จาก “PPT concept” มาเป็น “BMIS” (Business Management for Information Security)
หลายคนคงคุ้นเคยกับแนวคิด “PPT” หรือ “People”, “Process” และ “Technology” ซึ่งหมายถึงแนวคิดในการบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management) ตลอดจนการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศ (Information Security Management) โดยพยายามที่จะ “Balance” สมดุลระหว่าง เรื่องของกระบวนการ, เทคโนโลยี และ บุคลากร ผู้บริหารควรคำนึงถึงการปรับปรุงกระบวนการทำงานให้ได้มาตรฐานควบคู่ไปกับ การอบรมฝึกฝนบุคลากรในองค์กร ให้มีความรู้และมีความตระหนักในเรื่องความมั่นคงปลอดภัยสารสนเทศโดยไม่มุ่ง เน้นแต่การนำเทคโนโลยีมาใช้เพียงด้านเดียว. กล่าวถึงการบริหารจัดการเทคโนโลยีสารสนเทศ และ การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศในอดีต ผู้บริหารโดยทั่วไปมักจะมองเป็น “Technical Issue” หรือ มองแต่เพียงมุมมอง “ทางด้านเทคนิค” เท่านั้น เช่น การปรับค่า Configuration ของอุปกรณ์ Firewall การใช้โปรแกรมกำจัดไวรัส การเข้ารหัสข้อมูลด้วย SSL การนำระบบป้องกันผู้บุกรุก (IDS) มาใช้ ภาษาที่ใช้กันส่วนใหญ่มักจะเป็นคำศัพท์ทางด้าน IT และ Information Security โดยเฉพาะ และ เข้าใจได้โดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ เช่น CISSP หรือ SSCP การรักษาความมั่นคงปลอดภัยสารสนเทศถูกมองเป็นเพียงเรื่องของ “Technical Issue/Technical Control” สังเกตได้จากช่วงแรกๆของการนำมาตรฐาน ISO/IEC 27001:2005 มาใช้ในประเทศไทยพบว่ามุ่งเน้นไปที่ 133 มาตรการควบคุม (133 Control Objectives) แทนที่จะมาให้ความสำคัญกับกระบวนการบริหารจัดการความมั่นคงปลอดภัย (ISMS : Information Security Management System) ซึ่งเน้นไปที่เรื่องของการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างเป็น กระบวนการ (Process) โดยนำแนวคิดของศาสตราจารย์ Deming ด้วยการนำหลัก Plan-Do-Check-Act หรือ Deming Cycle มาใช้ในการทำ “Continual Process Improvement”
การบริหารจัดการที่เป็นการมุ่งเน้นไปทางด้าน เทคนิคเพียงด้านเดียวนั้น พิสูจน์แล้วว่ายังไม่ประสบความสำเร็จในการรักษาความมั่นคงปลอดภัยสารสนเทศ ให้กับองค์กรเท่าที่ควรจะเป็น สังเกตุได้จากหลายองค์กรลงทุนไปกับฮาร์ดแวร์และซอพท์แวร์ด้านความมั่นคง ปลอดภัยไปมาก แต่ยังมีปัญหาเรื่องความมั่นคงปลอดภัยอยู่ เช่น ปัญหาการถูกเจาะระบบ ปัญหาการแพร่กระจายของไวรัสคอมพิวเตอร์ในองค์กร ปัญหาการถูกแอบดักข้อมูล และ การถูกโจรกรรมข้อมูลในองค์กรในรูปแบบ APT (Advanced Persistent Threat) ส่งผลให้ไม่องค์กรสามารถรักษาความลับ (Confidentiality Problem), ความถูกต้องครบถ้วน (Integrity Problem) และเป็นสาเหตุให้ระบบล่มไม่สามารถใช้งานได้ในที่สุด. (Availability Problem) การแก้ปัญหาที่ได้ผลในระยะยาวคือ การแก้ปัญหาที่ต้นเหตุ (Root Cause of The Problem) ซึ่งวิธีการแก้ปัญหาที่ถูกต้องก็คือ การพิจารณาเจาะลึกไปที่เรื่องกระบวนการบริหารจัดการที่ดี (Good Process/Governance Process) และ เรื่องการให้ความรู้ความเข้าใจด้านความมั่นคงปลอดภัยสารสนเทศให้แก่บุคลากร ในทุกระดับชั้นภายในองค์กร (Raise People Security Awareness) ตามหลักการ “PPT Concept” ดังที่ได้กล่าวมาแล้วในตอนต้น.
ในปัจจุบันทางสถาบัน ISACA ได้ออก “BMIS Framework” (BMIS ย่อมาจาก The Business Model for Information Security) เพื่อนำมาเป็นแนวทางในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศในมุมมอง ธุรกิจ โดยปรับปรุงพัฒนามาจาก “PPT Concept” (ดังรูปที่ 1)

รูปที่ 1 : ISACA’s BMIS

จะเห็นได้ว่าใน BMIS ได้มีการเพิ่มเรื่องมุมมองด้านองค์กร “Organization” มาเป็นด้านที่สี่จาก “PPT concept” ในสามมุมมอง ได้แก่ People Process และ Technology โดย BMIS จะมีกระบวนการ (Process) อยู่ตรงกลาง. โดยมีเรื่อง “วัฒนธรรมองค์กร” (Culture) เชื่อมมุมมองด้าน “บุคลากร” (People) และ “องค์กร” (Organization) และ เชื่อมมุมมองด้านเทคโนโลยี(Technology) และ “องค์กร” (Organization) ด้วยเรื่อง “สถาปัตยกรรม” ( Architecture) ตลอดจน เชื่อมโยงมุมมองด้าน “เทคโนโลยี” และ “บุคลากร” ด้วยเรื่องของ ” Human Factor” ซึ่ง “Human Factor” หมายถึง การที่เรานำเทคโนโลยีมาใช้แต่คนอาจจะยังไม่พร้อม ไม่คุ้นเคยที่จะใช้เทคโนโลยีดังกล่าว ทำให้เกิดปัญหาในการใช้เทคโนโลยีให้คุ้มค่าและมีประสิทธิภาพ
เราพบว่าเรื่องของการออกแบบและการวางแผนกลยุทธ์ขององค์กร ตลอดจนวัฒนธรรมองค์กรนั้นมีผลอย่างยิ่งยวดต่อการนำหลักการ “PPT” มาใช้ในการบริหารจัดการ ในเรื่องของแนวคิด “Integrated GRC” ก็เช่นเดียวกัน ปัญหาเรื่องการเชื่อมโยงและบูรณาการมาจากปัญหาของการสื่อสาร (Communication) ในองค์กรที่ด้อยประสิทธิภาพ ทำให้การรับรู้แนวคิด “GRC” รับรู้ได้เพียงคนบางกลุ่มหรือผู้บริหารบางคน แต่ไม่สามารถเข้าถึงผู้บริหารระดับสูง ผู้บริหารระดับระดับกลาง ตลอดจนบุคลากรทุกคนในองค์กรได้อย่างทั่วถึง ดังนั้นการที่จะนำหลักการแนวคิด “Integrated GRC”มาใช้ มุมมองทั้งสี่ด้านดังกล่าว(Organization, People, Process and Technology) จึงเป็นเรื่องสำคัญที่เราต้องมองให้ทะลุและทำความเข้าใจอย่างลึกซึ้ง มองเห็นในภาพรวมโดยไม่มุ่งเน้นไปที่ด้านใดด้านหนึ่งเพียงด้านเดียวและที่ สำคัญที่สุด “คน” หรือ “บุคลากร” นั้นเป็นหนึ่งในปัจจัยแห่งความสำเร็จ (CSF: Critical Success Factor) ในการนำหลักการแนวคิด GRC มาประยุกต์ใช้ (Implement GRC) ในองค์กรอย่างหลีกเลี่ยงไม่ได้
ปัจจัยแห่งความสำเร็จในการนำหลักการแนวคิด GRC มาประยุกต์ใช้ในองค์กร

• ทำอย่างไรให้ผู้บริหารระดับสูงในองค์กรเข้าใจเรื่อง “IT Governance” และแนวคิด” GRC”
  (How to get management buy-in before implementing GRC)
  ผู้ บริหารระดับสูงต้องเข้าใจและให้การยอมรับแนวคิด “GRC” ตลอดจนการช่วยสนับสนุนโครงการ โดยเริ่มจากการนำ CobiT Framework มาประยุกต์ใช้หลักการและแนวคิด “IT Governance” เพื่อตอบโจทย์ “Business/IT Alignment”
• “Soft Skill and Good Habits”
  “Soft Skills” เป็นอีกหนึ่งในปัจจัยแห่งความสำเร็จในการประยุกต์ใช้แนวคิด “GRC” ในองค์กร เรื่องของ “Soft Skills” ได้แก่ การสื่อสาร การนำเสนอ การบริหารเวลา การบริหารทีมงาน การบริหารตนเอง การจัดการอารมณ์ตนเอง การจูงใจและการหว่านล้อมให้ผู้ที่เกี่ยวข้องเกิดความคิดความเข้าใจร่วมใน ปรัชญาของ “GRC” และ “IT governance”
• “Change Management /Cultural Change”
  การประยุกต์ใช้ หลักการและแนวคิด “GRC” จำเป็นต้่องบริหารจัดการความเปลี่ยนแปลงให้ได้ผล การเปลี่ยนแนวคิดของคนหรือการเปลี่ยนแปลงวัฒนธรรมองค์กรนั้นไม่ใช่เรื่อง ง่ายที่จะทำได้ในเวลาอันจำกัด ความสำเร็จของการนำหลักการและแนวคิด “GRC” มาประยุกต์ใช้ในองค์กรนั้นอยู่ที่ความร่วมมือร่วมใจของทุกคนในองค์กร ซึ่งการที่จะทำให้ทุกคนมีพฤติกรรมร่วมที่ดีนั้น ( Behaviors) ต้องเริ่มจากการทำให้ทุกคนเกิดความเชื่อ (Beliefs) เสียก่อน จากนั้นจึงจะเกิดทัศนคติที่ดี (Good Attitudes) และ ส่งผลให้เกิดพฤติกรรมที่ดีในที่สุด (Good Behaviors) (ดูรูปที่ 2)
  

  รูปที่2

• “How to Keep Momentum Going” (Make it likes business as usual)
  หลัง จากการนำหลักการ “GRC” มาประยุกต์ใช้ในองค์กรจนเกิดผลสำเร็จในระดับหนึ่งแล้ว เรามีความจำเป็นต้องทำให้เกิดผลสำเร็จอย่างยั่งยืนและต่อเนื่อง แทรกซึมเข้าไปในการทำงานประจำวันและวัฒนธรรมองค์กรจนไม่รู้สึกว่าเป็นการนำ แนวคิด “GRC” มาใช้แต่รู้สึกเหมือนเป็นการปฏิบัติงานในองค์กรโดยปกติที่เรามีความคุ้นเคย ดีอยู่แล้ว

ทำอย่างไรให้ผู้บริหารระดับสูงในองค์กรเข้าใจเรื่อง “IT Governance” และ แนวคิด” GRC” 
How to get management buy-in before implementing GRC
การผลักดันให้องค์กรนำหลักการ “IT Governance” มาใช้ และ การนำเสนอแนวคิด “GRC” ส่วนใหญ่มีจุดเริ่มต้นจากผู้บริหารสารสนเทศ (IT Manager/IT Management) หรือ ผู้ตรวจสอบสารสนเทศ (IT/IS Auditor) ซึ่งมีกรอบแนวคิดในมุมมองของผู้มีความรู้ในด้านระบบสารสนเทศโดยตรง กล่าวได้ว่ามีมุมมองทางด้านเทคนิคในลักษณะที่เรียกว่า “IT Perspective” ไม่ใช่มุมมองทางด้านธุรกิจ หรือ “Business Perspective” ดังนั้นการผลักดันจากผู้บริหารระดับกลางหรือผู้ตรวจสอบระบบสารสนเทศใน ปัจจุบันนั้นยังไม่สามารถตอบโจทย์แนวคิด “GRC”และ”IT Governance” ได้เท่าที่ควรจะเป็น.
เราพบว่า จุดเริ่มต้นในการนำแนวคิด “GRC” มาประยุกต์ใช้ก็คือ “คนไอที” หรือ “ผู้เชี่ยวชาญด้านระบบสารสนเทศ” ตลอดจน”ผู้ตรวจสอบระบบสารสนเทศ” ต้องปรับเปลี่ยนมุมมองและกรอบความคิด (Paradigm Shift) จาก “IT Perspective” ให้กลายเป็น “Business Perspective” โดยคำนึงถึงมุมมองด้านธุรกิจมาก่อนมุมมองทางด้านเทคนิคในสไตล์ของคนไอที โดยเริ่มจากวิสัยทัศน์และพันธกิจขององค์กร (Vision and Mission) ตลอดจนลักษณะรูปแบบการขับเคลื่อนขององค์กรว่าเป็นแบบไม่หวังผลกำไร “Non-Profit Organization” เป็นหน่วยงานของรัฐหรือรัฐวิสาหกิจ หรือ อยู่ในรูปแบบบริษัทเอกชนที่เป็นแบบหวังผลกำไร “Commercial” เต็มรูปแบบ โดยพิจารณาตามหลัก”Balanced Scorecard” ของ ProfessorRobert S. Kaplan และ Professor David P. Norton แห่งมหาวิทยาลัยฮาร์วารด์ (Harvard Business School) มุมมองของ “Balanced Scorecard” มี 4 ด้าน (ดูรูปที่ 3) ได้แก่

1. มุมมองด้านการเงิน (Financial Perspective)
2. มุมมองด้านลูกค้าหรือผู้ใช้บริการ (Customer Perspective)
3. มุมมองด้านกระบวนการภายในและประสิทธิภาพการทำงาน (Internal Process Perspective)
4. มุมมองด้านการเจริญเติบโตของบุคลากรในองค์กรและนวัตกรรมการเรียนรู้ในการพัฒนาองค์กร (Learning & Growth, Innovation Perspective)

รูปที่3

โดยยึดวิธีการนำหลัก Balanced Scorecard ดังกล่าวมาใช้ด้วยวิธีการวางแผนด้านยุทธศาสตร์ขององค์กร หรือ”Strategy Map” (ดููรูปที่ 4) โดย Balanced Scorecard เป็นเครื่องมือในการประเมินผลการปฏิบัติงานและเป็นเครื่องมือช่วยในการนำ ยุทธศาสตร์ขององค์กรไปสู่การปฏิบัติ
Professor Kaplan ได้กล่าวถึงหลักสำคัญของ Balanced Scorecard ว่า ไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชนจำเป็นจะต้องมีการสื่อสาร เพื่อถ่ายทอดกลยุทธ์ขั้นสูงสุดลงสู่ทุกหน่วยงานในองค์กร มีการติดต่อสื่อสารระหว่างบุคลากรในองค์กรที่เปิดกว้างกันอย่างตรงไปตรงมา มีประสิทธิภาพ รวมไปถึงการให้อำนาจแก่พนักงานในการดูแลรับผิดชอบการปฏิบัติงานของพนักงาน ด้วย การนำ Balanced Scorecard มาใช้ให้ได้ผลนั้น จำเป็นที่จะต้องมีการพูดคุยและสื่อสารระหว่างหัวหน้า และ ฝ่ายปฏิบัติการเพิ่มมากขึ้น

รูปที่4

จะเห็นได้ว่าการนำหลักการ “Balanced Scorecard” หรือ “BSC” มาประยุกต์ใช้นั้นควรเริ่มจากการพัฒนา “Lead Indicator” หรือ “ตัวชี้วัดนำ” ที่หลายคนนิยมเรียกว่า “KPI” ย่อมาจาก “Key Performance Indicator” ทั้ง 2 ด้าน โดยเริ่มจากมุมมองด้าน “Learning and Growth” ก่อนเพื่อพัฒนา “Human Capital” ให้บุคลากรในองค์กรมีความรู้ความสามารถ จากนั้นควรเน้นต่อเนื่องไปยังเรื่องการปรับปรุงกระบวนการภายในให้มีระบบและ ได้มาตรฐานตามมุมมองด้าน “Internal Process” องค์กรควรนำมาตรฐานสากลต่างๆ มาใช้ ไม่ว่าจะเป็น ISO 9000 (QMS: Quality Management System) ด้านการปรับปรุงคุณภาพในการให้บริการ ISO/IEC 27001 (ISMS: Information Security Management System) การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 20000 (ITSMS: IT Service Management System) ด้านการบริหารจัดการงานบริการและกระบวนการเทคโนโลยีสารสนเทศ และ ISO 22301 (BCMS: Business Continuity Management System) การบริหารความต่อเนื่องทางธุรกิจขององค์กร เป็นต้น
จากการพัฒนาทั้งสองมุมมองดังกล่าว ซึ่งมีตัวชี้วัดนำ (Lead Indicator) หรือ “KPI : Key Performance Indicator” เป็นค่าที่ใช้ในการวัดประสิทธิภาพ องค์กรจะได้รับผลลัพธ์ที่เป็นรูปธรรมในลักษณะของตัวชี้วัดตาม (Lag Indicator) หรือ “KGI: Key Goal Indicator” ในอีกสองมุมมอง ได้แก่ มุมมองด้านการเงิน และ มุมมองด้านลูกค้าหรือผู้ใช้บริการ ตามลำดับ
จากหลักการ “IT Governance ” โดยการประยุกต์ใช้ “COBIT Framework” นั้น “KGI” หรือ ตัวชี้วัดตาม(Lag Indicator) ถูกมองเป็น “Outcome Measure” ที่เห็นผลลัพธ์ที่ชัดเจน ซึ่ง “KGI” ของ “IT Process” ก็คือ “KPI” หรือ ตัวชี้วัดนำ (Lead Indicator) ซึ่งถูกมองเป็น “Performance Indicator” ของ “IT Goal” (ดูรูปที่ 5) และ “KGI” ของ “IT Goal” ก็คือ “KPI” ของ “Business Goal”

รูปที่5

โดยมีความเชื่อมโยงผลลัพธ์จากกิจกรรมด้านสารสนเทศไปถึงเป้าหมายทางธุรกิจ จาก IT Activities ไปยัง Business Goal (IT Activity -> IT Process -> IT Goal -> Business Goal) หากมองในทางกลับกัน (ดูรูปที่ 6)

