ITG กับบางมุมมองของเกณฑ์การประเมินผลภาครัฐด้านการบริหารจัดการสารสนเทศ (ITM)

การบริหารจัดการความเสี่ยงตามหลักการของ COSO – Enterprise Risk Management ที่คณะกรรมการประเมินผลภาครัฐ นำมาใช้ในเกณฑ์การประเมินผลการบริหารความเสี่ยงตามที่ได้กล่าวมาแล้วในครั้งก่อน ๆ นั้น หลายมุมมองจะเกี่ยวข้องกับการประเมินความเสี่ยงที่เกิดจากการบริหารและควบคุมสารสนเทศที่มีผลต่อ Business Process และ Business Objective ขององค์กรอย่างเป็นกระบวนการ ตามขอบเขตของ IT Governance ที่เกี่ยวข้องกับ COBIT – Control OBjcetive for Information and Technology ตามหลักการของ ITGI ซึ่งประกอบไปด้วย หลักการบริหารกรอบใหญ่ ๆ 4 ด้าน คือ
1. การวางแผนและการจัดการองค์กร (Planning & Organization – PO)
2. การจัดหาและการนำระบบออกใช้งานจริง (Acquisition & Implementation – AI)
3. การส่งมอบและการบำรุงรักษา (Delivery & Support – DS)
4. การติดตาม (Monitoring – M)

การบริหารและการจัดการกับความเสี่ยงตามหลักการของ COSO ก็เกี่ยวข้องกับการเลือกวิธีการควบคุมความเสี่ยง โดยเฉพาะอย่างยิ่งเกี่ยวข้องอย่างมากต่อความเสี่ยงด้านเทคโนโลยี ที่มีผลกระทบต่อ Business Process ที่อาจเกิดช่องว่างของจุดอ่อนและการทุจริตตามที่เป็นข่าวในสถาบันการเงินหลายแห่งของไทยเมื่อเร็ว ๆ นี้ ซึ่งความเสี่ยงของเทคโนโลยีดังกล่าวต้องการความรู้ และประสบการณ์ทางด้านการจัดการกับเทคโนโลยีผสมผสานอย่างแยกไม่ได้กับความเข้าใจในเรื่องการบริหารความเสี่ยง ตามหลักการของ COSO – ERM

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

วันนี้ ผมจึงขอนำเสนอแนวทางของเกณฑ์การประเมินผลของภาครัฐ บางมุมมองที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ในปี 2552 แยกพิจารณาออกเป็น 2 ส่วน สรุปได้ดังนี้

ส่วนที่ 1
1. การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ

ส่วนที่ 2
2. การบริหารการจัดการสารสนเทศ
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

– การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) ของ ISO 27001

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

– การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน
2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และนโยบายต่างๆ ของรัฐบาล
2.5.1 การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต ทั้งการให้บริการภายในและภายนอกองค์กร
2.5.2 ความสะดวกในการให้บริการของประชาชน / พนักงาน / ผู้มีส่วนได้เสีย เช่น การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online
2.5.3 การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ
2.5.4 One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว
2.5.5 ระบบ Back Office ที่สามารถ Share ข้อมูลกับหน่วยงานอื่นทั้งภายใน และภายนอกองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล
2.5.6 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการภายในและภายนอกองค์กร
2.6.1 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
2.6.2 การนำระบบเข้ามาช่วยการสื่อสารทั้งภายในและภายนอกองค์กร
2.6.3 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)
2.6.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

การบริหารและการควบคุมความเสี่ยงเป็นภาพใหญ่ของทุกองค์กร ที่ต้องคำนึงถึงสภาพแวดล้อมของธุรกิจ โดยเฉพาะอย่างยิ่งกิจกรรมที่เกี่ยวข้องกับกรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของ COSO ซึ่งอาจขยายความให้ครอบคลุมไปถึงความเสี่ยงทางด้านเทคโนโลยี (IT Security Risk) ได้ในทุกมุมมอง ดังนั้น ฝ่ายบริหารของทุกองค์กรควรพิจารณาและทบทวนความเข้าใจในเรื่องที่เกี่ยวข้องกับ IT Security Governance ซึ่งสัมพันธ์กับ IT Governance และ Corporate Governance อย่างแยกกันไม่ได้

และผมจะขยายความในเรื่อง IT Security Governance ในมุมมองของ COSO – ERM ซึ่งมีหลายเรื่องที่มีความสัมพันธ์กันอย่างใกล้ชิดและน่าสนใจยิ่ง ในโอกาสต่อ ๆ ไปครับ

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: