระทบกับวัตถุประสงค์ที่แตกต่างกันไปในแต่ละบุคคลและแต่ละกลุ่ม แต่ละองค์กรด้วย

อย่างไรก็ดี สำหรับผมเอง และน่าจะเป็นความเห็นส่วนใหญ่ที่วางเป้าประสงค์ของการวิจารณ์ภายใต้กรอบของผลประโยชน์ของประเทศชาติเป็นสำคัญ

ต่อไปนี้เป็นมุมมองจากสื่อบางสำนัก และจากความเห็นส่วนตัวที่ไม่ขอเอ่ยนาม ที่ได้แสดงความคิดเห็นต่อ พ.ร.บ. ฉบับนี้

ข่าวจากสื่อออนไลน์ เว็บไซต์ประชาไท รู้จัก ร่าง พ.ร.บ. ความมั่นคงไซเบอร์ เมื่อความปลอดภัยกับละเมิดสิทธิห่างแค่เส้นเบลอๆ

ข่าวจากสื่อออนไลน์ เว็บไซต์ไทยรัฐ มนุษย์ไซเบอร์รวมตัว ยำใหญ่…ก.ม.ไซเบอร์

ข่าวจากสื่อออนไลน์ เว็บไซต์ thematter พ.ร.บ.ความมั่นคงไซเบอร์ ประตูสู่กฎอัยการศึกออนไลน์? คุยกับ อาทิตย์ สุริยะวงศ์กุล

ข้อมูลดังกล่าวข้างต้นเป็นข้อมูลเพียงบางส่วนที่ส่วนใหญ่ ก็นำมาจาก ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับความคิดเห็นที่ชัดเจนและค่อนข้างรุนแรงก็ไม่ได้นำมาเผยแพร่ ณ ที่นี้ รวมทั้งได้พยายามค้นคว้า ร่าง พ.ร.บ. ฉบับนี้ ที่มีผู้วิจารณ์ในลักษณะเห็นด้วยว่าเป็นประโยชน์ต่อประเทศไทยในการสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสีย ทั้งภายในและต่างประเทศ โดยร่างขึ้นตามหลักการที่ยอมรับกันโดยทั่วไปนั้น ยังไม่พบข้อมูลดังกล่าวนะครับ

อนึ่ง ทั้งหมดนี้ นำเสนอเพื่อให้ท่านผู้อ่านได้รับทราบและพิจารณาโดยรอบคอบ โดยควรนำหลักการ หลักเกณฑ์ตามที่ได้กล่าวไว้ในตอนที่ 16 มาใช้ด้วยนะครับ โดยเฉพาะอย่างยิ่ง การคำนึงถึงผู้มีส่วนได้เสียอย่างได้ดุลยภาพ

Advertisements

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 16

ตุลาคม 15, 2018

การก้าวไปสู่การสร้างความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย

เรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ซึ่งกำลังอยู่ในช่วงสำคัญ ในการพิจารณาร่าง พ.ร.บ. ให้เป็นกฎหมายที่ใช้ในการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ ที่มีผลกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที โดยกำหนดลักษณะของภารกิจหรือบริการที่มีความสาคัญเป็นโครงสร้างพื้นฐานสาคัญทางสารสนเทศที่จะต้องมีการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ มิให้เกิดผลกระทบต่อความมั่นคงในด้านต่าง ๆ รวมทั้งให้มีหน่วยงานเพื่อรับผิดชอบในการดำเนินการประสานการปฏิบัติงานร่วมกันทั้งภาครัฐและเอกชน ไม่ว่าในสถานการณ์ทั่วไปหรือสถานการณ์อันเป็นภัยต่อความมั่นคงอย่างร้ายแรง ตลอดจนกำหนดให้มีแผนปฏิบัติการและมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างมีเอกภาพและต่อเนื่อง อันจะทำให้การป้องกันและการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ ทางรัฐบาลเห็นความจำเป็นที่จะต้องมี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จึงให้กระทรวงและหน่วยงานภาครัฐที่เกี่ยวข้องร่าง พ.ร.บ. นี้ เพื่อพิจารณา และได้มีการจัดทำประชาพิจารณ์ในเรื่องนี้ขึ้น ในวันที่ 5 และ 11 ตุลาคม 2561 ที่ผ่านมา ก่อนนำไปให้ สภานิติบัญญัติแห่งชาติ (ประเทศไทย) – สนช. พิจารณาตามกระบวนการก่อนประกาศใช้ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างเป็นทางการต่อไป นั้น

ผลของการประชาพิจารณ์ในเรื่องดังกล่าว ที่เป็นทางการและไม่เป็นทางการ รวมทั้งที่ผ่านสื่อต่างๆ ออกมาในลักษณะไม่เห็นด้วยเป็นส่วนใหญ่ เพราะจะมีผลกระทบกระเทือนในวงกว้าง ในระดับประเทศ ในระดับความน่าเชื่อถือระหว่างประเทศ ทั้งทางด้านเศรษฐกิจและสังคม และการลงทุน ซึ่งแทนที่จะเป็นการร่างกฎหมายเพื่อป้องกันภัยไซเบอร์จากต่างประเทศ หรือจากภายนอก แต่ พ.ร.บ. นี้ เมื่อผู้ที่มีความรู้ที่เกี่ยวกับการกำกับและการบริหาร รวมทั้งการปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์จำนวนไม่น้อย ได้ศึกษารายละเอียดในเชิงวิเคราะห์ สร้างสรร ที่มีเป้าหมาย เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างบูรณาการที่แท้จริง โดยเฉพาะอย่างยิ่ง ในหลักคิด หลักปฏิบัติ ที่ พ.ร.บ. นี้ จะครอบคลุมทั้งประเทศ ทั้งภาครัฐและภาคเอกชน รวมทั้งผู้มีส่วนได้เสียนานาชาติที่ต้องประยุกต์ใช้เป็นกรอบการดำเนินงาน เป็นหนึ่งเดียวกับการกำกับ การบริหาร และการจัดการไอที ในเรื่องอื่นๆ ที่ต้องบูรณาการเป็นหนึ่งเดียวตามหลักการมาตรฐาน หรือตามหลักการวิธีการปฏิบัติที่ดีที่เป็นสากลที่ทั่วโลกยอมรับกัน เพื่อให้กระบวนการและวิธีการปฏิบัติแบบองค์รวม (Enablers) สัมฤทธิ์ผล และแน่นอนว่า หลักการดังกล่าว ภายใต้กรอบที่นานาชาติยอมรับได้ก็คือ การแยกการกำกับดูแล (Governance) ออกจากการบริหารจัดการ (Management and Operation) โดยหลักการทั้ง 5 นี้ เป็นกรอบของแนวคิดที่ถ่ายทอดเป็นแนวทางและกระบวนการปฏิบัติงานที่ชัดเจนได้อย่างเป็นรูปธรรม นั้น

 

ผู้ที่มีส่วนเกี่ยวข้องกับการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ นี้ ได้วางกรอบและแนวคิดเป็นไปตามที่ผมได้กล่าวเป็นการอุ่นเครื่องข้างต้นหรือไม่ครับ

ท่านทราบไหมครับว่า คำจำกัดความของ การกำกับดูแล (Governance) ยุคดิจิทัลนั้น นานาชาติให้คำจำกัดความไว้ว่า “การกำกับดูแล ทำให้มั่นใจได้ว่า ความต้องการ เงื่อนไข และทางเลือกของผู้มีส่วนได้เสียได้รับการประเมิน เพื่อกำหนดวัตถุประสงค์ที่องค์กรต้องการให้บรรลุ ซึ่งมีความสมดุลและเห็นชอบร่วมกัน; การกำหนดทิศทางผ่านการจัดลำดับความสำคัญและการตัดสินใจ; และการเฝ้าติดตามผลการดำเนินงานและการปฏิบัติตามเทียบกับทิศทางและวัตถุประสงค์ที่ได้ตกลงร่วมกัน” และ ความหมายของคำว่าการบริหารจัดการ (Management) คือ ผู้บริหารวางแผน สร้าง ดำเนินงาน และเฝ้าติดตามกิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนดโดยหน่วยงานกำกับดูแล (Governance body) เพื่อให้บรรลุวัตถุประสงค์ขององค์กร/ประเทศ

คำถามของผมในตอนนี้ก็คือ ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ท่านได้ใช้กรอบและแนวคิด/หลักคิด ที่สามารถถ่ายทอดไปสู่ขั้นตอน กระบวนการ แนวทาง และวิธีการปฏิบัติ ทั้งในระดับ Governance body/Regulators และในระดับ Regulated entities ทั้งภาครัฐและเอกชนได้อย่างเป็นรูปธรรมหรือไม่? และการร่าง พ.ร.บ. นี้ มีบทลงโทษที่เลขาธิการมีอำนาจอย่างกว้างขวางนั้น เป็นการบังคับใช้อำนาจที่ขาดการพิจารณาความเหมาะสมของผู้ปฏิบัติงานตามที่ควรหรือไม่ เช่น การใช้แนวทางกฎหมาย Cybersecurity Law ของสิงคโปร์ มาเป็นส่วนหนึ่งของการร่าง พ.ร.บ. นี้นั้น ไม่มีอะไรผิด แต่สิ่งที่น่าคิดก็คือ ท่านได้ตัดถ้อยคำบางส่วนที่มีนัยสำคัญของต้นร่างที่ท่านได้นำมาเป็นแบบอย่างในการร่างเป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัย Cybersecurity Law ของไทย ทำให้ผู้บริหารหรือเลขาธิการของหน่วยงานใหม่ มีอำนาจล้นฟ้า ถึงแม้จะมีนายกรัฐมนตรีเป็นผู้กำกับฯ ด้วยก็ตาม

เป็นความเหมาะสมแล้วหรือ ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ กำลังร่างกฎเกณฑ์และข้อบังคับในลักษณะที่แทบไม่มีทางเลือกอื่นใด คือบังคับให้ผู้อยู่ภายใต้กฎหมายต้องปฏิบัติ (Comply) ตามกฎหมายนี้เท่านั้นหรือ? มีทางออกที่ดีกว่านี้หรือไม่?

ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ ไม่มีทางเลือกอื่นให้ผู้ที่ต้องปฏิบัติตามกฎหมายหรือ พ.ร.บ. นี้ ใช้หลักการที่ยืดหยุ่น และด้วยต้นทุนที่อาจต่ำกว่ามากหรือปฏิบัติได้สะดวกกว่ามาก โดยใช้หลัก Imply and Inform ที่สามารถครอบคลุมการปฏิบัติตามร่าง พ.ร.บ. ฉบับนี้ได้ โดยใช้เทคโนโลยีและนวัตกรรมใหม่ๆ รวมทั้งการใช้ปัญญาประดิษฐ์ใหม่ๆ ทดแทนการบังคับ ตามแนวความคิดที่เป็นอยู่ คือการ Comply  ท่านว่าแบบนี้เป็นการเหมาะสมกว่าไหมครับ และการร่าง พ.ร.บ. นี้ อาจจะผ่านได้ง่ายกว่าเดิมไหมครับ

ข้อสำคัญของประเด็นดังกล่าวข้างต้นนี้ เป็นการยอมรับความต้องการ หรือรับฟังความเห็นของผู้มีส่วนได้เสีย และเข้าใจสภาพแวดล้อมของการเปลี่ยนแปลงที่มีความก้าวหน้าทางด้านเทคโนโลยีในอนาคตอย่างแท้จริงนะครับ

ผู้มีส่วนได้เสีย คือใครกันแน่ จะกำกับและบริหารให้ได้ดุลยภาพกันได้อย่างไร

มีคำถามมากพอสมควรว่า การกำหนดสิ่งที่คาดหวังจาก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้ง สิ่งที่คาดหวังได้จากสารสนเทศ และเทคโนโลยีที่เกี่ยวข้อง ซึ่งอาจจะเข้าใจในภาพรวมๆ ว่า เป็นประโยชน์ที่ได้รับ ณ ระดับความเสี่ยงที่ยอมรับได้ และด้วยต้นทุนที่จะเกิดขึ้น และระดับความสำคัญของสิ่งเหล่านั้น เพื่อให้มั่นใจว่า คุณค่าที่คาดหวังโดยผู้มีส่วนได้เสีย จะได้รับการส่งมอบจริง เช่น พ.ร.บ. นี้ ผู้มีส่วนได้เสียบางกลุ่ม อาจต้องการผลประโยชน์ในระยะสั้น บางคน บางกลุ่มต้องการผลประโยชน์ในระยะยาว เพื่อการเติบโตอย่างยั่งยืน บางคนพร้อมที่จะรับความเสี่ยงสูง แต่บางคน บางกลุ่มอาจไม่ยอมรับความเสี่ยงได้เลย ความคาดหวังที่แตกต่างกันเหล่านี้ ต้องได้รับการกำกับ และการจัดการที่มีประสิทธิผล นอกจากนี้ ผู้มีส่วนได้เสียเหล่านี้ ยังไม่เพียงต้องการมีส่วนร่วมมากขึ้นเท่านั้น แต่พวกเขาต้องการความโปร่งใสด้วยว่า สิ่งเหล่านี้ หรือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จะเกิดขึ้นได้อย่างไร นั่นคือ การถ่ายทอดเป้าประสงค์หลักไปสู่วิธีการปฏิบัติ และจะบรรลุผลลัพธ์จริงได้ชัดเจนและพิสูจน์ได้ในกระบวนการที่เกี่ยวข้อง

ตามที่ผมได้กล่าวไว้ข้างต้นว่า หลักคิด ต้องเกี่ยวข้องกับหลักปฏิบัติได้จริง มีความสอดคล้องกับมาตรฐาน หรือแนวปฏิบัติที่ดีที่เป็นสากล เพื่อให้เป็นที่ยอมรับได้ เพราะหาก การร่าง พ.ร.บ. ของเราไม่ได้รับการยอมรับจากผู้มีส่วนได้เสียทั้งภายในและระหว่างประเทศอย่างแท้จริง ก็จะมีปัญหาต่อนโยบาย Thailand 4.0 และเป็นอุปสรรคต่อเศรษฐกิจ การเงิน การลงทุน และการให้บริการ ในระดับกว้าง และลึกเกินกว่าที่ประเทศหรือผู้มีส่วนได้เสียโดยรวมยอมรับได้ และจะนำไปสู่การยอมรับที่แท้จริงและปฏิบัติได้จริงของผู้มีส่วนได้เสียในที่สุดนั่นคือ อาจไม่มีการยอมรับในการปฏิบัติ หรือต่อต้าน พ.ร.บ. ในรูปแบบต่างๆ ที่ไม่อยากจะให้เกิดขึ้น ฯลฯ

แนวคิดอีกอย่างหนึ่งที่น่าจะมีประโยชน์ในการปรับปรุงร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ก็คือ การเชื่อมโยงกับนโยบาย Thailand 4.0 และกลยุทธ์ที่จะนำประเทศไปสู่ยุค Thailand 4.0 โดยการเชื่อมโยงกฎหมาย หรือ พ.ร.บ. นี้ที่ควรจะสอดคล้องกับ พ.ร.บ. พ.ร.ก. ประกาศ คำสั่งต่างๆ ที่เกิดขึ้น ซึ่งจะทำให้เกิดความสอดคล้องกับกรอบการดำเนินงานของประเทศ และมาตรฐานอื่นๆ ที่มีใช้อยู่ นี่คือกระบวนการกำกับการบริหาร รวมทั้งการกำกับแบบบูรณาการระดับองค์กร และระดับประเทศ และควรจะสอดคล้องกับแนวปฏิบัติอื่นๆ ที่โดยหลักการแล้วควรจะนำมารวมเป็นกรอบการพิจารณาเป็นหนึ่งเดียวอย่างแท้จริง

ความสำคัญของปัจจัยเอื้อ (Enablers) ระดับประเทศ และระดับองค์กร ตามกรอบและหลักคิดแบบบูรณาการ

ความเข้าใจของผู้ร่าง พ.ร.บ. นี้ และ พ.ร.บ.อื่นๆ และกฎหมาย ประกาศ คำสั่งอื่นๆ ที่เกี่ยวข้อง ตามที่ผมได้กล่าวไว้ข้างต้นที่มีความสำคัญมากที่สุดอย่างหนึ่งในการสร้างคุณค่าเพิ่มก็คือ ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) สำหรับกรณีนี้ ผมกำลังชวนคุยในการนำเรื่องปัจจัยเอื้อมาเกี่ยวข้องกับกระบวนการของการกำกับ การบริหาร ที่ควรมีหลักคิดแบบบูรณาการที่ควรเข้าใจปัจจัยหรือหลายปัจจัยต่างๆ ที่เกี่ยวข้อง และต้องนำมารวมกันคิด เพราะมีอิทธิพลต่อความสำเร็จของ พ.ร.บ. การร่างกฎหมายที่เกี่ยวข้อง ซึ่งก็คือ การบริหารจัดการเรื่อง Cybersecurity ในระดับประเทศ และระดับองค์กร เพราะปัจจัยเอื้อขับเคลื่อนได้โดยการส่งทอดเป้าหมายของประเทศไปสู่เป้าหมายทางไอที ซึ่งรวมถึงเป้าหมายทางด้าน Cybersecurity ในภาพโดยรวม จะต้องมีปัจจัยเอื้อที่เกี่ยวข้องที่จะนำไปสู่ความสำเร็จของการกำกับ พ.ร.บ. นี้ โดยหน่วยงานที่จะตั้งขึ้นใหม่

การร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องใช้กรอบแนวคิดแบบบูรณาการนั้นเป็นที่เข้าใจตรงกันแล้ว แต่สิ่งที่อาจจะขาดไปอย่างมีนัยสำคัญก็คือ ความเข้าใจและการนำความเข้าใจมาสู่การปฏิบัติในการออกกฎหมาย หรือ พ.ร.บ. ต่างๆ ที่เกี่ยวข้อง จำเป็นต้องมีปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ ดังนั้น ผู้ที่ออกกฎหมาย ออกประกาศ คำสั่งต่างๆ ควรจะเข้าใจถึงปัจจัยเอื้อ 7 ประเภทดังต่อไปนี้

ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ ได้พิจารณาหลักการภาพใหญ่ข้างต้น และการถ่ายทอดมาสู่ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ 7 ข้อตามที่จะกล่าวต่อไปนี้มากน้อยเพียงใด และหากจำเป็น ท่านสามารถที่จะถ่ายทอดมาเป็นกระบวนการและวิธีการปฏิบัติหลักได้หรือไม่?

  1. หลักการ นโยบาย และกรอบดำเนินงาน เป็นสิ่งที่นำไปสู่การเปลี่ยนแปลงหลักคิด และแนวทางปฏิบัติได้จริง (ตาม พ.ร.บ. นี้ ผู้ร่างฯ ได้ใช้อะไรเป็นหลักการ และกรอบการดำเนินงาน เพื่อไปสู่การปฏิบัติ)
  2. กระบวนการที่เกี่ยวเนื่องกับ ข้อ1. ซึ่งเป็นการอธิบายถึงแนวทางปฏิบัติและกิจกรรมที่ใช้ในการบรรลุวัตถุประสงค์บางประการ และให้ผลลัพธ์เพื่อสนับสนุนการบรรลุวัตถุประสงค์ของ พ.ร.บ. นี้
  3. โครงสร้างในการจัดการ เป็นการระบุถึงโครงสร้างของหน่วยงานใหม่ ที่ใช้เป็นหลักในการตัดสินใจในการกำกับและบริหารที่ชัดเจน ได้ดุลยภาพตามโครงสร้างที่แท้จริง
  4. วัฒนธรรม จริยธรรม และพฤติกรรม เรื่องนี้ปกติจะเป็นจุดอ่อนหรือ painpoint เกือบทุกหน่วยงาน ซึ่งส่วนใหญ่จะได้รับการประเมินค่าน้อยกว่าความเป็นจริง ทั้งๆ ที่เป็นปัจจัยสำคัญสู่ความสำเร็จของการร่าง พ.ร.บ. นี้
  5. ความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งเป็นหัวใจสำคัญยิ่งยวดของการกำกับดูแลที่ดี เพื่อสร้างความพึงพอใจให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพ ตามร่าง พ.ร.บ. ฉบับนี้
  6. บริการ โครงสร้างพื้นฐาน และระบบงาน เป็นเรื่องสำคัญยิ่งที่เกี่ยวเนื่องกับเป้าหมายหลัก ทางด้านความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที
  7. บุคลากร ทักษะ และศักยภาพ ปัจจัยเอื้อต่างๆ ที่รวมกันเพื่อก่อให้เกิดความสำเร็จตาม ร่าง พ.ร.บ. นี้ จะถูกเชื่อมโยงเข้ากับตัวบุคคล ซึ่งช่วยกิจกรรมต่างๆ ตามพันธกิจ สำเร็จลุล่วงไปได้ด้วยดี และสามารถช่วยในการตัดสินใจได้อย่างถูกต้อง พร้อมทั้งดำเนินการแก้ไข

ปัจจัยเอื้อตามที่กล่าวในข้อ 5. 6. 7. กล่าวรวมกันก็ได้แก่การบริหารทรัพยากรที่ต้องไปด้วยกันกับการบริหารความเสี่ยงที่ดี มีคุณภาพ เพื่อให้พ.ร.บ. นี้ได้รับผลประโยชน์ สนองตอบต่อความต้องการทางด้านความมั่นคงปลอดภัยอย่างแท้จริง

ปัจจัยเอื้อทั้ง 7 ประการ รวมทั้งการบริหารทรัพยากรตามที่กล่าวข้างต้นนั้น หน่วยงานผู้ร่าง พ.ร.บ. นี้ได้คำนึงถึงและนำมาสู่กรอบความคิดในการกำกับและบริหารการร่าง พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์หรือไม่ เพียงใด ครับ ทั้งนี้เพราะ ทรัพยากรที่เกี่ยวข้องกับ ข้อ 5. 6. 7. เป็นหัวใจที่สำคัญยิ่ง ที่หน่วยงานใหม่ที่ต้องกำกับงานตาม พ.ร.บ. นี้ต้องเข้าใจอย่างลึกซึ้ง เพื่อนำมาสู่การกำกับดูแลและการบริหารจัดการทางด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ทั้งในระดับองค์กรและระดับประเทศอย่างแท้จริงนะครับ

ความเห็นโดยสรุปของผู้เขียน

ความเห็นข้างต้นเป็นความเห็นส่วนตัวของผมในฐานะผู้เขียน สำหรับประชาพิจารณ์ท่านอื่นๆ ที่ไม่เห็นด้วย ซึ่งมีไม่น้อย อาจมีความเห็นที่แตกต่างในแต่ละมุมมองที่ไม่เหมือนกัน ซึ่งผมจะได้นำมาเสนอในตอนต่อไป

สำหรับตอนนี้ ผมขอนำความเห็นของผู้ทรงคุณวุฒิที่มีความรู้ทางด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ท่านหนึ่งที่ไม่ประสงค์เปิดเผยนาม และผมได้รับอนุญาตในการนำมาเผยแพร่ เพื่อเปรียบเทียบบางมุมมองของการร่าง พ.ร.บ. จากต้นฉบับที่นำเสนอเพื่อการทำประชาพิจารณ์ เปรียบเทียบควบคู่กันไปกับ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์ ของท่านผู้ทรงคุณวุฒิท่านนี้ ภายใต้กรอบสีเหลี่ยมที่เป็นการแก้ไขในมุมมองของท่านฯ ทั้งนี้ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์นี้ ได้จัดทำขึ้นหลังการทำประชาพิจารณ์ (สามารถกดดาวโหลดไฟล์ได้ที่ลิงก์ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ได้เลย) ครับ

อนึ่ง ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตามที่ผมได้เขียนมา 15 ตอนนั้น ผมเพียงเพื่อจะย้ำความสำคัญของการสร้างความเชื่อให้กับประเทศ/องค์กร ในมิติต่างๆ ตามความเข้าใจของผม ในมิติที่เกี่ยวข้องกับการกำกับดูแล การบริหาร และการปฏิบัติงานที่ดี เพื่อเศรษฐกิจ การเงิน การลงทุน และความมั่นคงของประเทศ โดยการสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพที่โยงใยกับระบบเทคโนโลยีสารสนเทศ และการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

มาถึงตอนนี้ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ กำลังเป็นเรื่องร้อนแรงและมีการกล่าวถึงเป็นอันมาก ผมจึงขอสรุปเรื่องความเชื่อในมุมมองต่างๆ เพื่อการพัฒนาและการเติบโตอย่างยั่งยืนให้เหมาะสมกับสภาพแวดล้อมที่กล่าวถึง ใน ร่าง พ.ร.บ. นี้ มาเพื่อให้ท่านผู้อ่านได้ติดตามโดยสะดวกขึ้นครับ เมื่อท่านได้อ่านแต่ละตอนแล้ว ลองช่วยประเมินดูนะครับว่า การพัฒนาเพื่อการเติบโตของประเทศไทย ยังมีปัญหาและอุปสรรคอะไรบ้าง โดยเฉพาะในแง่มุมของการกำกับ การดำเนินงาน การบริหารจัดการสารสนเทศ และการบริหาร Cybersecurity ที่ดีในระดับองค์กรและระดับประเทศ ในการก้าวไปสู่ Thailand 4.0 ตามนโยบายของรัฐบาล

GDPR Governance – การกำกับดูแลข้อมูลส่วนบุคคล

Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน (Fintech and Sustainable Development)

ความโปร่งใสกับความน่าเชื่อถือ / Transparency and Trust

GRC ในมุมมองของ Governance

Integrated GRC and Digital Governance

Governance and Digital Governance and Innovative Technology / Business Model

ความเข้าใจในความหมายของคำว่า “ธรรมาภิบาล” หรือ การกำกับดูแลกิจการที่ดี กับความโปร่งใส

ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม (ภาคต่อ)

ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม

การตอบสนองต่อความต้องการของ Stakeholders กับ Thailand 4.0

ผลกระทบต่อการเติบโตอย่างยั่งยืน หากผู้มีผลประโยชน์ร่วมขาดความเชื่อถือในระดับองค์กร และระดับประเทศ

โลกที่พลิกโฉม กับ ความเชื่อ ที่ผ่านกระบวนการกำกับของคณะกรรมการฯ และผู้นำประเทศ

ผลประโยชน์ทางสังคมกับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

เทคโนโลยีสารสนเทศและการสื่อสาร กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

ความเชื่อ กับ การพัฒนาการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 1

 


ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 15

พฤษภาคม 25, 2018

GDPR Governance – การกำกับดูแลข้อมูลส่วนบุคคล

GDPR หรือ General Data Protection Regulation คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ของอียู ที่กำลังจะมีผลบังคับใช้อย่างเป็นทางการในวันที่ 25 พฤษภาคม 2561 และจะมีผลกระทบโดยตรงต่อผู้ประกอบการธุรกิจในประเทศไทยเป็นจำนวนมากที่มีการเก็บบันทึก หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่มีถิ่นพำนักในอียู เนื่องจากกฎหมายฉบับนี้มีบทบังคับใช้นอกอาณาเขต (Extraterriterial Application) และมีบทลงโทษปรับที่รุนแรงมาก โดยมีเพดานค่าปรับสูงถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายได้ทั่วโลกของธุรกิจในหนึ่งปี แล้วแต่ว่าปัญหาขององค์กรธุรกิจที่อยู่ในข่ายที่จะได้รับผลกระทบจากกฎหมายฉบับนี้ก็คือ ทั้งผู้บริหารและระดับปฏิบัติงานยังสับสน ไม่รู้ว่าจะต้องปฏิบัติอย่างไร จึงจะถูกต้องเป็นไปตามข้อบังคับของกฎหมาย

องค์กรของท่านมีความพร้อมหรือยัง ซึ่งเรื่องนี้จากการสำรวจทั่วโลก ปรากฎว่ามีประมาณร้อยละ 47 ที่มีความพร้อมระดับหนึ่ง แต่ไม่สมบูรณ์ นอกนั้นยังไม่พร้อมหรือยังไม่รู้เลยว่า GDPR คืออะไร ซึ่งเป็นเรื่องที่น่าห่วงใยเป็นอย่างมาก และมีความเสี่ยงที่องค์กรไม่น่าจะยอมรับได้ หากมีความรู้ มีความเข้าใจในเรื่องการกำกับดูแลข้อมูลที่ดี ซึ่งต้องเริ่มด้วยคำว่า องค์กรมีความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดีเพียงใด การกำกับดูแลกิจการที่ดีนี้ จะครอบคลุมทุกเรื่อง ทั้งที่เป็นเรื่องของ governance ที่ประกอบด้วย Coporate Governance + IT Governance + Information Security/Cyber Security Governance หากองค์กรใดไม่มีนโยบายที่เกี่ยวข้องกับ GDPR หรือการปกป้องข้อมูลส่วนบุคคลที่ชัดเจน เป็นรูปธรรม และเป็นไปตามมาตรฐานของกฎหมายที่ระบุไว้ใน GDPR นี้ ก็ถือว่า องค์กรนั้นไม่มีการกำกับดูแลกิจการที่ดี ผลกระทบจะมีอยู่มากมาย ซึ่งเกิดจากความเสี่ยงที่ตามมา รวมทั้งการไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ มาตรฐาน นโยบาย กระบวนการทำงานที่เกี่ยวข้อง ซึ่งล้วนแล้วแต่มีผลกระทบต่อชื่อเสียง และความอยู่รอดขององค์กรได้ทั้งสิ้น

credit : gdpr- ready.co.uk

นอกจากนั้น ในมิติหรือมุมมองของการบริหารความเสี่ยง ซึ่งแน่นอนว่า จะเกี่ยวข้องกับ Enterprise Risk Management + IT Risk + Information Security/Cyber Security Risk ก็จะมีปัญหาในมิติที่เกี่ยวข้อง ตามหลักดุลยภาพการบริหารที่ดีในมุมมองของ Balanced Score Card ซึ่งในเรื่องนี้ก็อาจอธิบายได้ว่า การไม่ปฏิบัติตาม GDPR ก็จะมีผลต่อการควบคุมความเสี่ยง ที่ทำลายชื่อเสียงและความไว้วางใจขององค์กรอย่างสิ้นเชิง ทั้งนี้ การบริหารความเสี่ยงตามที่กล่าวนี้ เป็นมิติหนึ่งที่เกี่ยวข้องกับการกำกับดูแลกิจการที่ดี (Governance) และเมื่อพิจารณาต่อไปในมิติของ Compliance การไม่ปฏิบัติตาม GDPR ก็จะมีผลต่อการไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ รวมทั้งการไม่ปฏิบัติตามที่ผู้กำกับได้กำหนดเอาไว้ รวมทั้งผลกระทบจากการไม่ปฏิบัติตามมาตรฐานและหลักการบริหารจัดการองค์กรที่ดี ทั้ง 3 ส่วนที่เกี่ยวข้องกับ GDPR ในมิติกว้างๆ นั้น ก็จะมีผลทำให้ไม่มีการวางแผนที่ดี ซึ่งจะนำไปสู่ความล้มเหลวของกระบวนการกำกับที่ดีที่ไม่อาจยอมรับได้

credit : gdpr- ready.co.uk

ตอนนี้เป็นตอนแรกของเรื่องที่ผมนำมาเล่าสู่กันฟังในเรื่องเกี่ยวกับ Get GDPR Ready ซึ่งมีหลายเรื่องมากที่จะต้องมีการกำกับและกระบวนการจัดการที่ดี เพื่อก้าวไปสู่ GDPR Governance

