กรุงเทพฯ--2 มี.ค.--เอพีพีอาร์ มีเดีย
ผลวิจัยสำคัญ
ความเสี่ยงทางธุรกิจอาจเกิดขึ้นได้ทั้งจากปัญหาเชิงปฏิบัติการในแต่ละวันไปจนถึงความผิดพลาดครั้งใหญ่ที่เกิดขึ้นนานๆ ครั้ง โดยในช่วงทศวรรษที่ผ่านมา ระบบเทคโนโลยีสารสนเทศ (ไอที) ได้เข้ามามีบทบาทสำคัญในทุกภาคส่วนของธุรกิจ ทำให้การทำงานต่างๆ จำเป็นต้องพึ่งพาระบบไอทีในระดับสูงอย่างที่ไม่เคยมีมาก่อน และนั่นทำให้ ความเสี่ยงด้านไอที ซึ่งเดิมเป็นเพียงส่วนย่อยของความเสี่ยงในด้านการปฏิบัติงาน กำลังกลายเป็นภัยคุกคามสำคัญของหลายองค์กร ที่จำเป็นต้องเอาใจใส่และดูแลจัดการด้วยความรอบคอบกว่าเดิม โดยความเสี่ยงด้านไอทีนั้นประกอบไปด้วยเรื่องของความปลอดภัย ความพร้อมของระบบ สมรรถนะของระบบ และการดำเนินตามนโยบายคอมไพลเอนซ์ (compliance) ซึ่งภัยในแต่ละส่วนนั้นล้วนก่อให้เกิดความเสียหายแก่ธุรกิจได้อย่างมหาศาล
ในรายงานการจัดการความเสี่ยงด้านไอที จากไซแมนเทค (Symantec IT Risk Management Report) ได้นำเสนอกระบวนการ 5 ขั้นตอน สำหรับองค์กรในการจัดการกับความเสี่ยงด้านไอที เพื่อให้บรรลุเป้าหมายกลายเป็นหนึ่งในกลุ่มผู้นำ (Best-in-Class) ซึ่งเป็นกลุ่มสูงสุดที่มีสมรรถนะของระบบดีเยี่ยมในด้านการควบคุมดูแล 16 ปัจจัยสำคัญ อีกทั้งกระบวนการ 5 ขั้นตอนดังกล่าว ยังช่วยให้องค์กรสามารถสร้างแนวทางที่เหมาะสม และป้องกันปัญหาต่างๆ ที่อาจเกิดขึ้นด้วยการตรวจสอบ จัดการ และตรวจวัดประสิทธิผลของระบบบริหารความเสี่ยงด้านไอทีอย่างต่อเนื่อง
ผลวิจัยสำคัญใน รายงานการจัดการความเสี่ยงด้านไอที จากไซแมนเทค
ระหว่างเดือนตุลาคม 2548 ถึงเดือนตุลาคม 2549 ทางไซแมนเทคได้รวบรวมข้อมูลเกี่ยวกับความเสี่ยงด้านไอทีจากบริษัทกว่า 500 แห่งใน 37 กลุ่มอุตสาหกรรม โดยผู้เข้าร่วมการสำรวจล้วนเป็นมืออาชีพที่รับผิดชอบในองค์กรหลากหลายขนาดในทุกภูมิภาคของโลก งานวิจัยดังกล่าวได้ใช้ทีมงานในการถามข้อมูลจากแบบสอบถามเพื่อให้ได้คำตอบที่มีคุณภาพและถูกต้องมากที่สุด
องค์กรหลายแห่งระบุว่า มีช่องว่างและข้อบกพร่องในการควบคุมระบบบริหารความเสี่ยงด้านไอที
- มืออาชีพด้านไอทีระบุว่า พวกเขาเชี่ยวชาญด้านการติดตั้งเทคโนโลยีมากกว่าการควบคุมกระบวนการ ซึ่งแม้ผลลัพธ์ดังกล่าวจะไม่ได้เป็นเรื่องที่เกินคาด แต่ประเด็นที่น่าสนใจอยู่ที่ความสำคัญของควบคุมความเสี่ยงด้านไอทีและต้นทุนการปฏิบัติงาน
- ผู้ตอบแบบสอบถามมองเห็นปัญหาหลักใน 2 ส่วนด้วยกัน คือ 1) ด้านระบบสินทรัยพ์คงคลัง การจัดแบ่งระดับชั้น และการจัดการ 2) การควบคุมการตั้งกำหนดค่าและการบริหารความเปลี่ยนแปลง โดยทั้งสองส่วนล้วนสำคัญต่อการจัดการความเสี่ยงด้านไอทีเชิงรุกทั้งสิ้น
องค์กรในกลุ่มผู้นำได้เลือกใช้แนวทางแบบภาพรวม (holistic) และพบกับปัญหาด้านไอทีน้อยกว่า
- องค์กรในกลุ่มผู้นำ แม้จะมีความเสี่ยงในระดับที่สูงกว่า แต่ตามรายงานพบว่า มีจำนวนปัญหาด้านไอทีที่น้อยกว่าองค์กรที่มีประสิทธิผลต่ำ
- จากการวิเคราะห์องค์กรในกลุ่มผู้นำพบว่า แนวทางแบบภาพรวมเพื่อควบคุมทุกส่วน มีความสัมพันธ์กับประสิทธิผลโดยรวมและการลดจำนวนปัญหาด้านไอที
