วิธีการกำหนด Risk Scenario ของ COBIT 5 for Risk

โดย ดร. บรรจง หะรังษี

เอกสารอ้างอิง COBIT 5 for Risk เป็นเอกสารอ้างอิงหลักที่สำคัญในการประเมินความเสี่ยงที่เกี่ยวข้องกับการกำกับดูแลเทคโนโลยีสารสนเทศขององค์กร และผู้ที่ได้นำ Framework ของ COBIT 5 แกมาใช้ในการกำกับดูแลเทคโนโลยีสารสนเทศควรจะได้อ้างอิง ใช้ประโยชน์ หรือนำมาใช้งานในการประเมินความเสี่ยงที่เกี่ยวข้องดังกล่าว ตลอดจนจัดการความเสี่ยงเพื่อให้ลดลงไปสู่ในระดับที่องค์กรยอมรับได้

บทความนี้มีความมุ่งหมายเพื่อแสดงวิธีการในการระบุความเสี่ยงที่เกี่ยวข้องกับการกำกับดูแลเทคโนโลยีสารสนเทศขององค์กร เอกสาร COBIT 5 for Risk ใช้คำว่า Risk Scenario ซึ่งโดยพื้นฐานแล้วหมายถึงคำอธิบายของเหตุการณ์ๆ หนึ่ง ซึ่งถ้าเกิดขึ้นแล้ว จะมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ โดยผลกระทบนั้นอาจจะเป็นด้านบวกหรือด้านลบก็ตาม ในย่อหน้าด้านล่างได้นำความหมายเป็นภาษาอังกฤษของ Risk Scenario มาแสดงให้ดูเพื่อให้ผู้อ่านทำความเข้าใจ

“A risk scenario is a description of a possible event that, when occurring, will have an uncertain impact on the achievement of the enterprise’s objectives.  The impact can be positive or negative.”

โดยทั่วไปหากมีการบริหารความเสี่ยงเป็นอย่างดีแล้ว เราสามารถมองว่าผลกระทบของเหตุการณ์นั้นที่จะเกิดขึ้นจะอยู่ทางด้านบวกเป็นหลัก แต่ในทางกลับกัน หากไม่ได้มีการบริหารความเสี่ยงเป็นอย่างดี ผลกระทบของเหตุการณ์ที่เกิดขึ้นนั้นอาจจะอยู่ทางด้านลบก็เป็นได้

ยกตัวอย่างเช่น หากมีการบริหารความเสี่ยงเรื่องข้อตกลงการให้บริการเป็นอย่างดีเพื่อให้เป็นไปตามข้อตกลงที่ทำไว้นั้น ผลกระทบทางด้านบวกคือผู้ใช้งานพึงพอใจกับบริการที่ได้รับ ในขณะที่หากไม่ได้มีการบริหารความเสี่ยงเรื่องข้อตกลงการให้บริการ ผลกระทบในทางลบคือผู้ใช้งานไม่พึงพอใจกับบริการที่ได้รับนั่นเอง จากตัวอย่างนี้ สิ่งที่องค์กรโดยทั่วไปต้องการหรือประสงค์ก็คือต้องการให้เกิดสภาพที่มั่นใจหรือสภาพที่แน่นอนว่าการให้บริการจะเป็นไปตามข้อตกลงที่ได้กำหนดไว้ และไม่ต้องการสภาพที่ขาดความมั่นใจหรือไม่แน่นอนว่าจะเป็นไปตามข้อตกลงที่กำหนดไว้นั้นหรือไม่ โดยรวมการบริหารความเสี่ยงที่ดีต้องการผลกระทบที่แน่นอนและไม่ต้องการสภาพที่ไม่มั่นใจหรือไม่แน่นอนว่าจะควบคุมความเสี่ยงนั้นได้หรือไม่

การกำหนด Risk Scenario ซึ่งจากนี้ไปจะขอเรียกว่า “สถานการณ์ความเสี่ยง” สามารถพิจารณาและดำเนินการได้ตามรูปที่ปรากฏด้านล่าง

วิธีการหลักๆ ประกอบไปด้วย 2 ส่วนดังนี้

  1. การคิดจากบนลงมาล่างหรือที่เรียกว่า Top-down Scenario
  2. การคิดจากล่างขึ้นไปข้างบนหรือที่เรียกว่า Bottom-up Scenario

วิธีการจากบนลงมาล่าง

ดำเนินการโดยกำหนดวัตถุประสงค์ทางธุรกิจที่จำเป็นต้องดำเนินการให้บรรลุและเกิดผลลัพธ์ตามที่ต้องการ และระบุสถานการณ์ความเสี่ยงที่มีโอกาสเกิดขึ้นและมีผลกระทบมากที่สุดต่อการบรรลุวัตถุประสงค์ตามที่กำหนดไว้นั้น

ยกตัวอย่างเช่น วัตถุประสงค์ทางธุรกิจกำหนดไว้ว่าจะต้องทำยอดขายให้ได้เกินกว่าอย่างน้อย 5 เปอร์เซ็นต์ของปีที่แล้ว จากวัตถุประสงค์ที่กำหนดไว้นั้น สถานการณ์ความเสี่ยงใดก็แล้วแต่ที่ทำให้ไม่บรรลุวัตถุประสงค์ที่กำหนดไว้ และน่าจะมีผลกระทบมากที่สุด ให้นำมาคิดเป็นสถานการณ์ความเสี่ยงที่เกี่ยวข้อง

การกำหนดสถานการณ์ความเสี่ยงจะต้องพิจารณาจากปัจจัยเสี่ยงที่เกี่ยวข้องด้วย (Risk Factors) ในรูปด้านบนแสดงให้เห็นถึงปัจจัยเสี่ยง 5 ด้าน ได้แก่

สถานการณ์ความเสี่ยงที่กำหนดขึ้นมานั้นจะนำไปถูกใช้ในการประเมินโอกาสเกิดขึ้น (Frequency) และผลกระทบหากเกิดขึ้น (Impact) ตามที่ปรากฏในรูปคือกล่องสีม่วง และถูกกำหนดเป็นความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ หรือ IT Risk นั่นเอง

วิธีการจากล่างขึ้นไปข้างบน 

ดำเนินการโดยระบุสถานการณ์ความเสี่ยงตามรูปใช้คำว่า hypothetical  ซึ่งความหมายตามรูปคำแปลว่าความเสี่ยงที่เราตั้งขึ้นมาเป็นสมมติฐาน ซึ่งควรจะหมายถึงสถานการณ์ความเสี่ยงที่น่าจะมีโอกาสเกิดขึ้นนั่นเอง จากนี้ไปจะขอเรียกว่าสถานการณ์ที่มีโอกาสเกิดขึ้น

เอกสารอ้างอิง COBIT 5 for Risk ได้กำหนดสถานการณ์ความเสี่ยงที่มีโอกาสเกิดขึ้นไว้เป็นจำนวนมากกว่า 100 สถานการณ์ความเสี่ยงโดยแบ่งตามหมวดและประเภทไว้ ทั้งนี้เพื่อให้ผู้ใช้งานสามารถดึงสถานการณ์ความเสี่ยงดังกล่าวไปใช้ในการประเมินความเสี่ยงขององค์กรของตนเองนั่นเอง

ขอยกตัวอย่างสถานการณ์ความเสี่ยงดังกล่าวจำนวนหนึ่งเพื่อให้ผู้อ่านพอมองเห็นภาพและเข้าใจได้ตามตารางที่ปรากฏด้านล่าง

คอลัมน์แรกในตารางแสดงถึงลำดับที่ใช้ในการอ้างอิงสำหรับแต่ละสถานการณ์ความเสี่ยง

คอลัมน์ที่ 2 แสดงถึงประเภทของสถานการณ์ความเสี่ยง ซึ่งที่ปรากฏในตารางคือ Business ownership of IT

คอลัมน์ที่ 3, 4 และ 5 เป็นประเภทของความเสี่ยงที่มีผลกระทบกับประเด็นสำคัญ 3 ด้านที่มีผลต่อการกำกับดูแลเทคโนโลยีสารสนเทศที่ดีเป็นอย่างยิ่งซึ่งประกอบด้วย

สัญลักษณ์ P ในตารางแสดงถึง Primary  ซึ่งแปลว่าเป็นผลกระทบหลัก

สัญลักษณ์ S ในตารางแสดงถึง Secondary ซึ่งแปลว่าเป็นผลกระทบรอง

ตัวอย่างเช่น สถานการณ์ความเสี่ยงในตารางลำดับที่ 1001 จะ

คอลัมน์ Negative Example Scenarios  คือสถานการณ์ความเสี่ยงที่เป็นไปได้นั่นเอง

คอลัมน์ Positive Example Scenarios  คือสถานการณ์ที่จะเกิดขึ้นกรณีที่เรามีการบริหารความเสี่ยงเป็นอย่างดี

สถานการณ์ความเสี่ยงลำดับที่ 1001 คือความเสี่ยงที่เกิดจากการไม่ได้มอบหมายหน้าที่และความรับผิดชอบที่เกี่ยวข้องกับงานด้านเทคโนโลยีสารสนเทศให้กับผู้ที่เกี่ยวข้อง ซึ่งอาจเป็นหน้าที่ที่เกี่ยวข้องกับการกำหนดความต้องการด้านระบบงาน การจัดลำดับความสำคัญของการพัฒนาระบบงาน และการประเมินโอกาสในการนำเทคโนโลยีสารสนเทศใหม่มาใช้งาน

ตัวอย่างดังกล่าวเป็นหนึ่งในสถานการณ์ความเสี่ยงซึ่งได้รวบรวมไว้ในเอกสารอ้างอิง COBIT 5 for Risk  มีมากกว่า 100 สถานการณ์ความเสี่ยงปรากฏอยู่ในเอกสารดังกล่าว

จากประสบการณ์การทำงานของผู้เขียนที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยง ปกติแล้วในการวิเคราะห์สถานการณ์ความเสี่ยง ผู้เขียนจะทำการระบุจุดอ่อนที่ทำให้สถานการณ์ความเสี่ยงนั้นเกิดขึ้น ตลอดจนผลกระทบหากสถานการณ์ความเสี่ยงนั้นเกิดขึ้น ในเอกสารอ้างอิง COBIT 5 for Risk จะไม่ได้มีการระบุจุดอ่อนของสถานการณ์ความเสี่ยงไว้ให้ ส่วนผลกระทบหากความเสี่ยงนั้นเกิดขึ้นพอจะสรุปความได้จากเอกสารอ้างอิง COBIT 5 for Risk ได้

ผู้เขียนได้พิจารณาจากเอกสารอ้างอิงดังกล่าวและได้ทดลองระบุสถานการณ์ความเสี่ยงที่เกี่ยวข้องกับการกำกับดูแลเทคโนโลยี สารสนเทศขององค์กรขึ้นมาตามที่ปรากฏในตารางด้านล่าง จุดอ่อนที่ทำให้ความเสี่ยงนั้นเกิดขึ้น ตลอดจนผลกระทบหากความเสี่ยงนั้นเกิดขึ้น เพื่อให้ผู้อ่านได้พอเห็นภาพโดยสังเขปในการนำไปใช้งาน

สถานการณ์ความเสี่ยงที่เกี่ยวข้องกับการกำกับดูแลเทคโนโลยีสารสนเทศขององค์กร

No

สถานการณ์ความเสี่ยง

จุดอ่อนของสถานการณ์

ความเสี่ยงที่เป็นไปได้

ผลกระทบที่เป็นไปได้ของ

สถานการณ์ความเสี่ยง

1.    

การกำกับดูแลเทคโนโลยี สารสนเทศและการจัด ลำดับโครงการต่างๆ ไม่เป็นไปตามกลยุทธ์หรือลำดับความสำคัญที่องค์กรกำหนดไว้

  • ขาดการจัดลำดับ ความสำคัญของ โครงการต่างๆ
  • ขาดการจัดทำแผนแม่บทเทคโนโลยี สารสนเทศ
  • ขาดวิธีการในการกำหนดลำดับ ความสำคัญของโครงการ
  • การไม่สามารถใช้เทค โนโลยีสารสนเทศเพื่อสนับสนุน ทิศทางเชิงกลยุทธ์ขององค์กร
  • การไม่สามารถปรับปรุงประสิทธิ ภาพและ ประสิทธิผลของการให้ บริการด้านสารสนเทศ  

2.    

การล้มเหลวในการรับและนำเทคโนโลยีใหม่ๆ มาใช้งานกับองค์กร

  • ขาดการติดตามและศึกษาเทคโนโลยีใหม่ๆพื่อนำมาใช้เป็นข้อมูลพื้นฐานในการวางแผนสำหรับ การนำเทคโนโลยีใหม่มาใช้งาน
  • การไม่สามารถใช้ เทคโนโลยีสารสนเทศเพื่อบรรลุ ประโยชน์หรือคุณ ค่าตามที่กำหนดไว้
  • ผู้ใช้งานไม่ใช้ระบบงานตามที่ กำหนดให้ใช้งาน
  • การไม่สามารถใช้เทคโนโลยีสาร สนเทศเพื่อสนับสนุนทิศทางเชิง กลยุทธ์ขององค์กร
  • การไม่สามารถปรับปรุงประสิทธิ ภาพและประสิทธิผลของการให้ บริการด้านสารสนเทศ
  • ระบบงานที่กำหนดให้ ใช้ไม่ก่อให้เกิดประโยชน์และ คุณค่าตามที่กำหนดไว้
  • กระบวนการทางธุรกิจ ไม่ได้ผลตามที่ต้องการ

3.    

โครงการที่ดำเนินมีการทับ ซ้อนกัน

  • ขาดการประเมินในภาพรวมว่า โครงการที่เสนอเพื่อพิจารณา อนุมัติมีการทับซ้อนกันหรือมีการ ใช้งานทรัพยากร ร่วมกันหรือไม่
  • การสิ้นเปลืองทรัพยากรขององค์ กรโดยไม่จำเป็น

4.    

ไม่มีการจัดทำสถาปัตย- กรรมองค์กร

  • ขาดผู้รับผิดชอบในการจัดทำ สถาปัตยกรรมองค์กร
  • องค์กรยังไม่ได้ให้ความสำคัญ กับการทำสถาปัตยกรรมองค์กร
  • การวางแผนด้านเทคโนโลยีสาร สนเทศขาดประสิทธิภาพและใช้ ทรัพยากรอย่างสิ้นเปลือง
  • ข้อมูลระหว่างระบบงานขาดความ เชื่อมโยงทำให้ยากในการนำไป ใช้งาน
  • ระบบที่พัฒนาขึ้นมาใช้งานมีการ ทับซ้อนกันบางส่วนหรือทั้งหมด ในแง่ของฟังก์ชันการใช้งานของ ระบบนั้น

 

เอกสารอ้างอิง

"COBIT 5 and Related", Isaca.org, 2018. [Online]. Available: https://www.isaca.org/bookstore/Pages/COBIT-5-Related.aspx.

!!! บทความนี้มีจุดประสงค์เพื่อการใช้งานในการวิจัยและพัฒนา ตลอดจนศึกษาเพื่อการเรียนรู้ส่วนตัว ห้ามนำไปใช้ในเชิงพาณิชย์

**สนใจรายละเอียดเพิ่มเติมติดต่อ: Info@tnetsecurity.com