ในปัจจุบันแนวปฏิบัติตามหลักบรรษัทภิบาล Enterprise Governance หรือ Corporate Governance เช่น COSO ERM มีการกล่าวถึงการบริหารความเสี่ยงขององค์กรในภาพรวมที่รู้จักกันในนาม Enterprise Risk Management (ERM) Framework ซึ่งเป็นแนวทางบริหารจัดการความเสี่ยงขององค์กรโดยรวมในภาพใหญ่ (Holistic Approach) ที่ไม่ลงรายละเอียดในการประเมิน “ความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร” ซึ่งหมายถึง “Information Technology (IT) Risk” หรือ “IT Related Risk” แต่ในความเป็นจริงเราพบว่า องค์กรมีการนำเทคโนโลยีสารสนเทศมาใช้ในการขับเคลื่อนองค์กรอย่างกว้างขวางและระบบสารสนเทศกลายเป็นโครงสร้างพื้นฐานของการดำเนินธุรกิจและธุรกรรมต่าง ๆ ขององค์กรซึ่งจะขาดเสียไม่ได้ ในเมื่อการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรมีความสำคัญต่อองค์กรเช่นนี้ เราอาจกล่าวได้ว่า “IT Risk” ก็คือ “Business Risk” นั่นเอง
จากแนวคิด “IT Risk” ก็คือ “Business Risk” เราสามารถจัดกลุ่ม “IT Risk” ได้ 3 กลุ่ม ดังนี้ (ดูรูปที่ 1)

รูปที่ 1: The Three Catagories of IT Risk

1. “IT Service Delivery Risk” เป็นความเสี่ยงเนื่องจากการที่ระบบสารสนเทศไม่สามารถตอบสนองการให้บริการในมุมมองของ “Performance” และ “Availability” เช่น ระบบล่มเข้าถึงข้อมูลไม่ได้ หรือ ระบบมีช่องโหว่ถูกแฮกเกอร์หรือไวรัสคอมพิวเตอร์โจมตี ทำให้ระบบช้าลง หรือ ไม่สามารถให้บริการแก่ลูกค้าตามปกติได้
2. “IT Solution Delivery Risk” เป็นความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้กับกระบวนการธุรกิจที่เกิดใหม่ เช่น การเปิดโครงการใหม่ หรือ การให้บริการใหม่ หรืออาจจะเป็นการปรับปรุงประบวนการทางธุรกิจหรือการให้บริการทางธุรกิจที่มีอยู่แล้วให้ดีขึ้นโดยการนำเทคโนโลยีสารสนเทศมาใช้ ยกตัวอย่างเช่น โครงการไม่เสร็จตามเวลาที่กำหนดไว้ เนื่องจากมีปัญหาเกิดขึ้นในระบบสารสนเทศ หรือ คุณภาพของการให้บริการในโครงการไม่เป็นไปตามวัตถุประสงค์เนื่องจากเกิดปัญหาทางด้านเทคนิคที่เกี่ยวข้องกับการนำเอาเทคโนโลยีสารสนเทศมาใช้
3. “IT Benefit Realization Risk” เป็นความเสี่ยงเนื่องจากการที่เราไม่สามารถนำเทคโนโลยีสารสนเทศมาใช้งานตอบสนองธุรกิจได้อย่างคุ้มค่าเพียงพอในการเพิ่มประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ เราต้องการให้ “IT” เป็น “Business Enabler” หมายถึง การนำเทตโลโลยีสารสนเทศ (“IT”) มาใช้เพื่อประโยชน์ในการดำเนินทางธุรกิจไม่ใช่นำเอา “IT” มาใช้แล้วมีแต่ปัญหาต่าง ๆ เกิดขึ้นตามมาเนื่องจากการนำเทตโลโลยีสารสนเทศมาใช้อย่างไม่ถูก้องและไม่มั่นคงปลอดภัยเพียงพอ ส่วนใหญ่มีสาเหตุมาจากระบบสารสนเทศที่มีความเสี่ยงสูงและมีผลกระทบสูง ซึ่งทราบได้จากการทำ Business Impact Analysis (BIA) และ Risk Assessment (RA) ตามหลัก Business Continuity Management (BCM) ทำให้ผู้บริหารระดับสูงไม่สามารถมองเห็น “ประโยชน์” ในการนำเทคโนโลยีสารสนเทศมาใช้ มองไม่เห็น Return On Investment (ROI) ของการใช้เทคโนโลยีสารสนเทศในองค์กร จึงถือเป็นความเสี่ยงหนึ่งในระดับองค์กรที่ต้องนำมาพิจารณาเพื่อลดความเสี่ยงให้อยู่ในเกณฑ์ที่ผู้บริหารยอมรับได้ ในความหมายของ Risk Appetite และ Risk Tolerance

