คำแนะนำและหลักการในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร (ต่อ)

สวัสดีครับ วันนี้เราจะมาพูดคุยกันถึงคำแนะนำในการยกระดับการบริหารความเสี่ยงของหน่วยงาน/องค์กร บางประการ ที่จะสามารถเพิ่มประสิทธิภาพ เพื่อยกระดับการบริหารความเสี่ยงขององค์กรไปสู่ระดับการบริหารความเสี่ยงที่สามารถสร้างมูลค่าเพิ่มให้แก่องค์กรได้ โดยมีหลักการพิจารณาง่าย ๆ ที่ผมจะนำเสนอต่อจากครั้งที่แล้ว ดังนี้

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี

5.1. ก) องค์กรมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยง และปัญหาที่อาจเกิดขึ้นทางด้าน IT โดยมีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน และควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่าง ๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่าง ๆ ที่อาจเกิดขึ้นได้ )

ทั้งนี้องค์กรควรมีการดำเนินงานด้าน IT ตามแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งการพัฒนากระบวนการประเมินความเสี่ยง ด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามมาตรฐานความมั่นคงปลอดภัย ISO/IEC 27001 ที่ดำเนินงานตามระบบจัดการดำเนินธุรกิจอย่างต่อเนื่องของงานหลักทุก ๆ ด้าน และมีการวิเคราะห์ผลกระทบต่อบริษัท การดำเนินกิจกรรมเพื่อลดความเสี่ยง รวมถึงการติดตามประเมินผล

ข) องค์กรมีการกำหนดกรอบการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ ตามแผนงานการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) และดำเนินการวิเคราะห์ – ประเมินผลกระทบต่อการหยุดชะงักการดำเนินงานที่สำคัญ ซึ่งประกอบด้วย การประเมินความเสี่ยง (Risk Assessment) การวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) และการวิเคราะห์และระบุงานที่สำคัญ (Critical Business Function) โดยวิเคราะห์ผลกระทบทางธุรกิจ ( Business Impact Analysis: BIA ) ซึ่งพิจารณาจากระบบหลัก ที่มีผลกระทบโดยตรงในระยะเวลาสั้นต่อการดำเนินงาน โดยเน้นเรื่อง Time Critical (Maximum Tolerable Period of Disruption : MTPD) เป็นหลัก และให้ความสำคัญต่อผลกระทบทางการเงินและผลกระทบต่อการดำเนินงานขององค์กร

5.2. 1) Board มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT คือ ได้มีการจัดทำแผนแม่บทเทคโนโลยีสารสนเทศ และดำเนินงานตามแผน โดยเป็นแผนเชิงกลยุทธ์ ซึ่งได้พิจารณาถึงการเปลี่ยนแปลงสภาวะแวดล้อมด้านเทคโนโลยีสารสนเทศ และการสื่อสารที่มีผลกระทบต่อการดำเนินธุรกิจ ทั้งในปัจจุบันและอนาคต โดยคณะกรรมการฯ มีบทบาทสำคัญ เพราะเป็นผู้ควบคุมดูแลตัดสินใจเรื่องนโยบาย รวมถึงแต่งตั้งฝ่ายจัดการ เพื่อจัดการงานประจำ ดังนั้น คณะกรรมการฯ จึงสามารถบริหารจัดการและติดตามประเมินผลการดำเนินงานโครงการด้าน IT ที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสาร ด้วยการติดตามและรายงานผลการดำเนินงานโครงการตามแผนธุรกิจ ซึ่งมีโครงการคลอบคลุมการดำเนินงานทั้งหมด รวมทั้งโครงการที่อยู่ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารเป็นไปอย่างเป็นระบบและสอดคล้องกัน

2) คณะกรรมการองค์กรแต่งตั้ง คณะอนุกรรมการกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (IT Strategy Committee) เพื่อกลั่นกรองงานด้าน IT โดยมี CIO มีอำนาจหน้าที่ เช่น ให้คำปรึกษาแนะนำ และนำเสนอข้อมูลเชิงลึกด้านเทคโนโลยีสารสนเทศ (IT) แก่คณะกรรมการองค์กร ในเรื่องการพัฒนาเชิงลึกของ IT ความสอดคล้องของ IT กับทิศทางการดำเนินกิจการขององค์กร การมีทรัพยากรด้าน IT ที่พอเพียงและเหมาะสม รวมทั้งทักษะที่จำเป็น และ IT Infrastructure ประโยชน์ที่ได้รับจากการลงทุนด้าน IT ความเสี่ยงที่เกี่ยวข้องกับ IT และความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามนโยบายด้าน IT

5.3. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการความมั่นคงปลอดภัย และกฎเกณฑ์ด้าน IT อย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุน ทางด้าน IT และระยะเวลาของการเปลี่ยนแปลง กระบวนการและระบบการทำงาน เป็นต้น โดยฝ่ายบริหารจะต้องมีการประเมินศักยภาพ และความคุ้มค่าของการใช้ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เพื่อการตัดสินใจของคณะกรรมการและผู้บริหารระดับสูง ในเชิงวิเคราะห์เปรียบเทียบกับวัตถุประสงค์และเป้าหมาย อันได้แก่ การนำเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมมาใช้งาน เพื่อพัฒนาระบบงานด้านต่าง ๆ ให้มีประสิทธิภาพ มีคุณภาพที่สอดคล้อง และรองรับต่อความต้องการของลูกค้า และทันต่อการเปลี่ยนแปลง โดยการนำ IT มาช่วยสนับสนุน หรือพัฒนาให้การปฏิบัติงานประจำมีความสะดวก รวดเร็ว ลดระยะเวลาในการทำงาน หรือลดความซ้ำซ้อนในการดำเนินงาน ซึ่งเป็นการใช้งานระบบ IT ทั้งทางด้าน Admin และงานด้านสนับสนุนภารกิจหลัก

5.4. การดำเนินงานตามแผน ISO 27001 เป็นไปตามเป้าหมายที่กำหนดไว้ในแผนประจำปี คือองค์กรได้มีการจัดทำแผนการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร ตามแนวทางของมาตรฐาน ISO 17799 โดยมีการดำเนินการตามแผนงาน/โครงการ ซึ่งประกอบด้วยแผนงาน/โครงการสำหรับระบบงานหลักและระบบงานรอง

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงดีกว่าแผนฯ ในปัจจัยเสี่ยงที่มีความรุนแรงสูง (อยู่ในดุลยพินิจของคณะอนุกรรมการ) และดีขึ้นจากอดีตที่ผ่านมา โดยผลการบริหารความเสี่ยงในทุกปัจจัยเสี่ยงขององค์กร มีระดับความรุนแรงลดลงทุกปัจจัยเสี่ยง ซึ่งในทุกปัจจัยเสี่ยงขององค์กรมีการระบุอย่างชัดเจน ถึงระดับความรุนแรงของความเสี่ยงทั้งก่อนและหลังการบริหารฯ โดยที่ระดับความรุนแรงก่อนและหลังบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารฯ ได้มีระดับความรุนแรงหลังบริหารความเสี่ยงลดลงจากก่อนบริหารความเสี่ยง รวมถึงองค์กรได้มีการดำเนินการตามแผนครบทุกกิจกรรม และมีผลการดำเนินงานดีกว่าเป้าหมายที่กำหนดไว้

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: