เมื่อเราพูดถึง IT Governance ที่มีองค์ประกอบหลักทั้ง 5 คือ
1. Strategic Alignment
2. Value delivery
3. Resource management
4. Risk management
5. Performance measurement
โดย Risk Management จะเป็นเรื่องที่เราหยิบยกมาคุยกันในวันนี้
Risk Management หรือการบริหารจัดการความเสี่ยง โดยความเสี่ยงในที่นี้อาจมองได้หลายมุม ขึ้นอยู่กับพื้นฐานและสภาพแวดล้อมของผู้เกี่ยวข้อง เช่นผู้บริหารอาจมองในเรื่องของความเสี่ยงในทางธุรกิจและการลงทุน นักการตลาดอาจมองในเรื่องของกลยุทธ์ในการแข่งขัน นักบัญชีอาจมองความเสี่ยงเป็นเรื่องของตัวเลขงบดุลที่ไม่ลงตัว ส่วนคนไอทีอาจจะมองความเสี่ยงไปในเรื่องของการใช้งานระบบไอทีไม่เป็นไปตามวัตถุประสงค์ที่วางไว้
ทุกวันนี้อย่างที่ทราบกันอยู่แล้วว่าการขับเคลื่อนของธุรกิจให้ก้าวไปข้างหน้า ต้องอาศัยไอทีเป็นเครื่องมือในการผลักดันให้ธุรกิจก้าวเดินไปข้างหน้า แต่ในมุมกลับกันแบบหักศอกเหมือนทางขึ้นดอยอินทนนท์ ระบบไอทีก็เป็นความเสี่ยงที่อาจทำให้ธุรกิจสะดุดหยุดนิ่งได้เช่นกัน ดังนั้นเราจึงพบเห็นได้บ่อยๆ ในหัวข้อของการบริหารจัดการความเสี่ยงด้านไอทีอยู่เสมอๆ ในองค์กรชั้นนำที่มีการนำเอา IT Governance มาใช้
ความเสี่ยงด้านไอทีก็เหมือนกับความเสี่ยงทางธุรกิจที่อาจส่งผลกระทบไปถึงการสูญเสียต่างๆ เช่น สูญเสียชื่อเสียง มูลค่าและโอกาสทางธุรกิจ ความเป็นผู้นำ ฯลฯ รวมไปถึงการสูญเสียทางการเงิน ซึ่งตราบใดที่เรายังหายใจ ยังทำธุรกิจ ความเสี่ยงก็สามารถเกิดขึ้นได้ตลอดเวลา แต่โจทย์คือเราจะป้องกันมันได้อย่างไรและป้องกันไม่ให้ความเสี่ยงที่อาจเกิดขึ้นส่งผลกระทบต่อธุรกิจ และทำอย่างไรที่จะทำให้ความเสี่ยงที่อาจเกิดขึ้นสามารถควบคุมได้
ความเสี่ยงด้านไอทีสามารถเกิดขึ้นได้หลายรูปแบบ เช่น
เหล่านี้ล้วนเป็นเพียงตัวอย่างที่อาจเกิดขึ้นได้ในทุกๆ องค์กรที่มีการลงทุนและพัฒนาระบบไอทีใหม่ๆ ที่ทุกคนคาดหวังไว้ว่าระบบที่ลงทุนใหม่นั้นจะเข้ามาช่วยแก้ปัญหาที่เกิดขึ้นในปัจจุบันได้ แต่ในโลกแห่งความเป็นจริงการลงทุนในระบบไอทีใดๆ ยากที่จะให้ทำให้ผลลัพธ์ตรงกับความต้องการของทุกๆ ฝ่าย ซึ่งตรงนี้เองที่เป็นเหตุให้การพัฒนาระบบไอทีใหม่ๆ ในปัจจุบันถึงต้องมีการตรวจสอบและการประเมินผลที่ค่อนข้างเข้มงวดมาก เช่นในกรณีของการจ้างบริษัทที่ปรึกษาหรือผู้รับจ้างเข้ามาพัฒนาระบบไอทีในองค์กร โดยผู้ว่าจ้างบางรายมีการระบุถึงทีมงานของผู้รับจ้างต้องได้รับการฝึกอบรมและสอบได้ประกาศนียบัตรนั้นๆ มาแล้วอย่างน้อยจำนวน 1 หรือ 2 คน
และสำหรับอุปกรณ์ไอทีที่นำมาติดตั้งต้องมีการทดสอบและต้องนำผลการรับรองมาแสดงด้วย และโดยเฉพาะอย่างยิ่งสถาบัน การเงินการธนาคารบางแห่ง ถึงกับต้องระบุว่าอุปกรณ์ไอทีที่นำมาติดตั้งนั้นต้องผ่านกฎหมายและข้อบังคับต่างๆ เช่น Sarbanes Oxley หรือ SOCO เป็นต้น ซึ่งเหตุผลต่างๆ ดังที่กล่าวมานั้น ล้วนเป็นส่วนหนึ่งของการจัดการบริหารความเสี่ยงด้านไอทีทั้งสิ้น
ยุคนี้พ.ศ.นี้องค์กรใดสามารถบริหารจัดการความเสี่ยงได้ดีเพียงใด ก็เป็นผลกำไรหรือผลประโยชน์ต่อองค์กรได้มากเท่านั้นครับ ท่านผู้ชม
ไปเรื่องอื่นๆ http://gotoknow.org/blog/xxl/toc
ไม่มีความเห็น