GDPR เป็นทั้งความเสี่ยง และเป็นทั้งโอกาส ที่จะสร้างคุณค่าเพิ่มในหลายมิติ แล้วแต่มุมมองของคณะกรรมการ หรือผู้นำของประเทศ และขององค์กรที่เกี่ยวข้องว่า ได้ติตดามมาตรฐานต่างๆ ที่เกี่ยวข้องกับการกำกับดูแลกิจการที่ดีอย่างทันการหรือไม่เพียงใด

credit : gdpr- ready.co.uk

แล้วองค์กรของท่านล่ะครับ มีความพร้อมเพียงใด ในเรื่องของ GDPR Governance ซึ่งผมขออธิบายด้วยรูปภาพที่จะเข้าใจได้ดี ที่สามารถอธิบายได้หลายมุมมองมากกว่าคำเป็นพันๆ คำ ซึ่งจะเริ่มต้นด้วย Governance of Enterprise IT – GEIT ที่พิจารณาได้ว่า เป็นการบริหาร Governance แบบบูรณาการอย่างแท้จริง ระหว่าง Business กับ IT และนวัตกรรมในการสร้างคุณค่าเพิ่มให้กับองค์กรและประเทศชาติ เพื่อก้าวไปสู่ Thailand 4.0 ตามนโยบายของรัฐบาล

อย่างไรก็ดี การก้าวไปสู่นโยบาย ตามกลยุทธ์ของประเทศ ไปสู่ Thailand 4.0 นั้น เราได้เข้าใจถึงความหมายที่แท้จริงของคำจำกัดความและความหมายของคำว่า Thailand 4.0 ดีแล้วเพียงใด และข้อสำคัญอย่างยิ่งที่ผมอยากจะกล่าวไว้ในที่นี้ก็คือ การก้าวสู่ Thailand 4.0 มีหลักการอะไร มีนโยบายอะไร มีกระบวนการดำเนินการอย่างไร ที่จะใช้ในการกำกับให้ทุกนโยบายทั้งภาครัฐและเอกชน อยู่ภายใต้หลักการกำกับดูแลกิจการที่ดี ซึ่งผมอยากจะเรียกคำๆ นี้ว่า Thailand 4.0 Governance และจะขอแบ่งปันกับท่านผู้อ่านต่อไปควบคู่กับ GDPR Governance ที่ผมได้เริ่มต้นในหัวข้อใหญ่ คือความเชื่อกับการพัฒนาเพื่อการเติบโตอย่างยั่งยั่น ตอนที่ 15 ในวันนี้ครับ


ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 14

เมษายน 4, 2018

Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน (Fintech and Sustainable Development)

Fintech (Financial Technology) –  New Technology and Dealing with Disruption

จากภาพข้างต้น เป็นภาพในมุมกว้างๆ ที่จะทำให้ผู้อ่านได้เห็นภาพโดยรวม เป็นกรอบใหญ่ๆ ที่ใช้ในความหมายของคำว่า “Fintech” ซึ่งต่อไปจะขยายความไปถึงเรื่องเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง เช่น Bitcoin, Cryptocurrency/Digital Currency … เป็นต้นนั้น เป็นเรื่องที่มีความสำคัญอย่างยิ่งยวดที่นำไปสู่ การออกแบบและพัฒนานวัตกรรม (Design Thinking) ซึ่งเป็นกระบวนการคิดในการแก้ไขปัญหา และการออกแบบผลิตภัณฑ์ บริการ หรือกระบวนการที่ต้องการทำความเข้าใจในปัญหาต่างๆ อย่างลึกซึ้ง ซึ่งต้องเอาผู้ใช้เป็นศูนย์กลางและสร้างความคิดสร้างสรรในมุมมองของผู้มีผลประโยชน์ร่วม (Stakeholders) ที่เกี่ยวข้องอย่างได้ดุลยภาพ ตามหลักการของ COBIT 5 เพื่อนำมุมมองเหล่านั้นมาสร้างเป็นไอเดีย และแนวทางแก้ไขปัญหา รวมทั้งการสร้างคุณค่าเพิ่ม เพื่อตอบสนองความต้องการในการบรรลุผลประโยชน์ของประเทศ ขององค์กร และนำเอาแนวทางต่างๆ มาทดสอบและพัฒนา เพื่อให้ได้แนวทางหรือนวัตกรรมที่ตอบโจทย์ เพื่อการก้าวสู่ผลประโยชน์หรือการแก้ไขปัญหาที่ต้องการให้กับผู้ใช้กลุ่มต่างๆ ซึ่งในช่วงแรกนี้ผมจะยังไม่กล่าวถึงรายละเอียดที่เกี่ยวข้องกับกระบวนการ Design Thinking นี้

หากจะกล่าวถึงกระแสการเปลี่ยนแปลงที่ได้เกิดขึ้นในโลกธุรกิจ และกระแสของการทำลายล้าง (Disruption) นั้น กระแสโลกาภิวัฒน์ มีผลรุนแรงมาตั้งแต่ช่วงปี 1990 ที่โลกทั้งใบเชื่อมกันในด้านเศรษฐกิจ สังคม การลงทุน และการแข่งขัน ทำให้เกิดโลกไร้พรมแดน การปรับตัวของธุรกิจคือการวางแผนจากความคิดที่ลดต้นทุนคงที่ (Fixed Cost) เพราะต้นทุนคงที่เป็นภาระทางการเงิน และทำให้ไม่เกิดความคล่องตัวในการปรับเปลี่ยนให้เหมาะสมกับสภาพแวดล้อมยุคใหม่ทางด้านดิจิตอล ซึ่งทำให้เกิดสภาวะความไม่เหมาะสมกับสภาพการแข่งขัน

ความเชื่อ ความเข้าใจ และผลกระทบของ Digital Era กับการล่มสลายจากการกำกับในเรื่อง Dealing with Disruption

กระแสของ Big Data จากการที่มีการบันทึกติดตามพฤติกรรมต่างๆ ของผู้บริโภค เพื่อดูว่ากำลังสนใจหรือกำลังค้นหาข้อมูล หรือกำลังติดตามข้อมูลอะไรบนสื่อสังคมออนไลน์ ไม่ว่าจะเป็น Youtube, Facebook หรือ Line ทำให้เกิดกระแสธุรกิจที่จะต้องเก็บข้อมูลลูกค้าเพิ่มขึ้นมาก เพื่อสามารถนำมาวิเคราะห์ไปสู่การสร้างนวัตกรรมที่ตรงกับความต้องการของลูกค้าและผู้มีผลประโยชน์ร่วมได้

กระแสสกุลเงิน Digital หรือ Cryptocurrency สกุลเงินที่โด่งดังในตอนนี้คือ Bitcion ที่เริ่มมีการซื้อขายครั้งแรกในปี 2011 ซึ่งเกิดจากความเชื่อในกระบวนการที่มีการสอบยันกันและกัน ซึ่งมีรายละเอียดที่จะเล่าสู่กันฟังในภายหลังนะครับ เพราะในช่วงแรกของ Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน ผมเพียงจะเกริ่นนำให้รู้ว่า “ความเชื่อ” จะนำไปสู่การพัฒนาเพื่อการเติบโตอย่างยั่งยืน ตามหัวข้อหลักนั่นเอง แต่ผมอดที่จะกล่าวไม่ได้ว่า คำว่า Cryptocurrency นั้นมาจากคำว่า Cryptography ซึ่งแปลว่าการเข้ารหัส กับคำว่า Currency ซึ่งมีความหมายว่า สกุลเงิน ความสำเร็จในการใช้เครือข่ายระหว่างกันเพื่อแบ่งปันข้อมูลและตรวจสอบเงินอิเล็กทรอนิกส์ แต่ละหน่วยว่าถูกต้องหรือไม่นั้น เป็นจุดกำเนิดของการใช้วิธีการเข้ารหัส (Cryptography) การเข้ารหัสนี้ทำให้สามารถสร้างสกุลเงินอิเล็กทรอนิกส์ อันมีส่วนประกอบสำคัญของสกุลเงินไม่แตกต่างไปจากสกุลเงินประเภท “Fiat Money” ซึ่งก็คือ บัญชีเพื่อบันทึกปริมาณเงิน (Account) ยอดคงเหลือของเงิน (Balance) และรายการแลกเปลี่ยนที่เกิดขึ้นโดยใช้เงินสกุลนั้น (Transection) ซึ่งเงินประเภท Fiat Money ทั่วไปที่ทุกคนรู้จักกันดี ก็จะเข้าใจปัญหาเรื่อง Dubble Spending ได้โดยไม่ยาก ซึ่งจะรู้จักกันในเรื่องของการปลอมแปลงเงินนั่นเอง

