ตัวอย่าง ประเมินความเสี่ยง it

• ถูกใจ

• ขำกลิ้ง

• ฟิน

• ว้าว

• ซึ้ง

• สยอง

การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ

ความหมายและความสําคัญของการจัดการความเสี่ยง ความเสี่ยง (Risk) 

     หมายถึง เหตุการณ์หรือการกระทําใด ๆ ที่อาจจะเกิดขึ้นภายในสถานการณ์ที่ ไม่แน่นอน และจะส่งผลกระทบหรือสร้างความเสียหาย (ทั้งที่เป็นตัวเงินและไม่เป็นตัวเงิน) หรือก่อให้เกิด ความล้มเหลวหรือลดโอกาสที่จะบรรลุวัตถุประสงค์และเป้าหมายขององค์กร ทั้งในด้านยุทธศาสตร์การ ปฏิบัติงาน การเงิน และการบริการ ซึ่งอาจเป็นผลกระทบทางบวกด้วยก็ได้โดยวัดจากผลกระทบ (Impact) ที่ได้รับ และโอกาสที่จะเกิด (Likelihood) ของเหตุการณ์ 

     ปัจจัยเสี่ยง (Risk Factor) หมายถึง ต้นเหตุ หรือสาเหตุที่มาของความเสี่ยงที่จะทําให้ไม่บรรลุ วัตถุประสงค์ที่กําหนดไว้โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร และทําไม ทั้งนี้สาเหตุของความเสี่ยงที่ระบุควรเป็นสาเหตุที่แท้จริง เพื่อจะได้วิเคราะห์และกําหนด มาตรการลดความเสี่ยงในภายหลังได้อย่างถูกต้อง

     การประเมินความเสี่ยง (Risk Assessment) หมายถึง กระบวนการระบุความเสี่ยง การวิเคราะห์ ความเสี่ยง และจัดลําดับความเสี่ยง โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact) เมื่อทําการประเมินแล้ว ทําให้ทราบระดับของความเสี่ยง (Degree of Risk) หมายถึง สถานะ ของความเสี่ยงที่ได้จากการประเมินโอกาสและผลกระทบของแต่ละปัจจัยเสี่ยง แบ่งออกเป็น 4 ระดับ คือ สูงมาก สูง ปานกลาง และต่ำ

     การควบคุม (Control) หมายถึง นโยบาย แนวทางหรือขั้นตอนปฏิบัติต่าง ๆ ซึ่งกระทําเพื่อลด ความเสี่ยง และทําให้การดําเนินการบรรลุวัตถุประสงค์แบ่งได้ 4 ประเภท คือ การควบคุมเพื่อการป้องกัน การควบคุมเพื่อให้ตรวจสอบ การควบคุมโดยการชี้แนะ และการควบคุมเพื่อการแก้ไข

     หลักการวิเคราะห์ประเมิน และจัดทําความเสี่ยงอย่างเหมาะสม ตามกระบวนการบริหารความ เสี่ยงตามมาตรฐาน COSO (Committee of Sponsoring Organization of the Tread way Commission) มีดังนี้

     1. การกําหนดเป้าหมายการบริหารความเสี่ยง (Objective Setting) 

     2. การระบุความเสี่ยงต่าง ๆ (Event Identification) 

     3. การประเมนความเสี่ยง (Risk Assessment) 

     4. กลยทธุ์ที่ใช้ในการจัดการกับแต่ละความเสี่ยง (Risk Response) 

     5. กิจกรรมการบริหารความเสี่ยง (Control Activities) 

     6. ข้อมูลและการสื่อสารด้านบริหารความเสี่ยง (Information and Communication) 

     7. การติดตามผลและเฝ้าระวังความเสี่ยงต่าง ๆ (Monitoring)

ที่มา: https://www.plcorporation.com/PDF/%E0%B8%84%E0%B8%B9%E0%B9%88%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B8%9A%E0%B8%A3%E0%B8%B4%E0%B8%AB%E0%B8%B2%E0%B8%A3%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B9%80%E0%B8%AA%E0%B8%B5%E0%B9%88%E0%B8%A2%E0%B8%87%E0%B8%94%E0%B9%89%E0%B8%B2%E0%B8%99%20IT.pdf

องค์กรในปัจจุบันควรให้ความสำคัญกับความเสี่ยงด้านไอที ได้แก่
ความปลอดภัย (Security) - การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการรั่วไหลของข้อมูล ความเป็นส่วนตัวของข้อมูล การหลอกลวง และความปลอดภัยของเครื่องคอมพิวเตอร์ปลายทาง ตลอดจนภัยคุกคามจากภายนอก เช่น ไวรัส หรือการโจมตีผู้ใช้ / ข้อมูลโดยเฉพาะ

ความพร้อมในการทำงาน (Availability) - ข้อมูลที่อาจไม่สามารถเข้าถึงได้เนื่องจากไม่สามารถใช้งานระบบได้ชั่วคราว

ประสิทธิภาพ (Performance) - ข้อมูลที่อาจไม่สามารถเข้าถึงได้เนื่องจากข้อจำกัดในการปรับขนาดหรือปัญหาคอขวด

การปฏิบัติตามข้อกำหนด (Compliance) - การละเมิดการปฏิบัติตามข้อกำหนด หรือไม่สามารถทำได้ตรงตามความต้องการของนโยบายภายใน

ที่มา : http://sahyelp.blogspot.com/2010/02/blog-post.html

ปัญหาที่เกิดขั้นในองค์กรส่วนใหญ่ก็คือ ผู้บริหารระดับสูงมักจะมอง “IT Risk” เป็นเรื่องของฝ่ายเทคโนโลยีสารสนเทศโดยมองเป็นเรื่องทางเทคนิคเพียงอย่างเดียว 

     แต่ไม่ได้มองถึงผลกระทบจากความเสี่ยงที่เกิดจากการใช้งานระบบสารสนเทศอย่างไม่ปลอดภัย หรือ ไม่ได้ให้ความสนใจเพียงพอกับเรื่องความมั่นคงปลอดภัยสารสนเทศหรือ “Information Security” ขณะนี้เป็นที่ยอมรับกันทั่วโลกแล้วว่าเรื่องความมั่นคงปลอดภัยสารสนเทศนั้นมีความสำคัญและมีส่วนเกี่ยวข้องโดยตรงกับความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร ดังนั้น จึงมีแนวคิดที่จะนำมาตรฐานที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศมาใช้ในการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ได้แก่ มาตรฐาน ISO/IEC 27005:2008 “Information Security Risk Management (ISRM)”  ซึ่งออกแบบมาใช้สำหรับการประเมินความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศโดยเฉพาะ ซึ่งโดยทั่วไปการประเมินความเสี่ยงระบบสารสนเทศนิยมใช้มาตรฐาน NIST SP800-30 ในการประเมินความเสี่ยง ซึ่งมาตรฐานนี้ไม่ได้ถูกออกแบบมาใช้ในการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศโดยตรง

ที่มา : https://www.acisonline.net/?p=1135

การบริหารจัดการความเสี่ยง (ERM และ COSO)

  1) สภาพแวดล้อมภายในองค์กร (Internal Environment)

  2) การกำหนดวัตถุประสงค์ (Objective Setting)

  3) การบ่งชี้เหตุการณ์ (Event Identification)

  4) การประเมินความเสี่ยง (Risk Assessment)

  5) การตอบสนองความเสี่ยง (Risk Response)

  6) กิจกรรมการควบคุม (Control Activities)

  7) สารสนเทศและการสื่อสาร (Information and Communication)

  8) การติดตามประเมินผล (Monitoring)

ที่มา : http://ermthailand.blogspot.com/p/erm-coso.html

ความเสี่ยงในการกำกับการปฏิบัติให้เป็นไปตามกฏเกณฑ์ (Compliance)

ความเสี่ยงทางไอทีในส่วนนี้อาจจะเป็นเรื่องของ

– การเก็บรักษาความลับของลูกค้าที่ต้องเป็นไปตามกฏหมาย

– ความถูกต้องของข้อมูลที่นำออกเผยแพร่ต่อภายนอกซึ่งเป็นเงื่อนไขทางกฏหมาย

– อาจจะไม่ผ่านตามเกณฑ์ของการตรวจสอบไอทีหรือการตรวจสอบกิจการของผู้กำกับ

– อาจจะมีผลกระทบต่อการลดลงของอันดับความน่าเชื่อถือหรือ Rating

– การกำกับการปฏิบัติตามสัญญาของ Outsourcing

ตัวอย่างของความเสี่ยงไอทีที่เกี่ยวข้องกับการปฏิบัติการ

ที่มา : https://chirapon.wordpress.com/2011/03/29/it-risk-%E0%B9%80%E0%B8%97%E0%B8%84%E0%B8%99%E0%B8%B4%E0%B8%84%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%9B%E0%B8%A3%E0%B8%B0%E0%B9%80%E0%B8%A1%E0%B8%B4%E0%B8%99%E0%B8%9C%E0%B8%A5%E0%B8%81%E0%B8%A3%E0%B8%B0/

ทำไมต้องมี ERM

     ทุกองค์กรดำรงอยู่เพื่อมอบคุณค่า (Value) ให้แก่ผู้มีส่วนได้เสีย ซึ่งคุณค่า (Value) นั้นจะเกิดขึ้นได้ถ้าหากฝ่ายบริหารได้มีการกำหนดกลยุทธ์ เพื่อให้เกิดความสมดุลที่ดีที่สุด ระหว่างเป้าหมายในเรื่องการเจริญเติบโตและผลตอบแทนขององค์กรกับความเสี่ยงที่เกี่ยวข้อง รวมทั้งฝ่ายบริหารได้ใช้ทรัพยากรในการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กรอย่างมีประสิทธิภาพและประสิทธิผล

     ทุกองค์กรย่อมประสบกับความไม่แน่นอน (Uncertainty) ที่เกิดขึ้นได้ตลอดเวลา ผู้บริหารจึงมีหน้าที่ตัดสินใจว่าจะยอมรับความไม่แน่นอนได้มากน้อยเพียงใด เนื่องจากจะต้องเพิ่มคุณค่าให้แก่ผู้มีส่วนได้เสีย โดยความไม่แน่นอนนั้นก่อให้เกิดได้ทั้งความเสี่ยงและโอกาส ตลอดจนการลด/เพิ่มคุณค่าที่ต้องส่งมอบให้แก่ผู้มีส่วนได้ส่วนเสียขององค์กร

     ERM สามารถช่วยให้ฝ่ายบริหารจัดการความไม่แน่นอนที่มีทั้งความเสี่ยงและโอกาส ได้อย่างมีประสิทธิผล และช่วยเพิ่มความสามารถแก่ผู้บริหารในการสร้างคุณค่าได้

     ข้อจำกัดของ ERM คือ การบริหารความเสี่ยงในแต่ละระดับขององค์กร ต่างมีวัตถุประสงค์ต่างกัน ดังนั้น ERM จะช่วยให้คณะกรรมการหรือผู้บริหารทราบได้ในเวลาอันเหมาะสม เพียงแค่ว่าองค์กรกำลังมุ่งสู่ทิศทางใด และเข้าใกล้ความสำเร็จมากน้อยแค่ไหน แต่ไม่สามารถให้ความเชื่อมั่นอย่างเต็มที่ได้ว่าจะสามารถบรรลุวัตถุประสงค์ได้ และในท้ายที่สุดนี้ อย่าลืมว่า “The greatest risk of all is to take no risk at all”

ที่มา : https://www.ftpi.or.th/2015/425,https://www.rmahq.org/erm-framework/

กรอบบริหารความเสี่ยง

      เนื่องจากการบริหารความเสี่ยงองค์กรยุคใหม่ครอบคลุมถึงการบูรณาการอย่างลงตัวของวัฒนธรรมองค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหารงานและผลได้ผลเสียของธุรกิจ ทำให้การดำเนินการควรเริ่มต้นจากคณะกรรมการและผู้บริหาร ตลอดจนพนักงานทำความเข้าใจให้ตรงกันต่อนิยามความเสี่ยงเพื่อให้ทุกคนสามารถบ่งชี้โอกาสเกิดความเสี่ยงในทิศทางเดียวกับการดำเนินงานและสร้างความมั่นใจในการปฏิบัติตามกฎระเบียบ ดังนี้

     1. ความสอดคล้องกันระหว่างความเสี่ยงที่ยอมรับได้กับกลยุทธ์องค์กร โดยความเสี่ยงที่ยอมรับได้คือ ความไม่แน่นอนโดยรวมที่องค์กรยอมรับได้โดยยังคงให้ธุรกิจสามารถบรรลุเป้าหมาย ความเสี่ยงที่ยอมรับได้เป็นปัจจัยสำคัญในการประเมินทางเลือกดำเนินกลยุทธ์ ทำให้ผู้บริหารพิจารณาความเสี่ยงที่ยอมรับได้ที่สอดคล้องกับกลยุทธ์องค์กร

     2. ความสัมพันธ์ระหว่างการเติบโต ความเสี่ยง และผลตอบแทนธุรกิจ โดยสนับสนุนให้องค์กรสามารถบ่งชี้เหตุการณ์ ประเมินความเสี่ยงและจัดการความเสี่ยงให้สอดคล้องกับวัตถุประสงค์การเติบโตและผลตอบแทนขององค์กร

     3. การบริหารจัดการความเสี่ยง เนื่องจากการบริหารความเสี่ยงคลอบคลุมเหตุการณ์ทั้งหมดที่จะเกิดขึ้น โดยไม่จำเป็นต้องจำกัดเฉพาะสิ่งที่เป็นความเสียหาย ทำให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากเหตุการณ์เชิงบวกอย่างรวดเร็วและเกิดประสิทธิภาพ

     4. ลดความสูญเสียจากปัจจัยความเสี่ยงการดำเนินงาน โดยกำหนดวิธีจัดการเพื่อลดปัจจัยที่ผลต่อความสูญเสียต่อองค์กร

     5. การบริหารความเสี่ยงทั่วทั้งองค์กร เนื่องจากปัจจัยความเสี่ยงมีความเชื่อมโยงระหว่างกัน ดังนั้นบริหารจัดการความเสี่ยงโดยรวมจึงควรพิจารณาความเสี่ยงในภาพรวมขององค์กร

     6. การสร้างโอกาส การพิจารณาเหตุการณ์ทั้งหมดที่อาจเกิดขึ้นต่อองค์กรโดยไม่จำกัดเฉพาะความเสี่ยงที่เป็นความเสียหาย ทำให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากโอกาสหรือเหตุการณ์เชิงบวกเกิดประสิทธิภาพมากขึ้น

     Risk Profile แบ่งพื้นที่เป็น 4 ส่วน (4 Quadrant) เพื่อใช้เกณฑ์การจำแนก ดังนี้

1. ระดับความเสี่ยงต่ำ (Low) คะแนนระดับความเสี่ยง 1–4 คะแนน ยอมรับความเสี่ยง กำหนดเป็นสีเขียว

2. ระดับความเสี่ยงปานกลาง (Medium) คะแนนระดับความเสี่ยง 5–9 คะแนน ยอมรับความเสี่ยงแต่มีแผนควบคุมความเสี่ยง กำหนดเป็นสีเหลือง

3. ระดับความเสี่ยงสูง (High) คะแนนระดับความเสี่ยง 10–15 คะแนน โดยมีแผนลดความเสี่ยง กำหนดเป็นสีส้ม

4. ระดับความเสี่ยงสูงมาก (Extreme) คะแนนระดับความเสี่ยง 16–25 คะแนน ต้องมีแผนลดความเสี่ยงและประเมินซ้ำหรือถ่ายโอนความเสี่ยง กำหนดเป็นสีแดง