มุมมองที่ผิดเพี้ยนในเรื่องความเสี่ยงด้านไอทีถือเป็นปราการสำคัญต่อการจัดการความเสี่ยงอย่างมีประสิทธิผล
- รายงานดังกล่าวได้แสดงให้เห็นถึงมุมมองที่แตกต่างกันในด้านความเสี่ยงของผู้จัดการฝ่ายไอที ผู้อำนวยการ และผู้บริหารระดับสูง ซึ่งการที่จะทำให้ได้ผลตอบแทนการลงทุนที่คุ้มค่านั้น องค์กรด้านไอทีควรปรับระบบภายในทั้งหมดเพื่อให้รับรู้ถึงความเสี่ยงได้อย่างถูกต้อง
- มุมมองที่แตกต่างกันในเรื่องของความเสี่ยงด้านไอที ทำให้เกิดความไม่ลงตัวระหว่างไอทีกับธุรกิจ ซึ่งอาจนำไปสู่การผสานงานที่ย่ำแย่ และทำให้เกิดปัญหาด้านการลงทุน อันเป็นผลให้มีการสูญเสียทรัพยากรโดยไม่จำเป็น และมีการจัดการความเสี่ยงที่ไม่มีประสิทธิผลในที่สุด
ข้อมูลที่น่าสนใจใน "รายงานการจัดการความเสี่ยงด้านไอที" จากไซแมนเทค
อัตราโดยประมาณในการเกิดเหตุการสำคัญด้านไอที (IT Incidents - expected frequency)
- 66% ของผู้ตอบแบบสอบถามคาดว่า จะมีเหตุการณ์สำคัญครั้งใหญ่ที่กำหนดไว้แล้ว (regulatory incident) เกิดขึ้นอย่างน้อยหนึ่งครั้งในทุกห้าปี
- 58% ของผู้ตอบแบบสอบถามคาดว่า จะเกิดการสูญเสียข้อมูลครั้งใหญ่อย่างน้อยหนึ่งครั้งในทุกห้าปี
- 60% ของผู้ตอบแบบสอบถามคาดว่า จะมีเหตุการณ์สำคัญครั้งใหญ่ด้านไอทีเกิดขึ้นอย่างน้อยหนึ่งครั้งในแต่ละปี
- 67% ของผู้ตอบแบบสอบถามคาดว่า จะมีเหตุการณ์ด้านไอทีย่อยๆ เกิดขึ้นอย่างน้อย 10 เหตุการณ์ในแต่ละปี
- 28% ของผู้ตอบแบบสอบถามคาดว่า จะมีเหตุการณ์ด้านไอทีย่อยๆ เกิดขึ้นอย่างน้อย 20 เหตุการณ์ในแต่ละปี
องค์กรในกลุ่มผู้นำ (Best-in-class)
- องค์กรในกลุ่มผู้นำมักพบกับปัญหาความเสี่ยงด้านคอมไพลเอนซ์และกระบวนการทางธุรกิจในระดับที่สูง แต่มีปัญหาอันเกิดจากเหตุการณ์ด้านไอทีในจำนวนที่ต่ำกว่า
- องค์กรในกลุ่มผู้นำมักสามารถสร้างมาตรการควบคุมดูแลได้อย่างเป็นระเบียบและมีประสิทธิผล
- องค์กรในกลุ่มผู้นำมีความเสี่ยงจากคอมไพลเอนซ์มากกว่าจากกระบวนการทางธุรกิจ
- การประเมินและการตรวจสอบเป็นปัจจัยสำคัญที่สร้างช่องว่างระหว่างบริษัทในกลุ่มผู้นำและบริษัทที่มีสมรรถนะในระดับต่ำ
ประสิทธิผลด้านขั้นตอนกระบวนการ (Process effectiveness)
- 68 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า องค์กรของตนเองมีประสิทธิผลมากกว่า 75 เปอร์เซ็นต์ ในด้านการบังคับใช้ระบบตรวจสอบยืนยัน ระบบกำหนดสิทธิ์ และการจัดการการเข้าถึงระบบ โดยถือเป็นกลุ่มปัจจัยที่อยู่ภายใต้การควบคุมด้านกระบวนการในระดับสูงที่สุด
- 49 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า องค์กรของตนเองมีประสิทธิผลมากกว่า 75 เปอร์เซ็นต์ ในด้านการฝึกอบรบและสร้างการรับรู้ โดยถือเป็นกลุ่มปัจจัยหนึ่งที่องค์กรมีการควบคุมด้านกระบวนการในระดับต่ำ
- 38 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า องค์กรของตนเองมีประสิทธิผลมากกว่า 75 เปอร์เซ็นต์ ในด้านการดูแลสินทรัพย์คงคลัง การจัดระดับและการจัดการ โดยถือเป็นกลุ่มปัจจัยที่องค์กรมีการควบคุมด้านกระบวนการในระดับต่ำที่สุด