วิธีการของ Blockchain นั้น เป็นการบันทึกความถูกต้องของเงินในสกุลเงิน รวมทั้งยอดคงเหลือเอาไว้ในทุกหน่วย แทนการเก็บความถูกต้องและตรวจสอบความถูกต้อง โดยใช้คอมพิวเตอร์ศูนย์กลาง (Central Server) ในการทำหน้าที่นั้น ซึ่งในการพัฒนาสกุลเงินอิเล็กทรอนิกส์ก่อนหน้านั้น ใช้หน่วยกลางทำหน้าที่ตรวจสอบความถูกต้องของเงินแต่ละหน่วย รวมทั้งทำหน้าที่เก็บยอดเงินคงเหลือด้วย แต่ไม่ประสบความสำเร็จ

ทั้งนี้ ในระบบเครือข่ายกระจายศูนย์ (Decentralized Network) นั้น ไม่มีความจำเป็นที่จะต้องมีคอมพิวเตอร์กลาง (Central Server) หรือมีหน่วยศูนย์กลางทำหน้าที่ แต่ใช้หน่วยทุกหน่วยในเครือข่ายทำหน้าที่ดังกล่าว ทั้งนี้ ทุกหน่วย (คอมพิวเตอร์) ในเครือข่ายจะมีรายการทุกรายการที่เกิดขึ้น เพื่อใช้ในการตรวจสอบรายการใหม่ที่เกิดขึ้น และการตรวจสอบเช่นนั้นก็จะช่วยป้องกันปัญหาการปลอมแปลงเงินแต่ละหน่วย หรือที่เรียกว่า การป้องกันปัญหา Dubble Spending นั่นเอง

ข้างต้นเป็นการเกริ่นนำของผลกระทบทั้งทางบวกและทางลบต่อการมี การใช้ หรือการไม่มี การไม่ใช้ หรือการมี การใช้ที่ไม่มีคุณภาพ เพราะขาดความเข้าใจจริงของผู้บริหารที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งในระดับบนของประเทศ หรือระดับบนขององค์กร ที่เกี่ยวข้องกับ Fintech New Technology and Dealing with Disruption” ที่เกี่ยวข้องกับการกำกับ การบริหาร และกรอบการดำเนินงานระดับประเทศ และระดับองค์กร ภายใต้กรอบการดำเนินงานทางธุรกิจยุคใหม่ คือ ยุค Thailand Digital 4.0 สำหรับการกำกับดูแลและการบริหารจัดการไอที และเทคโนโลยียุคใหม่ตามที่กล่าวเป็นตัวอย่างข้างต้น ซึ่งผมจะค่อยๆ เล่าสู่กันฟังในรายละเอียดที่เกี่ยวข้องในตอนต่อๆ ไป

สำหรับตอนนี้ ขอนำเรื่องการจัดงาน Bangkok FinTech Fair 2018 ที่จัดโดย ธนาคารแห่งประเทศไทย ในระหว่างวันที่ 19-20 มีนาคม 2561 ณ อาคารศูนย์การเรียนรู้ ธนาคารแห่งประเทศไทย ซึ่งผมได้ไปร่วมงานด้วยทั้ง 2 วัน มาเล่าสู่กันฟัง โดยเริ่มตั้งแต่บทสรุปของการจัดงานครั้งนี้ และคำกล่าวเปิดงานโดย ดร. วิรไท สันติประภาพ ผู้ว่าการ ธปท. เพื่อให้ทราบถึงความห่วงใยที่มีต่อการกำกับสถาบันการเงิน และหน่วยงานอื่นๆ ที่เกี่ยวข้องที่สนใจ เพื่อสนับสนุนการพัฒนาระบบเศรษฐกิจและการเงิน และการขับเคลื่อนนโยบายต่างๆ โดยเป็นการเพิ่มประสิทธิภาพบริการทางการเงิน ปรับปรุงการบริหารความเสี่ยง รวมทั้งส่งเสริมการพัฒนาผลิตภัณฑ์ทางการเงินที่มีความหลากหลายและเข้าถึงผู้ใช้บริการได้อย่างทั่วถึง ทั้งในรูปแบบสรุปโดยย่อเป็นภาษาไทย และคำกล่าวเปิดที่เป็นภาษาอังกฤษโดยละเอียด ซึ่งนำมาจาก เว็บไซต์ของ ธปท. เพื่อให้เห็นภาพโดยรวมอีกมิติหนึ่งในมุมมองของ ธปท. ที่เกี่ยวกับ Fintech และเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง ในการนำไปสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพ เพื่อการกำกับดูแลกิจการที่ดีแบบบูรณาการ

 

คำกล่าวเปิดงานโดย ดร. วิรไท สันติประภาพ ผู้ว่าการ ธปท. ภาคภาษาไทย

คำกล่าวเปิดงานโดย ดร. วิรไท สันติประภาพ ผู้ว่าการ ธปท. ภาคภาษาอังกฤษ


ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 13

มกราคม 31, 2018

ความโปร่งใสกับความน่าเชื่อถือ / Transparency and Trust

ในตอนที่ 12 ผมได้พูดถึงเรื่อง GRC ในมุมมองของ Governance ซึ่งสรุปได้ว่า การกำกับดูแลกิจการที่ดีในระดับประเทศ และในระดับองค์กร ที่เรียกในภาพโดยรวมว่า Governance นั้น จะต้องประกอบด้วยมิติของการบริหารความเสี่ยง ที่เชื่อมโยงกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายต่างๆ รวมทั้งมาตรฐานที่เกี่ยวข้องในแต่ละองค์ประกอบอย่างบูรณาการที่เรียกว่า GRC ตามที่ผมได้เล่าสู่กันฟังในตอนที่ 12 แล้วนะครับ

เมื่อท่านได้อ่านตอนที่ 12 แล้วท่านจะเข้าใจว่า การบูรณาการในการกำกับที่ต้องเข้าใจในเรื่องของ GRC และองค์ประกอบที่เกี่ยวข้อง เป็นเรื่องที่มีความจำเป็นและสำคัญมากต่อการสร้างความน่าเชื่อถือ ระดับองค์กรและระดับประเทศ ซึ่งแน่นอนว่า ผู้บริหารระดับสูง ได้แก่ คณะกรรมการในภาคเอกชน และผู้บริหารระดับสูงในภาครัฐ ตั้งแต่ระดับนายกรัฐมนตรี ลงมาถึง รองนายกฯ รัฐมนตรี และเรื่อยลงมาถึงระดับปลัดกระทรวง และอธิบดี ควรจะมีความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดี  ซึ่งในยุคใหม่จะมีงานที่เกี่ยวข้องกับ IT Governance, IT Risk / Cyber Security Risk และ Compliance Risk ที่เกี่ยวข้องกับกระบวนการกำกับ IT และการบริหารจัดการ IT กระบวนการดังกล่าวมีกรอบการดำเนินงานทางธุรกิจ สำหรับการกำกับดูแลและการบริหารจัดการ IT ระดับองค์กร และระดับประเทศ เป็นกรอบในการดำเนินงานตามที่ผมได้เล่าสู่กันฟังในตอนต้นๆ แล้ว

องค์กรเพื่อความโปร่งใสนานาชาติ (Transparency International : TI) กับตัวชี้วัดใหม่

องค์กรนี้เป็นองค์กรพัฒนาภาคเอกชน (NGO) ที่ก่อตั้งขึ้นในปี พ.ศ. 2536 ณ กรุงเบอร์ลิน ประเทศเยอรมนี มีภารกิจรณรงค์ให้ผู้คนทุกประเทศในโลกนี้ ต่อต้านและม่ยอมรับการคอรัปชั่น ผ่านกิจกรรมต่างๆ โดยเฉพาะการจัดอันดับความโปร่งใสในการบริหารราชการแผ่นดินของประเทศต่างๆ ที่เริ่มทำกันมาตั้งแต่ปี พ.ศ. 2538 ซึ่งเป็นเรื่องของการประกาศหน้าตาและระดับความโปร่งใสของทุกประเทศ ที่ทั่วโลกคอยจับตาดูความสามารถในการบริหารความโปร่งใส หรือการปรามปราบคอรัปชั่น แต่ที่น่าสนใจมากที่สุดที่เป็นข่าวอยู่ในขณะนี้ก็คือ ประเทศไทย ขอถอนตัวออกจากการจัดอันดับความโปร่งใสนานาชาติ ซึ่งเป็นที่น่าแปลกใจของผู้ที่เกี่ยวข้อง ของประชาชนในประเทศไทยเอง และของประเทศต่างๆ เป็นอย่างมาก

ในอดีต ประเทศไทย เคยถูกจัดอันดับความโปร่งใส โดยสถาบัน TI – Transparency International ให้อยู่ในระดับ 3 ของประเทศที่มีการคอรัปชั่นสูงสุดในโลก ซึ่งต่อมา ประเทศไทย ก็ได้พัฒนาศักยภาพและประสิทธิภาพการบริหารความโปร่งใส ในกิจกรรมต่างๆ ให้ได้มาตรฐานสากลมากขึ้น จนกระทั่งในปี พ.ศ. 2559 ประเทศไทยได้คะแนน 35 จาก 100 คะแนน ซึ่งอยู่ในระดับที่ไม่น่าเชื่อถือ อันเกิดจากการบริหารจัดการความโปร่งใสที่ยังสามารถปรับปรุงศักยภาพได้อีกมาก ในมิติต่างๆ ที่เป็นตัววัดการจัดอันดับความโปร่งใสนานาชาติ