รูปที่6

การกำหนดเป้าหมายทางธุรกิจที่มาจากวิสัยทัศน์และพันธกิจขององค์กรนั้น มีผลกับการกำหนดเป้าหมายทางด้านการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรและส่ง ผลไปถึงการกำหนดกระบวนการเทคโนโลยีสารสนเทศ (IT Process) ตลอดจนหน่วยที่ย่อยที่สุด ได้แก่ กิจกรรมด้านสารสนเทศ (IT Activity) โดยเริ่มจาก Business Goal ไปจบที่ IT Activity ( Business Goal -> IT Goal -> IT Process) -> IT Activity) จะเห็นได้ชัดเจนว่าตามหลักแนวคิด IT Governance นั้น มีการเชื่อมโยง (Align) “IT” กับ “Business” อย่างกลมกลืนและสอดคล้องกันโดยจะพิจารณาแยกจากกันไม่ได้
ดังนั้นผู้ที่นำเสนอโครงการ “GRC Implementation” หรือ “IT Governance Implementation” ซึ่งมักจะเป็นผู้บริหารระดับกลางขององค์กรที่มีความรู้ความเข้าใจในความ สัมพันธ์ดังกล่าว (Business/IT Mapping and Business/IT Alignment) ควรนำเสนอแนวคิด “GRC” และ “IT Governance” ในรูปแบบที่ผู้บริหารระดับสูง (Top Management/Executives/Board) สามารถเข้าใจได้อย่างง่ายดายและใช้เวลาไม่มากนัก โดยอาจสอดแทรกเข้าไปเป็น “Session” สั้นๆ สำหรับการประชุมกรรมการบริหาร(Board/Executive Meeting) เพื่อนำเสนอแนวคิด “GRC” และ “IT Governance” ให้แก่ผู้บริหารระดับสูงเพื่อให้ผู้บริหารระดับสูงเข้าใจและยอม รับ(Management Buy-in) ซึ่งเป็นขั้นตอนที่สำคัญมากในการนำหลักการและแนวคิดดังกล่าวมาประยุกต์ใช้ใน องค์กร เพราะถ้าหากผู้บริหารระดับสูงไม่เข้าใจ จะทำให้ผู้บริหารระดับสูงไม่สนใจและไม่สนับสนุนในโครงการดังกล่าว ส่งผลให้เกิดความล้มเหลวในการนำหลักการและแนวคิดที่ดีมาใช้ในองค์กร
ดังนั้นการนำเสนอแนวคิด “GRC” และ “IT Governance” จะต้อง”ถูกที่” “ถูกเวลา” และ “ถูกคน” ด้วย ผู้นำเสนอควรมี “Presentation Soft Skill” หรือศิลปในการนำเสนอให้ดูน่าสนใจและสามารถเข้าใจได้โดยไม่ยากจนเกินไป เรียกว่า “พูดเรื่องยากให้เป็นเรื่องง่าย” และ “พูดให้เห็นผลประโยชน์ที่องค์กรจะได้รับ” (Business Benefit) แสดงให้เห็นผลลัพธ์ที่คาดว่าจะได้รับอย่างเป็นรูปธรรม มีประสิทธิผลและประสิทธิภาพ ทำให้ผู้บริหารระดับสูงสามารถที่จะจินตนาการเห็นภาพแห่งความสำเร็จได้โดยไม่ ยากจนเกินไป จากนั้นผู้บริหารระดับสูงก็จะให้การสนับสนุนโครงการด้าน “GRC” และ “IT Governance” อย่างต่อเนื่อง เพราะมีการให้ความรู้ในระดับที่ผู้บริหารระดับสูงเกิดความเข้าใจเห็นถึง ประโยชน์ในการนำหลักแนวคิด “GRC” และ “IT Governance ” มาประยุกต์ใช้ในองค์กร สามารถตอบโจทย์และแก้ปัญหาต่างๆที่ระบบสารสนเทศและธุรกิจสามารถไปด้วยกันได้ อย่างมีประสิทธิผลและมีประสิทธิภาพ คุ้มค่าเงินที่ใช้ในการลงทุนทั้งทางด้านฮาร์ดแวร์และซอฟท์แวร์ คุ้มค่าแรงที่ใช้ในการจ้างบุคลากรด้านสารสนเทศ ส่งผลให้องค์กรสามารถขับเคลื่อนได้ในทศวรรษที่ระบบสารสนเทศและอินเทอร์เน็ต มีความสำคัญอย่างยิ่งยวดต่อการบริหารจัดการองค์กรในปัจจุบันและอนาคต
เทคนิดการประยุกต์ใช้แนวคิด “GRC”และ”IT Governance” โดยนำเรื่อง “การบริหารความเปลี่ยนแปลง” มาใช้ในองค์กร
“Change Management / Culture Change”
การประยุกต์ใช้แนวคิด “GRC” และ “IT Governance” นั้น มีความจำเป็นที่จะต้องเกิด “ความเปลี่ยนแปลงครั้งใหญ่” ในองค์กร ซึ่งโดยปกติมนุษย์เราจะไม่ชอบการเปลี่ยนแปลงอย่างมากในองค์กรที่ตนเองทำ งานอยู่ โดยจะทำให้บุคลากรในองค์กรเกิดแรงต่อต้านขึ้นทั้งโดยตั้งใจและไม่ตั้งใจ ดังนั้น เราควรวางแผนทำให้การเปลี่ยนแปลงนั้นเกิดขึ้นอย่างค่อยเป็นค่อยไป ในรูปแบบ “Culture Change” ไม่ใช่ “Culture Shock” โดยมีการนำเสนอแนวคิดในการเปลี่ยนแปลงให้ทุกคนในองค์กรได้รับทราบแต่เนิ่นๆ และทำอย่างต่อเนื่อง โดยอาศัยหลักการบริหารการเปลี่ยนแปลง 8 ขั้น ของ Professor John P. Kotter, Harvard Business School (ดูรูปที่ 7)

รูปที่7

แนวคิด “Leading Change” เริ่มทำจาก “Short Term Wins” “Quick Wins” หรือ ” Low Hanging Fruit” เสียก่อน หมายถึงการเริ่มต้นทำจากจุดเล็กๆ ให้เกิดผลสำเร็จก่อนแล้วค่อยขยายขอบเขตไปทำในจุดใหญ่ๆ. และควรเริ่มจากจุดที่มีแนวโน้มที่จะประสบความสำเร็จแล้วค่อยขยายเพิ่มไปยัง จุดอื่นๆ ที่ต้องการให้เกิดการเปลี่ยนแปลง ซึ่งเมื่อเกิดการเปลี่ยนแปลงในจุดเล็กๆส่งผลสำเร็จอย่างเป็นรูปธรรมแล้ว ที่จะกลายเป็น “ต้นแบบ” หรือ” ตัวอย่างที่ดี” ในการที่จะนำไป “Roll Out” ประยุกต์ใช้ทั่วทั้งองค์กรต่อไปในอนาคต แต่ถ้าหากเริ่มจากจุดใหญ่ หรือ ทำทั้งองค์กรในแบบ “Big Bang” จะทำให้มีโอกาสล้มเหลวได้ง่าย และ ไม่แนะนำให้ทำในรูปแบบดังกล่าว
การเปลี่ยนแปลงพฤติกรรมของคนในองค์กรไม่ ใช่เรื่องที่สามารถจะทำสำเร็จได้ในวันเดียว หากแต่ต้องอาศัยเวลาและความอดทนอย่างต่อเนื่องอย่างมีกลยุทธ์จึงจะประสบความ สำเร็จได้ในที่สุด
“Soft Skills” เป็นอีกหนึ่งในปัจจัยแห่งความสำเร็จในการประยุกต์ใช้แนวคิด “GRC” ในองค์กร
“Soft Skill and Good Habits”
การพัฒนาสมรรถนะ(Competency) ของบุคลากรในองค์กรนั้นต้องประกอบด้วย (ดูรูปที่ 8) มุมมองทั้ง 3 ด้านได้แก่. 1. องค์ความรู้ (Knowledge) ที่จำเป็นต้องรู้เพื่อใช้ในการปฏิบัติงาน. 2. ทักษะในการทำงาน ความชำนาญ(Hard Skill ) ที่จำเป็นต้องมีในการปฏิบัติงานได้อย่างมีประสิทธิภาพ. 3. อัตลักษณ์ (Attribute) หรือที่นิยมเรียกกันว่า “Soft Skill” ที่ออกมาจากข้างในของบุคคล (Inside-Out) อาจเกิดจากกรรมพันธ์และการอบรมเลี้ยงดู เปรียบเสมือนรากของต้นไม้ (ดูรูปที่ 9)