ปัญหาที่เกิดขั้นในองค์กรส่วนใหญ่ก็คือ ผู้บริหารระดับสูงมักจะมอง “IT Risk” เป็นเรื่องของฝ่ายเทคโนโลยีสารสนเทศโดยมองเป็นเรื่องทางเทคนิคเพียงอย่างเดียว แต่ไม่ได้มองถึงผลกระทบจากความเสี่ยงที่เกิดจากการใช้งานระบบสารสนเทศอย่างไม่ปลอดภัย หรือ ไม่ได้ให้ความสนใจเพียงพอกับเรื่องความมั่นคงปลอดภัยสารสนเทศหรือ “Information Security” ขณะนี้เป็นที่ยอมรับกันทั่วโลกแล้วว่าเรื่องความมั่นคงปลอดภัยสารสนเทศนั้นมีความสำคัญและมีส่วนเกี่ยวข้องโดยตรงกับความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร ดังนั้น จึงมีแนวคิดที่จะนำมาตรฐานที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศมาใช้ในการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ได้แก่ มาตรฐาน ISO/IEC 27005:2008 “Information Security Risk Management (ISRM)” (ดูรูปที่ 2) ซึ่งออกแบบมาใช้สำหรับการประเมินความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศโดยเฉพาะ ซึ่งโดยทั่วไปการประเมินความเสี่ยงระบบสารสนเทศนิยมใช้มาตรฐาน NIST SP800-30 ในการประเมินความเสี่ยง ซึ่งมาตรฐานนี้ไม่ได้ถูกออกแบบมาใช้ในการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศโดยตรง

รูปที่ 2 : ISO/IEC 27005:2008 and COSO ERM

แต่เมื่อมองในมุมของการประเมินความเสี่ยงในภาพรวมขององค์กรจะเห็นได้ว่า COSO ERM Framework (the Committee of Sponsoring Organizations of the Treadway Commission ’s Enterprise Risk Management—Integrated Framework) มาตรฐาน ISO 31000 (Risk Management—Principles and Guidelines) และ มาตรฐาน AS/NZS 4360 Australian/New Zealand Standard for Risk Management ซึ่งเป็นมาตรฐานที่ใช้ในการอ้างอิงด้านการบริหารจัดการความเสี่ยงในภาพใหญ่ระดับองค์กร สามารถตอบโจทย์การประเมินความเสี่ยงขององค์กรในภาพรวมได้ เมื่อพิจารณาลงในรายละเอียดถึงการนำเทคโนโลยีสารสนเทศมาใช้ในการขับเคลื่อนธุรกิจขององค์กร เรานิยมอ้างอิงมาตรฐาน NIST SP800-30 และ มาตรฐาน ISO/IEC 27005:2008 มาใช้ในการประเมินความเสี่ยงระบบสารสนเทศ ทำให้เกิด “GAP” หรือ “ช่องว่าง” ในการเชื่อมโยงและบูรณาการที่จะทำให้ข้อมูลด้านความเสี่ยงของการใช้งานระบบสารสนเทศไปไม่ถึงผู้บริหารระดับสูง ทำให้ผู้บริหารระดับสูง หรือ กรรมการบริหาร (Board of Director) มีข้อมูลไม่เพียงพอจนป็นเหตุให้ไม่สามารถตัดสินใจในการบริหารความเสี่ยงได้อย่างทันท่วงที
ความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร หรือ “IT Risk” นั้นเกิดขึ้นเสมอไม่ว่าเราจะทำการประเมินความเสี่ยงหรือไม่ก็ตาม ดังนั้น องค์กรควรมีกระบวนการ หรือ “Process Framework” ที่ใช้ในการจัดการบริหารความเสี่ยงอันเนื่องจากการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร ทาง ISACA จึงได้ทำการพัฒนา “Risk IT Framework” เพื่อให้ผู้บริหารระดับสูง (Top Executive) หรือ คณะกรรมการบริหาร (Board of Director) สามารถรับรู้ถึงความเสี่ยงและสามารถกำหนดทิศทางในการจัดการบริหารความเสี่ยงเหล่านี้ได้อย่างชัดเจนและเป็นรูปธรรมมากขึ้น ในระดับภาพรวมขององค์กร ตลอดจนผู้บริหารระดับกลางและผู้บริหารระบบสารสนเทศสามารถบริหารจัดการควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้น และยังตอบโจทย์ของผู้ตรวจสอบทั้งภายในและภายนอกในมุมของการบริหารจัดการความเสี่ยงขององค์กรอย่างมีประสิทธิภาพอีกด้วย โดย “Risk IT Framework” นั้น ถูกออกแบบให้เชื่อมโยงกับ “CobiT Framework” และ “COSO ERM Framework” โดยตรงอยู่แล้ว ซึ่งจะทำให้องค์กรมุ่งไปสู่ “Enterprise Governance” ไม่ใช่แค่เพียง “IT Governance” เท่านั้น ทำให้องค์กรเห็นภาพความเสี่ยงในการนำเทคโนโลยีสารสนเทศมาใช้แล้วส่งผลกระทบกับการดำเนินธุรกิจขององค์กรได้ชัดเจนยิ่งขึ้น
โดยปกติแล้วข้อมูลที่ได้จากการประเมินความเสี่ยงระบบสารสนเทศนั้นมักจะถูกนำมาพิจารณาแก้ปัญหาเฉพาะผู้บริหารระดับกลางหรือผู้เชี่ยวชาญด้านเทคนิคที่มีความรู้ด้านเทคโนโลยีสารสนเทศเท่านั้นจึงทำให้การบริหารความเสี่ยงในภาพรวมขององค์กรไม่เกิดประสิทธิผลและประสิทธิภาพเท่าที่ควร นั่นคือเหตุผลหลักที่ทาง ISACA ได้พัฒนา “Risk IT Framework” มา “Bridging the Gap” หรือ อุดช่องว่างระหว่าง “Enterprise Risk” และ “IT Risk” โดยความหมายของคำว่า “Risk IT” นั้นไม่ได้มีความหมายเฉพาะ “IT Risk” เท่านั้น แต่หมายถึงความเสี่ยงในเชิงธุรกิจหรือ “Business Risk” ที่เกิดจากการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรด้วย โดยเราต้องมอง “IT” เป็น “Business Enabler” (ดูรูปที่ 3) ซึ่งจะก่อให้เกิดประโยชน์ในเชิงบวกให้แก่องค์กรและพยายามลดความเสี่ยงจากการนำเทคโนโลยีสารสนเทศมาใช้ ซึ่งจะกลายเป็น “Destructor” แทนที่จะเป็น “Enabler” ส่งผลกระทบแก่องค์กรในเชิงลบ ดังนั้น องค์กรจึงมีความจำเป็นอย่างยิ่งในการนำ “Risk IT Framework” มาประยุกต์ใช้ในการบริหารความเสี่ยงขององค์กร

รูปที่ 3 : IT Risk vs. IT Opportunity

ปรัชญาในการนำ “Risk IT Framework” มาใช้ในองค์กรนั้นเน้นที่หัวใจหลักใน 2 มุมมอง ได้แก่ มุมมอง “Governance” และ มุมมอง “Management” ในมุมมอง “Governance” นั้นหมายถึง การบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้ในการดำเนินธุรกิจขององค์กร (IT Risk) ต้องมีความเชื่อมโยง กับวัตถุประสงค์ในการดำเนินธุรกิจขององค์กรได้อย่างชัดเจน เรียกได้ว่าเน้นไปที่ “Business Objective” ไม่ใช่ “IT Objective” และ สอดคล้องกับการบริหารจัดการความเสี่ยงทั้งขององค์กรในภาพรวม (Enterprise Risk Management) สำหรับมุมมอง Management นั้น หมายถึง การบริหารจัดการภายในทั้งในองค์กรในการสื่อสารให้ทุกคนในองค์กรได้รับรู้กับความเสี่ยงและเกิดความตระหนักถึงผลกระทบจากความเสี่ยงที่อาจเกิดขึ้น ทำให้ทุกคนเกิดความระมัดระวังและปฏิบัติตามนโยบาย ข้อกำหนดต่าง ๆ ที่ผู้บริหารได้ประกาศให้ทุกคนปฏิบัติตามได้อย่างมีประสิทธิภาพมากขึ้น เรียกว่า “ทำด้วยใจ” ไม่ใช่ “ทำเพราะถูกบังคับให้ทำ”

