"GRC" ซึ่งย่อมาจาก "Governance Risk and Compliance" แนวคิด "GRC" นั้นเป็นแนวคิดใหม่ที่รวมองค์ประกอบ 3 องค์ประกอบเข้าด้วยกัน ได้แก่ องค์ประกอบที่ 1 "Governance" , องค์ประกอบที่ 2 "Risk Management" และ องค์ประกอบที่ 3 "Regulatory Compliance" การกำหนดนิยามของคำว่า "GRC" นั้น มาจาก นิยามของทั้งสามองค์ประกอบ ได้แก่
"Governance" หมายถึง นโยบาย วัฒนธรรมองค์กร กระบวนการขั้นตอนการปฏิบัติงาน ที่ถูกกำหนดออกมาอย่างชัดเจนในการบริหารจัดการและกำกับดูแลองค์กรโดยผู้ บริหารระดับสูงเพื่อการบริหารองค์กรที่โปร่งใส ตรวจสอบได้ คำที่เราได้ยินกันบ่อยๆ ได้แก่ คำว่า "Corporate Governance" จะรวมถึงความสัมพันธ์และบทบาทของทุกคนในองค์กรไม่ใช่เฉพาะผู้บริหารอย่างเดียว ตลอดจนกำหนดเป้าหมายหลักที่เน้นเรื่องความโปร่งใสในการบริหารจัดการของผู้ บริหารระดับสูงในองค์กร
"Risk Management" หมายถึง การบริหารจัดการความเสี่ยงที่มีเป้าหมายในการลดผลกระทบจากความเสี่ยงที่อาจ มีโอกาสเกิดขึ้นได้ในองค์กร หากไม่มีการบริหารจัดการความเสี่ยงที่ดีพอ
"Compliance" หมายถึง การปฏิบัติตามกฎระเบียบข้อบังคับ และกฎหมาย ตลอดจนการปฏิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้องได้ตามมาตรฐาน ยกตัวอย่าง เช่น การปฏิบัติตามประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมอิเล็คทรอนิกส์โดยคณะกรรมการธุรกรรมอิเล็คทรอนิกส์และการจัดทำแผนเพื่อรองรับพระราชบัญญัติ และพระราชกฤษฎีกาด้านความปลอดภัยทางอิเล็กทรอนิกส์
แนวคิด "GRC" นั้น นอกจากจะทำให้องค์กรแสดงถึงความเป็น "Good Governance" แล้ว ยังทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาวอีกด้วย เป็นการเสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง รวมทั้งการสร้างจิตสำนึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน ส่งผลให้ลูกค้าเกิดความเชื่อถือและความมั่นใจในการใช้บริการต่าง ๆ ขององค์กร ซึ่งเป็นแนวคิดที่ไม่ได้แตกต่างจากแนวคิดยอดนิยม คือ Balanced Scorecard (BSC) ที่มีองค์ประกอบทั้ง 4 ด้าน ได้แก่ Customer Perspective, Financial Perspective, Internal Perspective และ Learning and Growth Perspective
จะเห็นได้ว่า แนวคิด "GRC" นั้น ถือเป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กรที่ไม่ใช่เฉพาะผู้บริหาร ระบบสารสนเทศ หรือ CIO เท่านั้น แต่เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด ไม่ว่าจะเป็นการเริ่มจาก CEO ตลอดจน CFO, CTO และ CIO จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด "GRC" ให้กลายเป็นผลงานในเชิงปฏิบัติ ซึ่งภาวะผู้นำ หรือ "Leadership" เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ เนื่องจากการปฏิบัติที่จะส่งผลเป็นรูปธรรมนั้นจำเป็นต้องใช้งบประมาณดังที่ ได้กล่าวมาแล้ว และ ยังต้องใช้บุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด "GRC" โดยเฉพาะถึงจะเกิดผลสำเร็จได้ รวมทั้งอาจต้องมีการจัดจ้างที่ปรึกษาหรือผู้เชี่ยวชาญเฉพาะทางมาคอยเป็นพี่ เลี้ยงและให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่าง ๆ ได้อย่างถูกต้อง ดังนั้น ผู้บริหารระดับสูงจึงจำเป็นที่จะต้องมีภาวะผู้นำดังกล่าวอย่างยิ่ง เพื่อให้ได้ตามเป้าหมายตามแนวคิด "GRC" ในที่สุด
แนวคิดของ “GRC” นั้น มาจากความหมายของคำหลาย ๆ คำ ได้แก่ “Corporate Governance”, “IT Governance”, “Financial Risk”, “Strategic Risk”, “Operational Risk”, “IT Risk”, “Corporative Compliance”, “Employment / Labor Compliance”, “Privacy Compliance” รวมถึงกฎหมายต่างๆ ในสหรัฐอเมริกา เช่น SOX (Sarbanes-Oxley Compliance) หรือ กฎระเบียบข้อบังคับ Basel II ที่ถูกกำหนดขึ้นโดยธนาคารเพื่อการชำระบัญชีระหว่างประเทศ (BIS) ตลอดจน มาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) ซึ่งเป็นมาตรฐานที่บังคับใช้กับกลุ่มบริษัทที่ให้บริการบัตรเครดิต เช่น VISA, MASTER เป็นต้น