รูปที่8

รูปที่9

“Character” หรือ “Attribute” ที่ดีจะส่งผลให้มีการแสดงออกทางบุคลิกภาพที่ดี (Personality) ซึ่งถ้าหาก “Character” หรือ “Attribute” ภายในไม่ดี ก็จะส่งผลให้บุคลิกภาพภายนอกดูไม่ดีตามไปด้วย เสมือนเราปลูกต้นไม้อะไรเราก็ได้ผลเช่นนั้น
ดังนั้นการพัฒนาตนเองในส่วนของอัตลักษณ์ นั้นเป็นเรื่องที่เกี่ยวกับทัศนคติ (Attitude) พฤติกรรม(Behavior) และ อุปนิสัย (Habits) ของแต่ละคนซึ่งมีความแตกต่างกันออกไป แต่สามารถฝึกฝนและเรียนรู้ได้โดยเริ่มจากการปรับทัศนคติให้เป็นพฤติกรรมที่ ดี ส่งผลต่อเนื่องให้เกิดอุปนิสัยที่ดีและมีประสิทธิผลในที่สุด
ผู้เขียนขออนุญาติแนะนำหนังสือที่ดีและมีคุณค่า 3 เล่มให้ท่านผู้อ่านได้นำมาศึกษาและฝึกฝนตนเองเพื่อให้เข้าใจเรื่องของภาพ ลักษณ์แห่งตนของตัวเราเอง เพื่อให้เราสามารถเข้าใจจริตของผู้อื่น สามารถอยู่ร่วมและทำงานในสังคมได้อย่างมีความสุข ประสบความสำเร็จในหน้าที่การงาน. เป็นผู้ที่มีประสิทธิผลยิ่งในการทำงานให้สำเร็จลุล่วงไปได้โดยง่าย
โดยเฉพาะการประยุกต์หลักการแนวคิด “GRC”นั้น เรื่องของ ” Soft Skill” จัดได้ว่าเป็นเรื่องสำคัญที่จะมองข้ามไปไม่ได้ เพราะส่วนใหญ่เป็นเรื่องการบริหารคน การปรับเปลี่ยนแนวคิดทั้งผู้บริหารและพนักงานในการเปิดใจร่วมมือกัน ต้องอาศัยแรงผลักดันจากข้างในตัวเรา มีจิตอาสาที่จะทำงานให้องค์กรและส่วนรวม เพื่อให้เกิดประโยชน์ในภาพรวมไม่ใช่เกิดแก่ตัวเราเพียงคนเดียวเท่านั้น โดยอาศัยหลักการว่าถ้าสังคมและองค์กรอยู่ได้ เราก็อยู่ได้เช่นกัน ถ้าองค์กรมีความเจริญก้าวหน้า เราก็สามารถประสบความสำเร็จได้เช่นเดียวกับองค์กร
ศาสตร์ในการเรียนรู้ที่จะอยู่ร่วมกันในองค์กรนั้นจึงเป็นเรื่องสำคัญที่ทุก คนจำเป็นต้องศึกษา เป็นหลักวิชาการที่พิสูจน์แล้วว่าทำได้จริงและเกิดผลสำเร็จที่ชัดเจนเป็น รูปธรรม โดยมีผู้เชี่ยวชาญได้เขียนหนังสือไว้ 2 ท่าน ได้แก่ “7 Habits of Highly Effective People” ของ Professor Stephen R. Covey. และ “The Six Thinking Hats” ของ Professor Edward De Bono ผู้เขียนหนังสือขายดีเรื่อง “Lateral Thinking” โดยหนังสือทั้ง2 เล่มนี้ถือเป็นอาหารสมองชั้นยอดที่เราควรศึกษาและเรียนรู้ เพื่อนำมาประยุกต์ใช้ในการนำหลักแนวคิด “GRC” และ “IT Governance” มาทำให้เกิดผลลัพธ์อย่างเป็นรูปธรรมในองค์กร เพราะเรื่องเกี่ยวกับ “คน” เป็นศิลปที่ละเอียดอ่อนและต้องศึกษาพฤติกรรมของมนุษย์ให้เกิดความเข้าใจใน การอยู่ร่วมกันอย่างมีความสุขในสังคม
หนังสือเล่มสุดท้ายที่ผู้เขียนอยากแนะนำก็คือ “จริต 6 ศาสตร์ในการอ่านใจคน” โดย ดร.อนุสร จันทพันธ์ และ ดร.บุญชัย โกศลธนากุล ซึ่งมีที่มาจากพระไตรปิฎกโดยพระพุทธเจ้าองค์ศาสดาท่านได้บัญญัติไว้ โดยให้รู้และเข้าใจถึงจิตใจของมนุษย์ที่มีความแตกต่างกันถึง 6 จริต โดยเริ่มจากความเข้าใจจริตของตัวเราเอง ก่อนจะทำความเข้าใจจริตของผู้อื่น(คล้ายกับหลักการใน 7 Habits)
อีก “Soft Skill” ที่จำเป็นในการบริหารแนวคิด “GRC” ได้แก่ การคิดอย่างปราณีตละเอียดรอบคอบและการแก้ปัญหาจากต้นเหตุ (Root Cause Analysis) เพื่อไม่ให้ปัญหากลับมาเกิดขึ้นอีก โดยนำมาจากพระไตรปิฎกเช่นกันในเรื่องของ “โยนิโสมนสิการ” จะพบว่าธรรมะของพระพุทธเจ้านั้นมีความ “Classic” สามารถนำมาประยุกต์ใช้ได้ทุกยุคทุกสมัยและสามารถนำมาใช้ประยุกต์ในการนำเสนอ แนวคิด “GRC” และ “IT Governance” ในองค์กรอีกด้วย
หลังจากการนำหลักการ “GRC” มาประยุกต์ใช้ในองค์กรจนเกิดผลสำเร็จแล้ว ทำอย่างไรผลสำเร็จนั้นยังคงอยู่ได้อย่างยั่งยืนและมีความต่อเนื่อง
“How to Keep Momentum Going” (Make it likes “business as usual”)
การที่จะทำให้ผลสำเร็จนั้นจะคงอยู่ได้อย่างยั่งยืนและมีความต่อเนื่อง ต้องทำให้แทรกซึมเข้าไปในการทำงานประจำวันและวัฒนกรรมองค์กร โดยหลังจากที่เราได้ผ่านขั้นตอนและกระบวนการต่างๆในการนำเสนอแนวคิด นำเสนอถึงประโยชน์ที่องค์กรจะได้รับ (Business Value/Business Benefit ) จากการนำหลักการแนวคิด”GRC” และ”IT Governance” มาประยุกต์ใช้ในองค์กรและนำเสนอถึงผลเสียหรือโทษในระยะสั้นและระยะยาว จากการที่องค์กรไม่ได้นำหลักการและแนวคิดดังกล่าวมาประยุกต์ใช้ จนทำให้ผู้บริหารระดับสูงเกิดความเข้าใจและให้การสนับสนุน ในลักษณะTop-Down Approach ส่งผลมาให้ผู้บริหารระดับกลางและผู้ปฏิบัติงานตามสายงาน ตลอดจนพนักงานในองค์กรทุกคนเกิดความเข้าใจและเห็นประโยชน์ส่วนรวมร่วมกันใน การเข้าร่วมโครงการดังกล่าว และหลังจากการที่เราได้นำหลักการแนวคิด “GRC” มาใช้และทำให้”IT” และ “Business” มีความเชื่อมโยงและบูรณาการ “Aligned and Integrated” ส่งผลให้เกิดประโยชน์สูงสุดต่อองค์กรอย่างเป็นระบบและเป็นรูปธรรมจับต้องได้ และสามารถแก้ปัญหาในการนำระบบสารสนเทศมาใช้ไม่คุ้มค่าภายในองค์กรให้เกิด ผลลัพธ์ที่ดีขึ้น เมื่อเวลาผ่านไปหลายคนในองค์กรก็อาจเริ่มกลับเข้าสู่วงจรการทำงานในแบบเดิมๆ ที่เคยมีปัญหาอยู่หรือยังไม่ได้เปลี่ยนแปลงอย่างถาวร เนื่องจากยังไม่ได้ถูกปลูกฝังแนวคิด”GRC”เข้าไปในกระบวนการทำงานประจำวันของ พนักงานองค์กร
ดังนั้นการปลูกฝังกระบวนการ “IT Governance” “IT Risk Management ” และ”IT Compliance” เข้าไปในเป็นส่วนหนึ่งของวัฒนธรรมองค์กรนั้น จะส่งผลให้เกิดผลดีในระยะยาว เพราะถ้า “Business Process” มีความเชื่อมโยงกับ “IT Process” ในลักษณะที่เป็นการทำงานประจำวันในทุกๆวันทำงานก็จะส่งผลให้เกิดการปฏิบัติ โดยสม่ำเสมอไม่รู้สึกว่ากระบวนการที่เกี่ยวข้อง “IT Governance” เป็นเรื่องใหม่หรือเป็นเรื่องที่ถูกแยกออกมา แต่หากรู้สึกว่าเป็นการทำงานแบบปกติทั่วไปที่มีแนวคิดและกระบวนการด้าน “GRC” อยู่ในตัวและถูกปลูกฝังให้เป็นส่วนหนึ่งของวัฒนธรรมองค์กร ที่ต้องมีการปรับปรุง เฝ้าระวังและประเมินผลอย่างต่อเนื่อง (Continual Improvement ,Monitoring and Evaluating) ตามหลักการ P-D-C-A (Plan-Do-Check-Act) หรือ Deming Cycle ของ Professor William Edwards Deming ที่ได้มาจากการทำตามมาตรฐาน “ISO” ต่างๆ และ จากหลักการ”IT Governance” โดยใช้ Domain ที่ 4 ของ CobiT Framework ได้แก่ domain “ME” ย่อมาจาก “Monitor and Evaluate” ทำให้เกิดเป็นวัฏจักรในการพัฒนาและปรับปรุงอย่างต่อเนื่องในองค์กร
แนวปฏิบัติในการประยุกต์แนวคิด GRC นำมาใช้งานจริงในองค์กร สามารถแสดงได้ในลักษณะ “GRC Critical Process Cycle” ทั้ง 4 (ดังรูปที่ 10)