การที่มูลนิธิ องค์กรเพื่อความโปร่งใสในประเทศไทย ประกาศถอนตัวจากการเป็นพันธมิตรกับองค์กรเพื่อความโปร่งใสนานาชาตินั้น ได้รับการเปิดเผยจากเลขาธิการมูลนิธิ คุณจุรี วิจิตรวาทการ เมื่อวันที่ 23 มกราคม 2651 ว่า ที่ประเทศไทยได้อันดับต่ำลง เมื่อเทียบกับปีก่อนหน้านั้น เป็นเพราะ ตัวชี้วัดที่ Transparency International ใช้ในการจัดอันดับใหม่นั้น ไม่สอดคล้องกับบริบทจริงของสังคมไทย ถึงแม้ท่านจะไม่ได้กล่าวอย่างชัดเจนว่า ตัวชี้ชัดที่ไม่สอดคล้องกับบริบทของสังคมไทยนั้นคืออะไร แต่ก็มีเสียงวิพากษ์วิจารณ์ตามมาไปยังข้อสังเกตที่ “ความเป็นประชาธิปไตย (Varieties of Democracy Project – VDEM” ซึ่งเป็นตัวชี้วัดใหม่ ที่ถูกนับรวมเข้ามาในการจัดอันดับล่าสุด เมื่อปี 2559 เป็นครั้งแรก จากเดิมที่ก่อนหน้านั้น มี 8 ตัวชี้วัด ซึ่งประกอบด้วย

  1. World Justice Project (WJP) ดูความเป็น “นิติรัฐ” กฎหมายบังคับใช้ได้อย่างเป็นธรรม
  2. International Institute Management (IMD) ดูศักยภาพในการแข่งขันของประเทศ
  3. International Country Risk Guide (ICRG) หรือ Political Risk Services (PRS) ฟังเสียงสะท้อนของภาคธุรกิจว่า เคยถูกผู้มีอำนาจ “เรียกรับสินบน” เพื่อให้ทำธุรกิจได้อย่างสะดวกหรือไม่ หรือใช้  “ระบบอุปถัมภ์” ใช้เส้นสายเล่นพรรคเล่นพวกหรือไม่? เป็นต้น
  4. Bertelsmann Foundation Transformation Index (BFTI) ดูการเปลี่ยนแปลงไปสู่ความเป็นประชาธิปไตยและตลาดเสรี ทั้งการเมือง เศรษฐกิจ และการบริหารจัดการของรัฐบาล
  5. Economist Intelligence Unit (EU) ดูความโปร่งใสในการจัดสรรและใช้จ่ายงบประมาณ และการมีหน่วยงานที่เป็นอิสระเพื่อตรวจสอบการปฏิบัติงานของผู้มีอำนาจ
  6. Political and Economic Risk Consultancy (PERC) สอบถามนักธุรกิจทั้งในท้องถิ่นและต่างชาติที่เข้าไปลงทุนว่า ประเทศนั้นๆ สถานการณ์การทุจริตดีขึ้น เท่าเดิมหรือแย่ลง
  7. World Economic Forum (WEF) สอบถามนักลงทุนต่างชาติว่าประเทศที่เข้าไปลงทุนมีความเสี่ยงใดบ้าง จาก 5 ด้าน คือ การทุจริต ความไม่มั่นคงของรัฐบาล ความไม่แน่นอนด้านนโยบาย ระบบราชการที่ไม่มีประสิทธิภาพ และโครงสร้างพื้นฐานและสาธารณูปโภคที่ไม่เพียงพอ และ
  8. Global Insight Country Risk Rating (GI) ว่าด้วยความเสี่ยงในการทำธุรกิจที่อาจเข้าไปเกี่ยวกับการทุจริต อาทิ การให้สินบนเจ้าหน้าที่รัฐ เพื่อแลกกับสัญญาสัมปทานหรือใบอนุญาตประกอบกิจการ

ที่มา : หนังสือพิมพ์แนวหน้าวาไรตี้ ฉบับลงวันที่ 29 มกราคม พ.ศ. 2561

ประชาธิปไตย หรือไม่เป็นประชาธิปไตย กับคอรัปชั่น ที่เชื่อมโยงกับความโปร่งใส

เมื่อต้นปี 2560 คุณสมเกียรติ ตั้งกิจวานิชย์ ประธานสารบัญวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) เคยกล่าวถึงเรื่องนี้ในงาน ปัญหาและทางออก กรณีดัชนีการรับรู้ด้านคอรัปชั่น (CPI) ของไทยว่า

  1. สมมุติฐานเชื่อมโยงระหว่างประชาธิปไตยกับคอรัปชั่นไม่ใช่เรื่องแปลก เพราะการไม่มีประชาธิปไตย “ใครจะตรวจสอบการใช้อำนาจรัฐ?” และในความเป็นจริง “มีน้อยมาก” ที่ประเทศซึ่งไม่เป็นประชาธิปไตย จะมีอัตราการทุจริตต่ำ อย่างไรก็ดี สิงค์โปร์ ถึงแม้จะถูกชาวโลกมองว่าการเลือกตั้งไม่ได้เกิดขึ้นอย่างเป็นธรรม เพราะฝ่ายค้านถูกสกัดกั้นทุกทาง และเสรีภาพในการวิพากษ์วิจารณ์ของประชาชนก็น้อย แต่ “ได้ผู้นำดี” ที่กล้าจัดการคนที่ทุจริต แม้คนทำผิดจะเป็นคนใกล้ตัวก็ไม่ละเว้น
  2. ต่อให้ไม่มีเกณฑ์ความเป็นประชาธิปไตย ก็ไม่ได้หมายความว่า คะแนนประเทศไทยจะดีขึ้นอย่างมีนัยสำคัญแต่อย่างใด เรื่องนี้พิสูจน์ได้จาก การจัดอันดับในทุกๆ ปีก่อนหน้า (“ทรุดลง.. ทรงตัว” “ปราบโกง” “ฝันอันเลือนราง” นสพ.แนวหน้า ฉบับวันที่ 10 ก.พ. 2560)

ดัชนีตัวชี้วัดใหม่ ตามที่กล่าวข้างต้นนั้น ได้ปรากฎใน Transparency International’s 2016 Corruption Perception Index ซึ่งเป็น CPI ของปี 2559 สำหรับประเทศในเอเซียแปซิฟิก ซึ่งผมได้ค้นคว้ามาจาก globalcompliancenews.com และนำมาเสนอเป็นแผนภาพดังนี้

สำหรับหัวข้อหลักในวันนี้ก็เพื่อให้ความเห็นอย่างเป็นกลางว่า ความโปร่งใส ซึ่งเป็นเรื่องสำคัญของการกำกับดูแลกิจการที่ดี ทั้งในภาครัฐและภาคเอกชน รวมทั้งในระดับประเทศนั้น เป็นกระบวนการหนึ่งที่สำคัญอย่างยิ่งของการสร้างความน่าเชื่อถือ และการพัฒนาเพื่อการเติบโตอย่างยั่งยืน ตามหัวข้อหลัก ซึ่งผมได้เขียนมาเป็นตอนที่ 13 แล้วครับ

 

 

 

 


ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 12

ธันวาคม 4, 2017

 

GRC ในมุมมองของ Governance

Governance ในที่นี้จะหมายถึง Enterprise Governance ที่ผสมผสานกับ IT Governance และ Information Security Governance / Cyber Security Governance ดังนั้น คำว่า การกำกับดูแล หรือ Governance จึงต้องพิจารณาทั้ง 3 องค์ประกอบนี้เป็นสำคัญ และขอให้เข้าใจตรงกันว่า Governance หรือ การสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมในทุกองค์ประกอบที่เกี่ยวข้องอย่างเป็นบูรณาการตามที่กล่าวแล้ว หากขาดในเรื่อง Risk Management และ Compliance ก็ไม่อาจก่อให้เกิดการกำกับดูแลที่สามารถสร้างคุณค่าเพิ่มได้เลย

ในมิติของตัว R หรือ Risk Management หรือการบริหารความเสี่ยงนั้น ก็จะมีองค์ประกอบ 3 อย่างที่เกี่ยวข้องซึ่งกันและกัน นั่นคือ Enterprise Risk Management และ IT Risk Management รวมทั้ง Information Security / Cyber Security Risk Management ทั้ง 3 องค์ประกอบของ Risk Management นี้จะเกี่ยวพันซึ่งกันและกัน ดังนั้น กระบวนการบริหารความเสี่ยง จึงต้องพิจารณาทั้ง 3 องค์ประกอบและความสำคัญขององค์ประกอบทั้ง 3 นี้ ในขณะเดียวกัน การปฏิบัติตามกฎระเบียบ ที่เรียกว่า Compliance (C) ก็จะประกอบด้วย องค์ประกอบ 3 อย่าง คือ Law and Regal Requirements และ Rules, Regulations, Agreements และ Policies, Standards, Internal Controls ซึ่งเป็นองค์ประกอบของ Compliance ที่จะเชื่อมโยงไปกับ Risk Management ทั้ง 3 องค์ประกอบ และเชื่อมโยงต่อไปยัง Governance ทั้ง 3 องค์ประกอบ ตามที่แสดงไว้ในแผนภาพ

Strategic IT-GRC Integration Concepts มีความเชื่อมโยงและมีความสัมพันธ์กันอย่างแยกกันไม่ได้ ในมิติของ IT และในมิติของธุรกิจ ดังนั้น เมื่อองค์กรใดจะมีนโยบายทางด้าน Digital Governance ควรเข้าใจในเรื่อง Strategic IT-GRC Integration Concepts ข้างต้น เพราะหากเข้าใจคลาดเคลื่อนจากหลักการดังกล่าว ก็จะก่อให้เกิดความเสี่ยงที่สร้างความเสียหายให้กับองค์กร และในระดับประเทศได้อย่างขาดไม่ถึง

Strategic IT-GRC Integration Concepts

ก่อนที่ผมจะชวนคุยในเรื่องนี้ต่อไป ผมขอยกตัวอย่างที่เป็นข้อสรุปในเรื่อง Cyber Security – Cyber Resilience ที่ธนาคารแห่งประเทศไทยจัดให้มีการเสวนาให้กับคณะกรรมการ และผู้บริหารระดับสูงของสถาบันการเงินต่างๆ ในวันที่ 23 พฤศจิกายน 2560 เพื่อสร้างความตระหนักถึงภัยที่มองไม่เห็น และพัฒนารูปแบบการโจมตีที่หลากหลายรูปแบบ ซึ่งอาจทำลายสเถียรภาพขององค์กรและระบบการเงินของประเทศได้