ในปัจจุบัน กระแส “Governance” และ “Compliance” กำลังมาแรงทั่วโลกรวมถึงในประเทศไทยด้วย เพราะเรามีทั้งกฎหมายธุรกรรมอิเล็กทรอนิกส์ และ กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่ประกาศออกมาบังคับใช้กันแล้ว การที่ผู้บริหารองค์กรยังไม่ได้ให้ความสำคัญกับเรื่องทั้ง 2 เรื่องนี้ กลายเป็นความเสี่ยง (Risk) ที่มีโอกาสเกิดขึ้นกับองค์กรอย่างหลีกเลี่ยงไม่ได้ ยกตัวอย่างบริษัทที่ประสบปัญหาในสหรัฐอเมริกา เช่น บริษัท ENRON และ บริษัท WORLDCOM ก็ล้วนมีปัญหาเรื่องความไม่โปร่งใสและการไม่ปฏิบัติตามข้อกฎหมายต่าง ๆ จนเป็นเหตุให้บริษัทต้องล้มละลายในที่สุด
การบรรลุเป้าหมาย “Good Governance” นั้น ต้องเริ่มจาก ผู้บริหารระดับสูงสุดเป็นคนแรก ตลอดจนเป็นความรับผิดชอบหลักของคณะกรรมการบริหาร (Board of Director) ถ้าหากผู้บริหารระดับสูงไม่ใส่ใจเท่าที่ควรจะเป็น คำว่า “Good Governance” ก็คงจะเกิดขึ้นไม่ได้อย่างแน่นอน การจะได้มาซึ่ง “Good Governance” ต้องมีการบริหารความเสี่ยง (Risk Management) และการบริหารเกี่ยวกับการปฏิบัติตามกฎระเบียบและข้อกฎหมายต่าง ๆ (Compliance Management) ควบคู่กันไป ดังนั้น เราจะเห็นว่า “Governance”, “Risk” และ “Compliance” มีความสัมพันธ์ และมีความเกี่ยวข้องกัน แนวคิด “GRC” นั้น ต้องการที่จะนำองค์ประกอบทั้ง 3 มาปฏิบัติร่วมกันในรูปแบบของการทำงานเป็นทีม มีการ “share” ข้อมูลซึ่งกันและกัน มีการเปิดกว้างทางความคิดที่จะปรับปรุงองค์กรจากข้อมูลและแนวทางจากผู้บริหารของหลาย ๆ ฝ่าย
ในปัจจุบันการบริหารจัดการความปลอดภัยระบบสารสนเทศ (IT Security Management) นั้น ใช้แนวทางที่เรียกว่า “Holistic Risk Management” หมายถึง “การบริหารความเสี่ยงในภาพรวม” ในขณะที่ปัจจัยด้านกฎระเบียบ ข้อกฎหมายต่างๆ ถูกนำเข้ามาพิจารณาด้วยในโครงการที่เกี่ยวข้องกับความปลอดภัยระบบสารสนเทศในปัจจุบัน จะเห็นว่าแนวทาง “Regulatory Compliance” นั้น กลายเป็นเรื่องที่สำคัญที่มีผลกระทบต่อโครงสร้างพื้นฐานระบบสารสนเทศ (IT Infrastructure) ขององค์กรอย่างหลีกเลี่ยงไม่ได้
Top Driver of IT Security Investment
Source: Ernest and Young, Global Information Security Survey
รูปที่ 1
จากข้อมูลในรูปที่ 1 จะเห็นว่าเรื่อง “Regulatory Compliance” เป็น “Top Driver” สำหรับการลงทุนด้านความปลอดภัยระบบสารสนเทศ และพบว่าองค์กรส่วนใหญ่ใช้งบประมาณ 7-10% ของงบประมาณระบบสารสนเทศทั้งหมดไปกับเรื่อง IT Policy และ IT Compliance ขณะที่การใช้งบประมาณด้าน IT Security มีตัวเลขอยู่ที่ 4-6% ของงบประมาณระบบสารสนเทศโดยรวม ซึ่งพบว่าน้อยมากและไม่เพียงพอต่อการปฏิบัติตามแนวทาง Regulatory Compliance ข้อมูลจาก Merrill Lynch CISO Survey พบว่า 62% ของ CISO คาดหวังงบประมาณด้าน IT Security ว่าควรเพิ่มขึ้น ขณะที่ CISO 34% สรุปว่างบประมาณเพียงพอแล้ว และ 4% บอกว่าควรลดงบประมาณลง
Security Spending Survey
Source: Goldman Sacks
รูปที่ 2
จากข้อมูลในรูปที่ 2 การใช้จ่ายเกี่ยวกับ Software ด้าน Compliance / Risk Management มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% ขณะที่ การ Outsource เรื่องการจัดเก็บ LOG ของระบบตามกฎหมายต่าง ๆ ไปยัง MSSP มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% เช่นกัน
Causes of Compliance Deficiencies
Source: ITPolicyCompliance.com
รูปที่ 3