ประสิทธิผลด้านเทคโนโลยี (Technology effectiveness)
- 80 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า องค์กรของตนเองมีประสิทธิผลมากกว่า 75 เปอร์เซ็นต์ ในด้านการติดตั้งระบบเครือข่าย โปรโตคอล และระบบความปลอดภัย โดยถือเป็นกลุ่มปัจจัยที่อยู่ภายใต้การควบคุมด้านเทคโนโลยีในระดับสูงที่สุด
- 55 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า องค์กรของตนเองมีประสิทธิผลมากกว่า 75 เปอร์เซ็นต์ ในด้านการติดตั้งระบบการตั้งค่าและการบริหารความเปลี่ยนแปลง โดยถือเป็นกลุ่มปัจจัยหนึ่งที่องค์กรมีการควบคุมด้านเทคโนโลยีในระดับต่ำ
- 42 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า องค์กรของตนเองมีประสิทธิผลมากกว่า 75 เปอร์เซ็นต์ ในด้านการติดตั้งออกแบบแอพพลิเคชันที่มีความปลอดภัย โดยถือเป็นกลุ่มปัจจัยที่องค์กรมีการควบคุมด้านเทคโนโลยีในระดับต่ำที่สุด
ความเสี่ยงบนกระบวนการทางธุรกิจและคอมไพลเอนซ์ (Business process and compliance risk)
- 70 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า ความเสี่ยงอันเกี่ยวข้องกับคอมไพลเอนซ์ในด้านการจัดเก็บข้อมูลเป็นเรื่องสำคัญมาก
- 66 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า ความเสี่ยงบนระบบไอทีที่เกี่ยวข้องกับกระบวนการทางธุรกิจด้านการเงินและการบริหารจัดการ เป็นเรื่องสำคัญมาก
- 55 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า ความเสี่ยงอันเกี่ยวข้องกับบรรษัทภิบาล (corporate governance) เป็นเรื่องสำคัญมาก
- 53 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม ระบุว่า ความเสี่ยงบนระบบไอทีอันเกี่ยวข้องกับการบริหารความสัมพันธ์กับลูกค้า (customer relationship management) การจัดการระบบงาน และงานด้านระบบธุรกิจอัจฉริยะ (business intelligent) กำลังเกิดความเสี่ยงในอัตราที่สูงมากขึ้น
- ผู้ตอบแบบสอบถามส่วนใหญ่ระบุว่า งานด้านการวิจัยและพัฒนา และการบริหารห่วงโซ่อุปธาน มีความเกี่ยวข้องกับความเสี่ยงด้านไอทีในระดับต่ำที่สุด
- องค์กรที่มีพนักงานมากกว่า 20,000 คนขึ้นไป มักมองเห็นความสำคัญของความเสี่ยงด้านคอมไพลเอนซ์ มากกว่าองค์กรที่มีพนักงานน้อยกว่า 20,000 คน (33% กับ 15%)
มุมมองทางความเสี่ยงด้านไอทีที่แตกต่างตามลักษณะงาน (Job role differences in perceptions of IT Risk)
- 12 เปอร์เซ็นต์ของผู้บริหารระดับสูงด้านไอที ระบุว่า ความเสี่ยงจากกระบวนการธุรกิจเป็นสิ่งสำคัญกับงานด้านไอที เมื่อเทียบกับ 22 เปอร์เซ็นต์ของผู้อำนวยการด้านไอทีซึ่งมีความเห็นในลักษณะเดียวกัน
- 23 เปอร์เซ็นต์ของผู้บริหารระดับสูงด้านไอที ระบุว่า ความเสี่ยงด้านคอมไพลเอนซ์เป็นสิ่งสำคัญกับงานด้านไอที เมื่อเทียบกับ 16 เปอร์เซ็นต์ของผู้อำนวยการด้านไอทีซึ่งมีความเห็นในลักษณะเดียวกัน
- 27 เปอร์เซ็นต์ของผู้บริหารระดับสูงด้านไอที ระบุว่า องค์กรของตนเองมีประสิทธิผลมากกว่า 75 เปอร์เซ็นต์ในด้านความสามารถเชิงเทคโนโลยี เมื่อเทียบกับ 39 เปอร์เซ็นต์ของผู้จัดการฝ่ายไอทีซึ่งมีความเห็นในลักษณะเดียวกัน