ผมจึงขออนุญาตนำเอกสารที่เผยแพร่โดยธนาคารแห่งประเทศไทยในเรื่องดังกล่าวมาเผยแพร่ต่อ เพื่อให้ท่านผู้อ่านได้เห็นภาพที่เกี่ยวข้องกับการบริหารความเสี่ยง ในมิติของ Information / Cyber Security Risk Management ซึ่งเป็นส่วนหนึ่งขององค์ประกอบที่เกี่ยวกับ IT Risk Management และมีผลกระทบเชื่อมโยงไปยัง Enterprise Risk Management ซึ่งสามารถเข้าใจได้ค่อนข้างง่ายจากภาพที่ปรากฎข้างต้น ที่เป็นแก่นและแกนกลางของ Risk-based Standards and Best Practices ในมุมมองของ GRC Integration ที่เกี่ยวข้องกับ Compliance และผูกกันไว้กับ Governance ในทุกองค์ประกอบที่เกี่ยวข้องตามที่อธิบายไว้ในแผนภาพ

ข้อมูลต่อไปนี้ เป็นข้อมูลที่ได้มาจาก ธนาคารแห่งประเทศไทย ตามที่ผมได้อ้างถึงข้างต้นครับ

Cyber Resilience Leadership

ภาพนิ่ง2

ภาพนิ่ง3

จากข้อมูลที่ธนาคารแห่งประเทศไทยสรุปให้กับผู้มาร่วมเสวนา และจากข้อมูลของ ดร. รอม หิรัญพฤกษ์ ที่สรุปจากการเสวนาในวันที่ 23 พฤศจิกายน 2560 นี้นั้น ขอให้ท่านผู้อ่านทำความเข้าใจกับข้อมูลที่สรุปโดยย่อตามที่กล่าวข้างต้น ในมุมมองของ Risk-based Standards and Best Practices for Strategic IT-GRC Management ที่โยงใยไปยังการกำกับดูแล (Governance) จากการเชื่อมโยงและบูรณาการที่แยกกันไม่ได้ตามหลักการของ GRC Integration เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสีย (Stakeholders) จากผลกระทบที่คณะกรรมการของทุกองค์กร รวมทั้งผู้บริหารระดับประเทศ พึงตระหนักถึงความเสี่ยงภัย และการบริหารความเสี่ยง ที่ต้องปฏิบัติตามหลักการ GRC Integration ที่เชื่อมโยงไปยัง Compliance และ Governance ตามตัวอย่างที่ผมหยิบยกมาจาก การเผยแพร่ของธนาคารแห่งประเทศไทยในเรื่อง “Cyber Resilience Leadership”

นอกจากนี้ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA – Thailand Information Security Association) ได้จัดเสวนาในหัวข้อ “นับถอยหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU) เมื่อวันที่ 29 พฤศจิกายน 2560 ณ ศูนย์ศึกษาวิภาวดี มหาวิทยาลัยรังสิต อาคารทีเอสที ทาวเวอร์ ซึ่งมีผู้ร่วมเสวนาที่สำคัญคือ วรรณวิทย์ อาขุบุตร ที่ปรึกษากระทรวงดิจิตอลฯ, อาจารย์ปริญญา หอมเอนก กรรมการ และเลขาธิการสมาคมความมั้่นคงปลอดภัยระบบสารสนเทศ, อาจารย์นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล กรรมการและรองเลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ และ นพ. สุธี ทุวิรัตน์ กรรมการบริหารสมาคมเวชสารสนเทศไทย โดยมี นพ. สุธี ทุวิรัตน์ เป็นผู้สรุป ซึ่งทุกท่านเป็นกรรมการของ TISA โดยมีหัวข้อที่น่าสนใจดังนี้

  • กฏหมายคุ้มครองส่วนบุคคลสหภาพยโรป หรือ GDPR EU คืออะไร ธุรกิจจะอยู่รอดหรือหายไป
  • ค่าปรับมหาศาล ใครจะรับไหว คุ้มการลงทุนในการปฏิบัติตามหรือไม่
  • ใครในองค์กรที่เกี่ยวข้องบ้าง จะปรับตัวอย่างไร

ภาพนิ่ง4

ทั้งนี้ การอภิปรายมีความน่าสนใจเป็นอย่างยิ่ง และผู้ร่วมเสวนาได้มีโอกาสแลกเปลี่ยนกันอย่างกว้างขวางถึงปัญหาที่จะเกิดขึ้นในอนาคต โดยเฉพาะอย่างยิ่ง ในธุรกิจที่เกี่ยวข้องกับชาวยุโรปทุกคนที่จะมาใช้บริการในประเทศไทย และประเทศอื่นๆ ซึ่งผู้ให้บริการของทุกองค์กรในประเทศนั้นๆ จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU / General Data Protection Regulation – EU) ทั้งนี้มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561

ผมขออนุญาตที่จะไม่เอ่ย องค์กรและสถาบันที่จะมีผลกระทบต่อกฎหมาย GDPR EU นี้ เพราะเป็นเรื่องอ่อนไหวอย่างมากที่ไม่สามารถระบุองค์กรที่จะได้รับความเสียหาย รวมทั้งความเสียหายระดับประเทศอย่างมีนัยสำคัญด้วย ทั้งนี้ องค์กรหรือภาคธุรกิจที่เก็บข้อมูลส่วนบุคคลไม่ว่าในรูปแบบใด เช่น ผู้ให้บริการเกี่ยวกับการประกันฯ ธุรกิจโรงแรม ท่องเที่ยว สายการบิน รถเช่า ฯลฯ ซึ่งมีการเก็บข้อมูลชื่อบุคคลจากประเทศในกลุ่มยุโรปที่มาใช้บริการ ที่อยู่ เบอร์โทรศัพท์ บัตรเครดิต ใบขับขี่ ฯลฯ ก็ต้องปฏิบัติตามกฎระเบียบนี้ด้วย

ท่านผู้อ่านครับ ขอให้ท่านย้อนไปดูสิ่งที่ผมเล่าสู่กันฟังในเรื่อง Digital Governance Policy and Digital Governance Framework ในตอนที่ 10 ซึ่งเป็นกรอบการกำกับดูแล การบริหารการจัดการ IT ระดับองค์กรส่วนหนึ่ง ที่เกี่ยวข้องกับ GRC Integration ตามที่ผมได้เล่าสู่กันฟังข้างต้นนะครับ


ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 11

พฤศจิกายน 11, 2017

Integrated GRC and Digital Governance

ในตอนที่ 10 ผมได้นำกรอบของ Digital Governance Framework ซึ่งมีที่มาจาก ISACA มีท่านผู้อ่านบางท่านที่ติดตามเรื่องนี้อยู่ ได้สอบถามว่า หัวข้อนี้ ทำอย่างไรจึงจะมีความเข้าใจที่ดี ที่สามารถนำเป็นหลักคิดและหลักปฏิบัติได้อย่างแท้จริง และได้บอกแนวทางให้ผมลองทบทวนความเข้าใจในหัวข้อนี้ตามที่กล่าวในบทที่ 10 อีกครั้งหนึ่งคือ Digital Governance and Innovative Technology เพราะเรื่องมันลึกลงไปเรื่อยๆ จนผมผู้อ่านเริ่มติดตามไม่ทัน และการนำไปสู่การปฏิบัติน่าจะมีปัญหา โดยเฉพาะอย่างยิ่ง ผมเอง (ท่านผู้อ่าน) อยู่ในวงการที่ถูกกำกับโดย Governing Body หลายหน่วยงานด้วยกัน เช่น ธปท. กลต. คปภ. ตลาดหลักทรัพย์ รวมทั้ง ต้องปฏิบัติตามสารพัดมาตรฐานที่กำหนดโดยสถาบันที่เกี่ยวข้องจากต่างประเทศด้วย สำหรับผมผู้เขียนเองก็มีความวิตกกังวลในเรื่องเกี่ยวกับมาตรฐานบางเรื่องที่สำคัญที่มาจากต่างประเทศ เช่น  เรื่อง GDPR – General Data Protection Regulation ฯลฯ ซึ่งจะมีผลกระทบกระเทือนต่อเศรษฐกิจและสังคมของประเทศไทยอย่างรุนแรง แต่ก็ยังไม่มีแนวทางที่ชัดเจน จากหน่วยงานกำกับที่เกี่ยวข้องให้แนวทางในเรื่องนี้ จนถึงเวลานี้ (11/11/2560)

สำหรับเรื่อง GDPR ตามที่กล่าวในวรรคแรกนั้น ทางสมาคมความมั่นคงปลอดภัยสารสนเทศ (TISA – Thailand Information Security Association) จะจัดให้มีการสัมมนาเรื่องนี้ในวันพุธที่ 29 พฤศจิกายน 2560 ที่มหาวิทยาลัยรังสิต โดยเชิญผู้ที่เกี่ยวข้องมาร่วมเสวนา เพื่อเป็นการกระตุ้นความสนใจ ความเข้าใจ ในผลกระทบอย่างร้ายแรงต่อเศรษฐกิจและสังคมของไทย หากไม่มีการปฏิบัติที่เป็นรูปธรรมที่มีผลจริงจังตั้งแต่วันที่ 28 พฤษภาคม 2561 เป็นต้นไป และจะนำมาเล่าสู่กันฟังหลังจากนั้นนะครับ

ดังนั้น Trust and Sustainable Development ตอนที่ 11 นี้ ผมจะย้อนยุคไปสู่แนวความคิด การบริหารจัดการระบบสารสนเทศ ให้เป็นไปในทิศทางเดียวกันกับความต้องการของภาคธุรกิจ เพื่อสร้างความมีประสิทธิภาพและความมีประสิทธิผล เพื่อก้าวไปสู่ Governance Outcome ซึ่งเป็นไปตามหลักการกำกับดูแลกิจการที่ดี สำหรับบริษัทจดทะเบียน ปี 2560 ที่กำหนดโดย กลต. ซึ่งคณะกรรมการกำกับดูแลกิจการที่ดีในองค์กรส่วนใหญ่ โดยเฉพาะอย่างยิ่ง องค์กรในบริษัทจดทะเบียนฯ ควรกำกับดูแลโดยมีเป้าหมายไปสู่ผลที่จะได้รับ หรือ Governance Outcome ที่กล่าวไว้ใน CG Code อย่างน้อย 4 เรื่องด้วยกันคือ