รูปที่10

กล่าวโดยสรุปปัจจัยแห่งความสำเร็จ (CSF) ที่สำคัญที่สุดคือ “คน” หรือ”บุคลากร” ตั้งแต่ผู้บริหารระดับสูงจนถึงพนักงานทุกคนในองค์กร ต้อง”เข้าใจ”และ”อิน” ไปกับหลักการ”GRC”. สำหรับ”GRC Tool”เช่น GRC Software เป็นเพียง”เครื่องมือ” ที่จะถูกนำเข้ามาช่วยในการประหยัดเวลาและประหยัดทรัพยากรต่างๆ การทำ “GRC Implementation” ในองค์กรที่มีประสิทธิภาพ เราต้องเข้าใจว่า “GRC Software” เป็นแค่เพียงเครื่องมือแต่ไม่ใช่”ยาวิเศษ” ที่จะทำให้เราสามารถนำหลักแนวคิด”GRC” มาประยุกต์ใช้ในองค์กรได้อย่างมีประสิทธิภาพ เพราะ”CSF” ดังที่กล่าวมาแล้วก็คือ”คน” หาใช่”เครื่องมือ”ไม่ หลายองค์กรสิ้นเปลืองงบประมาณไปกับการจัดซื้อจัดจ้าง “Tool” หรือ”เครื่องมือ” ที่เป็นทั้ง Hardware และ Software ทางด้าน”GRC” แต่ไม่สามารถนำหลักการ”GRC” มาประยุกต์ใช้ได้ เนื่องจากมีความเข้าใจผิดว่าซื้อ”GRC Software” แล้วจะทำให้องค์กร “Comply GRC” ซึ่งเป็นเรื่องที่เป็นไปได้ยาก หาก”คน”ตั้งแต่ผู้บริหารระดับสูงจนถึงพนักงานทุกคนยังไม่เข้าใจถึงประโยชน์ ของการนำแนวคิด”GRC” มาใช้งาน จึงจำเป็นอย่างยิ่งยวดที่ต้องทำตาม 4 ขั้นตอน ACIS GRC Process Cycle ดังกล่าวเพื่อที่จะปรับทั้งคนและองค์กรให้สามารถนำหลักการและแนวคิดที่ดีดัง กล่าวมาประยุกต์ใช้ได้อย่างมีผลลัพธ์ชัดเจนเป็นรูปธรรม สมดังความตั้งใจของผู้นำเสนอ และส่งผลให้ทั้งผู้บริหารและพนักงานในองค์กรได้ประโยชน์ร่วมกัน (Aligned and Integrated) ส่งผลให้เกิดการพัฒนาในการขับเคลื่อนองค์กรให้เติบโตได้อย่างยั่งยืนตามหลัก การ “Sustainable Growth” ในที่สุด