จากข้อมูลในรูปที่ 3 จะสังเกตุได้ว่า ปัญหาและอุปสรรคของการปฏิบัติตามหลักการ Regulatory นั้น อันดับหนึ่งคือ เรื่องงานเอกสาร (Documentation) และอันดับที่ 2 ถึง 8 นั้นเกี่ยวข้องกับเรื่อง IT Security ที่ยังไม่ได้ปฏิบัติตาม Standard หรือ Best Practice เช่น ISO/IEC 27001, ITIL หรือ ISO/IEC 20000 ตลอดจนมาตรฐาน CobiT 4.1 เป็นต้น กระบวนการของแนวคิด “GRC” นั้นประกอบด้วย 10 กระบวนการที่ต้องการผู้บริหารมารับผิดชอบอย่างเป็นทางการดังตาราง “GRC” Component Definition ข้างล่าง
กระบวนการของแนวคิด “GRC” นั้นประกอบด้วย 10 กระบวนการที่ต้องการผู้บริหารมารับผิดชอบอย่างเป็นทางการดังตาราง “GRC” Component Definition ข้างล่าง
GRC Component Definition Table
แนวคิด “GRC” นั้น นอกจากจะทำให้องค์กรแสดงถึงความเป็น “Good Governance” แล้ว ยังทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาวอีกด้วย เป็นการเสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง รวมทั้งการสร้างจิตสำนึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน ส่งผลให้ลูกค้าเกิดความเชื่อถือและความมั่นใจในการใช้บริการต่าง ๆ ขององค์กร ซึ่งเป็นแนวคิดที่ไม่ได้แตกต่างจากแนวคิดยอดนิยม คือ Balanced Scorecard (BSC) ที่มีองค์ประกอบทั้ง 4 ด้าน ได้แก่ Customer Perspective, Financial Perspective, Internal Perspective และ Learning and Growth Perspective
กล่าวโดยสรุปจะเห็นได้ว่า แนวคิด “GRC” นั้น ถือเป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กรที่ไม่ใช่เฉพาะผู้บริหารระบบสารสนเทศ หรือ CIO เท่านั้น แต่เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด ไม่ว่าจะเป็นการเริ่มจาก CEO ตลอดจน CFO, CTO และ CIO จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด “GRC” ให้กลายเป็นผลงานในเชิงปฏิบัติ ซึ่งภาวะผู้นำ หรือ “Leadership” เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ เนื่องจากการปฏิบัติที่จะส่งผลเป็นรูปธรรมนั้นจำเป็นต้องใช้งบประมาณดังที่ได้กล่าวมาแล้ว และ ยังต้องใช้บุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด “GRC” โดยเฉพาะถึงจะเกิดผลสำเร็จได้ รวมทั้งอาจต้องมีการจัดจ้างที่ปรึกษาหรือผู้เชี่ยวชาญเฉพาะทางมาคอยเป็นพี่เลี้ยงและให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่าง ๆ ได้อย่างถูกต้อง ดังนั้น ผู้บริหารระดับสูงจึงจำเป็นที่จะต้องมีภาวะผู้นำดังกล่าวอย่างยิ่ง เพื่อให้ได้ตามเป้าหมายตามแนวคิด “GRC” ในที่สุด
SUMMARY
1. แนวคิด “GRC”
– ทำให้องค์กรแสดงถึงความเป็น “Good Governance”
– ทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาว
– เสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง
– สร้างจิตสำานึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน
– ส่งผลให้ลูกค้าเกิดความเชื่อถือ และมีความมั่นใจในการใช้บริการต่างๆ ขององค์กร
2. เป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กร
– ไม่จำกัดเฉพาะผู้บริหารระบบสารสนเทศ หรือ CIO เท่านัน้
– เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด “GRC” ให้เป็นผลงานในเชิงปฏิบัติ
3. ภาวะผู้นำ หรือ “Leadership” เป็นปัจจัยสำคัญ
– งบประมาณ
– ต้องมีบุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด “GRC” โดยเฉพาะ
– ควรจัดจ้างที่ปรึกษา หรือผู้เชี่ยวชาญเฉพาะเพื่อให้คำแนะนำ และให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่างๆ ได้อย่างถูกต้อง
REFERENCE
- http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf
- ทิศทางใหม่สำหรับผู้บริหารระบบสารสนเทศวันนี้และอนาคต,
http://www.acisonline.net/
-http://www.uih.co.th/mss_article/January%202008%20-The%20New%20Trend%20-%20GRC.pdf
ไม่มีความคิดเห็น:
แสดงความคิดเห็น