  1. สามารถแข่งขันได้และมีผลประกอบการที่ดี โดยคำนึงถึงผลกระทบในระยะยาว (Competitiveness and performance with long-term perspective)
  2. ประกอบธุรกิจอย่างมีจริยธรรม เคารพสิทธิและมีความรับผิดชอบต่อผู้ถือหุ้นและผู้มีส่วนได้เสีย (Ethical and responsible business)
  3.  เป็นประโยชน์ต่อสังคม และพัฒนาหรือลดผลกระทบด้านลบต่อสิ่งแวดล้อม (Good corporate citizenship)
  4. สามารถปรับตัวได้ภายใต้ปัจจัยการเปลี่ยนแปลง (Corporate resilience)

การที่องค์กรนิยมนำกรอบแนวคิดในเรื่อง Balanced Score Card – BSC มาใช้ในการบริหารธุรกิจ และกรอบความคิดนี้ ก็ได้นำไปประยุกต์ใช้เป็นแนวคิดของ IT Balanced Score Card ด้วยเช่นกัน เพื่อให้แน่ใจว่า การบริหารจัดการเทคโนโลยีสารสนเทศ และการบริหารธุรกิจนั้น เป็นเรื่องที่ต้องไปด้วยกัน เพราะความต้องการของธุรกิจ จะเป็นตัวบ่งชี้ถึงความต้องการในการบริหารจัดการและกำกับงานทางด้านระบบสารสนเทศ เพื่อตอบสนองความต้องการของธุรกิจได้เหมาะกับยุค Thailand 4.0 โดยมีการนำกรอบการดำเนินงานกำกับดูแลและการบริหารจัดการไอทีระดับองค์กรมาใช้ ตามหลักการของ COBIT 5 ที่ผมได้นำเสนอมาในตอนต้นๆ แล้ว ทั้งนี้ในหลักการดังกล่าว ได้นำ Best Practices และมาตรฐานต่างๆ มาใช้ในการอ้างอิง ซึ่งเป็นที่มาของ Governance of Enterprise IT – GEIT ซึ่งเป็นกรอบแนวคิดแบบองค์กร (Holistic Approach) ที่แสดงถึงความสอดคล้องกันระหว่างธุรกิจและเทคโนโลยีสารสนเทศ ทั้งนี้ เป็นแรงผลักดันจากปัจจัยธุรกิจ ที่ต้องได้ตามเป้าหมายทางธุรกิจ (Business Goals) และต้องปฏิบัติให้ถูกต้องตามกฏหมาย กฎระเบียบ ข้อบังคับต่างๆ (Regulatory Compliance)

แนวคิด Integrated GRC กับความเชื่อมโยงไปสู่ Digital Governance

แนวคิดนี้เพิ่งได้รับความนิยมมาประมาณ 10 ปีเศษๆ ซึ่งอาจอธิบายได้ว่า GRC เป็นแนวคิดที่นำไปสู่แนวปฏิบัติในการเชื่อมโยง (Alignment) และบูรณาการ (Integrated) ซึ่งเป็นเรื่องของหลักการหรือวินัยในการกำกับและการบริหารกิจการที่ดีที่สำคัญ 3 เรื่อง (3D – 3 Disciplines) ได้แก่ Governance + Risk Managemtn + Compliance เข้าด้วยกันเป็นภาพรวมตลอดทั้งองค์กร ซึ่งระบุไปที่แกนหลักทั้ง 4 คือ กลยุทธ์ กระบวนการ บุคลากร และเทคโนโลยี ซึ่งรวมกับแนวคิดทางด้าน IT อย่างแยกกันไม่ได้ และพิจารณาเป็นเรื่องเดียวกัน ตั้งแต่การกำหนดวิสัยทัศน์ พันธกิจ ค่านิยมร่วม นโยบาย กลยุทธ์ การบริหารความเสี่ยง แผนการดำเนินงาน ผู้รับผิดชอบ ตามหลักการ RACI ของ COBIT 5 ที่ผมได้กล่าวมาแล้ว รวมทั้งสภาพแวดล้อม เทคโนโลยีและนวัตกรรมที่เปลี่ยนแปลงไป ซึ่งเป็นแรงผลักดันให้ผู้มีส่วนได้เสีย ร่วมกันกำหนดกรอบ Governance ยุคใหม่ ที่เรียกว่า Governace of Enterprise IT ที่หน่วยงานกำกับต่างๆ ซึ่งแน่นอนว่าเกี่ยวข้องกับ Governing Body ทั่วโลกนำมาใช้ โดยมีแนวคิดหลักที่นำไปสู่การปฏิบัติในการสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสีย ที่นำ GRC / Integrated GRC เข้าไปสู่กรอบของหลักการ COBIT 5 & GEIT

ผมกำลังเกริ่นนำท่านผู้จุดประกายให้ผมพูดถึงเรื่องนี้ว่า ทำอย่างไรถึงจะเข้าใจ เข้าถึง พัฒนา ไปสู่การปฏิบัติและพัฒนาอย่างต่อเนื่องภายใต้เทคโนโลยีและนวัตกรรมใหม่ ที่เรียกกันว่า Digital Governance ครับ

สำหรับแนวคิดเรื่องการบูรณาการ GRC (Integrated GRC) จะเริ่มต้นจากกลยุทธ์ เชื่อมโยงกับกระบวนการ บุคลากรและเทคโนโลยี การปฏิบัติตามนโยบายขององค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ของคณะกรรมการและผู้บริหารระดับสูงขององค์กร ตลอดจนการปฏิบัติตามกฎหมาย และระเบียบ รวมทั้งมาตรฐานต่างๆ เพื่อเพิ่มประสิทธิผล และประสิทธิภาพ และแนวคิด Integrated GRC นั้น ยังนำไปสู่การเติบโตอย่างยั่งยืนของประเทศ และองค์กร ธุรกิจ (Sustainable Growth) รวมทั้งเรื่องความถูกต้องและความโปร่งใส (Transparency) ด้วย ความเข้าใจในเรื่องการบูรณาการ GRC นั้น เราควรจะมีกรอบแนวคิดที่เริ่มต้นในด้านกลยุทธ์นำไปสู่การปฏิบัติ ได้แก่ Strategic GRC Framework ซึ่งแบ่งเป็น 3 ระดับได้แก่ ระดับสูง ระดับกลาง และระดับปฏิบัติงาน และต้องมี การบริหารความเสี่ยง ซึ่งเป็นแกนกลางที่สำคัญมากที่นำไปสู่การกำกับดูแลกิจการที่ดี และมีความเกี่ยวข้องโดยตรงกับการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ รวมถึงการบริหารความเสี่ยงทางด้านความมั่นคงปลอดภัยของสารสนเทศ (Information Security Risk Manament)

แนวคิดของ GRC มีความหมายที่ต้องการความเข้าใจอย่างลึกซึ้งในการเชื่อมโยงและบูรณาการอยู่ในตัว ทั้งด้าน IT และ Non-IT มีการเชื่อมโยงไปถึงเรื่องภาวะผู้นำ และวัฒนธรรมภายในองค์กร ดังนั้น ความร่วมมือและความเข้าใจของคณะกรรมการ ผู้บริหาร และผู้ปฏิบัติงานในองค์กร (Human Factor) จึงเป็นเรื่องสำคัญที่เป็นปัจจัยแห่งความสำเร็จ (Key Success Factor)

ทั้งนี้ แนวปฏิบัติและปัจจัยแห่งความสำเร็จในการประยุกต์ใช้ GRC สู่ Digital Governance จะนำเสนอในตอนต่อไปนะครับ

อนึ่ง ผมมีข้อแนะนำเป็นข้อคิดชวนปฏิบัติในการทำความเข้าใจทุกเรื่องที่เราสนใจ เช่น กรอบความคิด GRC ที่นำไปสู่ Digital Governance จะนำไปสู่กระบวนการเปลี่ยนแปลงทางด้านวิสัยทัศน์ พันธกิจ และกลยุทธ์ รวมทั้งเรื่องที่เกี่ยวเนื่องมากมาย ที่ผสมผสานทางด้านเศรษฐกิจ การเงิน การลงทุน กระบวนการกำกับและบริหารธุรกิจ  และกระบวนการตัดสินใจ ที่นำไปสู่ Governance Outcome ที่มีเทคโนโลยีและนวัตกรรมเป็นตัวขับเคลื่อนสำคัญ ที่มีผลต่อกระบวนการพัฒนาศักยภาพของบุคลากรในทุกระดับ ตั้งแต่ผู้นำของประเทศ ผู้นำของทุกองค์กร และผู้นำของธุรกิจ และผู้มีผลประโยชน์ร่วมที่เป็นตัวขับเคลือนสำคัญ

3 H คือ กระบวนการที่สร้างความเข้าใจจากความคิดที่นำไปสู่การปฏิบัติที่เป็นรูปธรรมได้ อันได้แก่   1 Head -> 2 Heart -> 3 Hand ซึ่งหมายถึง การทำความเข้าใจ โดยการสังเกต  และวิเคราะห์ (Head) ของทุกเรื่องที่เราอ่านและสนใจในกรณีนี้ก็คือ GRC ที่นำไปสู่ Digital Governance ส่วน Heart ก็คือ ความใส่ใจ/มีใจ ที่มาจากผลลัพธ์ของการใช้ Head ที่ต้องการนำไปสู่การปฏิบัติอย่างแท้จริง อย่างมุ่งมั่นของทุกท่านที่เกี่ยวข้องกับงานในความรับผิดชอบและในตำแหน่งหน้าที่ที่เกี่ยวข้อง รวมทั้งสนใจผลกระทบจากขั้นตอนและกระบวนการทำงานในทุกระดับ ทั้งในระดับบน ระดับล่าง (Vertical) และในระดับเดียวกัน (Holizontal) ซึ่งนำไปสู่การปฏิบัติ (Hand) โดยมีผู้รับผิดชอบและแยกกันไปทำในส่วนของฝ่ายตน แต่ต้องทำงานร่วมกันภายใต้นโยบายและจุดมุ่งหมายเดียวกัน ซึ่งมีคณะกรรมการและผู้บริหารระดับสูงเป็นผู้กำหนดนโยบายในภาพรวม และมีระดับความเสี่ยงที่องค์กรยอมรับได้