The Three Core Disciplines of IT Risk Management
แนวทางการบริหารจัดการความเสี่ยงที่ดีและมีประสิทธิภาพนั้นควรต้องประกอบด้วยองค์ประกอบสามประการ โดยได้แนวคิดมาจาก “The Three Core Disciplines of IT Risk Management” ได้แก่ “Foundation” “Process” และ “Awareness” ซึ่งจากการวิจัยของ MIT Sloan Center for Information System Research และ Gartner (ดูรูปที่ 4) ซึ่งปรับปรุงมาจากผลงานวิจัย “Building IT Risk Management Effectiveness” ของ George Westerman

รูปที่ 4 The Three Core Disciplines of IT Risk Management

ในส่วนขององค์ประกอบแรกคือ “Foundation” หมายถึง ระบบโครงสร้างพื้นฐานและระบบโปรแกรมประยุกต์ต่าง ๆ (Infrastructure and Application) ต้องมีการวางรากฐานที่ดีซึ่งเป็นส่วนหนึ่งของการบริการจัดการทรัพย์สินหรือ “IT Asset Management” และยังรวมถึงการกำหนดกระบวนการและหน้าที่ความรับผิดชอบบุคลากรให้ชัดเจนอีกด้วย
สำหรับองค์ประกอบที่สองได้แก่ “Process” หมายถึง “Risk Governance Process” ที่สามารถทำให้ผู้บริหารระดับสูงมองเห็นภาพรวมของความเสี่ยงในระดับ “Enterprise Level” ซึ่งจะทำให้ผู้บริหารระดับสูงสามารถ “ตัดสินใจ” และ “กำหนดลำดับความสำคัญ” จัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพมากที่สุด
สำหรับองค์ประกอบสุดท้ายได้แก่ “Awareness” นั้น หมายถึง ต้องสร้าง “Risk Aware Culture” ภายในองค์กรให้สำเร็จ เพื่อให้ทุกคนในองค์กรได้รับรู้ถึงผลกระทบที่อาจเกิดจากความเสี่ยง และ ให้ความร่วมมืออย่าง “เต็มที่” และ “เต็มใจ” ในการบริหารจัดการความเสี่ยงในลักษณะ “ร่วมด้วยช่วยกัน” ไม่ใช่ “ต่างคน ต่างทำ”

ประโยชน์ที่ได้จากการนำ “Risk IT Framework” มาใช้ในองค์กร

1. ทำให้ผู้บริหารระดับสูงที่ไม่คุ้นเคยกับภาษา “คน IT” สามารถเข้าใจความเสี่ยงด้านการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรใดได้ชัดเจนยิ่งขึ้น เรียกว่า “เห็นภาพ” มากขึ้นในมุมมองของ “IT Risk” ที่มีผลกระทบกับการดำเนินธุรกิจ ธุรกรรมต่าง ๆ ขององค์กรจนอาจส่งผลให้เกิดความเสียหายแก่องค์กรจนกลายเป็น “Business Risk” โดยจะทำให้ผู้บริหารระดับสูงตระหนักถึงความเสี่ยงและสามารถ “ฟันธง” หรือ “แก้ไข” ปัญหาความเสี่ยงที่อาจเกิดขึ้นในอนาคตได้อย่างทันท่วงที
2. เป็นแนวทางในการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรอย่างครบวงจร ทั้งมุมมองทางด้านเทคนิค และ มุมมองด้านการบริหารจัดการ ตลอดจน มุมมองด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security)
3. ทำให้เกิดการสร้างวัฒนธรรมด้านการบริหารจัดการความเสี่ยงขึ้นในองค์กร หรือ ที่เรียกว่า “Risk Aware Culture” ทำให้ทุกคนมีความสามารถในการับรู้ความเสี่ยงโดยทั่วกันในภาษาเดียวกัน (Common Language) และ สามารถเชื่อมโยงและบูรณาการการบริหารจัดการความเสี่ยงขององค์กรในภาพรวมให้ดียิ่งขึ้น

รูปที่ 5 : The Risk IT Framework from ISACA

“Risk IT Framework” นั้นถูกออกแบบเป็น Process Model ในลักษณะเดียวกับ CobiTและ Val IT Framework โดยแบ่งออกเป็น 3 กระบวนการหลัก (Domain) และแต่ละกระบวนการหลักยังแบ่งออกเป็น 3 กระบวนการย่อย (Process) รวมทั้งหมด 9 กระบวนการย่อย (ดูรูปที่ 5) ซึ่งผู้เขียนจะขออธิบายโดยละเอียดในฉบับหน้า อย่าลืมติดตามนะครับ