เมื่อเราพูดถึง IT Governance ที่มีองค์ประกอบหลักทั้ง 5 คือ

1. Strategic Alignment

2. Value delivery

3. Resource management

4. Risk management

5. Performance measurement 

โดย Risk Management จะเป็นเรื่องที่เราหยิบยกมาคุยกันในวันนี้

          Risk Management หรือการบริหารจัดการความเสี่ยง โดยความเสี่ยงในที่นี้อาจมองได้หลายมุม ขึ้นอยู่กับพื้นฐานและสภาพแวดล้อมของผู้เกี่ยวข้อง เช่นผู้บริหารอาจมองในเรื่องของความเสี่ยงในทางธุรกิจและการลงทุน นักการตลาดอาจมองในเรื่องของกลยุทธ์ในการแข่งขัน นักบัญชีอาจมองความเสี่ยงเป็นเรื่องของตัวเลขงบดุลที่ไม่ลงตัว ส่วนคนไอทีอาจจะมองความเสี่ยงไปในเรื่องของการใช้งานระบบไอทีไม่เป็นไปตามวัตถุประสงค์ที่วางไว้

          ทุกวันนี้อย่างที่ทราบกันอยู่แล้วว่าการขับเคลื่อนของธุรกิจให้ก้าวไปข้างหน้า ต้องอาศัยไอทีเป็นเครื่องมือในการผลักดันให้ธุรกิจก้าวเดินไปข้างหน้า แต่ในมุมกลับกันแบบหักศอกเหมือนทางขึ้นดอยอินทนนท์ ระบบไอทีก็เป็นความเสี่ยงที่อาจทำให้ธุรกิจสะดุดหยุดนิ่งได้เช่นกัน ดังนั้นเราจึงพบเห็นได้บ่อยๆ ในหัวข้อของการบริหารจัดการความเสี่ยงด้านไอทีอยู่เสมอๆ ในองค์กรชั้นนำที่มีการนำเอา IT Governance มาใช้

           ความเสี่ยงด้านไอทีก็เหมือนกับความเสี่ยงทางธุรกิจที่อาจส่งผลกระทบไปถึงการสูญเสียต่างๆ เช่น สูญเสียชื่อเสียง มูลค่าและโอกาสทางธุรกิจ ความเป็นผู้นำ ฯลฯ รวมไปถึงการสูญเสียทางการเงิน ซึ่งตราบใดที่เรายังหายใจ ยังทำธุรกิจ ความเสี่ยงก็สามารถเกิดขึ้นได้ตลอดเวลา แต่โจทย์คือเราจะป้องกันมันได้อย่างไรและป้องกันไม่ให้ความเสี่ยงที่อาจเกิดขึ้นส่งผลกระทบต่อธุรกิจ และทำอย่างไรที่จะทำให้ความเสี่ยงที่อาจเกิดขึ้นสามารถควบคุมได้

          ความเสี่ยงด้านไอทีสามารถเกิดขึ้นได้หลายรูปแบบ เช่น

• ความเสี่ยงที่เกิดจากความไม่สอดคล้องและไม่สนับสนุนกันในการบริการและการบริหาร
• ความเสี่ยงจาก Black Box ของระบบที่ไม่สามารถควบคุมได้
• ความเสี่ยงจากความรู้ที่ถ่ายทอดไปที่ตัวบุคคลแต่ไม่ได้ถ่ายทอดไปสู่องค์กร
• ความเสี่ยงที่เกิดจากการลงทุนด้านไอทีที่มากเกินความจำเป็น
• ความเสี่ยงจากความเข้าใจผิดในระบบงาน
• รวมถึงความไม่พึงพอใจจากความคาดหวังของผู้ใช้ในระบบ ซึ่งสิ่งต่างๆ

          เหล่านี้ล้วนเป็นเพียงตัวอย่างที่อาจเกิดขึ้นได้ในทุกๆ องค์กรที่มีการลงทุนและพัฒนาระบบไอทีใหม่ๆ ที่ทุกคนคาดหวังไว้ว่าระบบที่ลงทุนใหม่นั้นจะเข้ามาช่วยแก้ปัญหาที่เกิดขึ้นในปัจจุบันได้ แต่ในโลกแห่งความเป็นจริงการลงทุนในระบบไอทีใดๆ ยากที่จะให้ทำให้ผลลัพธ์ตรงกับความต้องการของทุกๆ ฝ่าย ซึ่งตรงนี้เองที่เป็นเหตุให้การพัฒนาระบบไอทีใหม่ๆ ในปัจจุบันถึงต้องมีการตรวจสอบและการประเมินผลที่ค่อนข้างเข้มงวดมาก เช่นในกรณีของการจ้างบริษัทที่ปรึกษาหรือผู้รับจ้างเข้ามาพัฒนาระบบไอทีในองค์กร โดยผู้ว่าจ้างบางรายมีการระบุถึงทีมงานของผู้รับจ้างต้องได้รับการฝึกอบรมและสอบได้ประกาศนียบัตรนั้นๆ มาแล้วอย่างน้อยจำนวน 1 หรือ 2 คน

          และสำหรับอุปกรณ์ไอทีที่นำมาติดตั้งต้องมีการทดสอบและต้องนำผลการรับรองมาแสดงด้วย และโดยเฉพาะอย่างยิ่งสถาบัน การเงินการธนาคารบางแห่ง ถึงกับต้องระบุว่าอุปกรณ์ไอทีที่นำมาติดตั้งนั้นต้องผ่านกฎหมายและข้อบังคับต่างๆ เช่น Sarbanes Oxley หรือ SOCO เป็นต้น ซึ่งเหตุผลต่างๆ ดังที่กล่าวมานั้น ล้วนเป็นส่วนหนึ่งของการจัดการบริหารความเสี่ยงด้านไอทีทั้งสิ้น

          ยุคนี้พ.ศ.นี้องค์กรใดสามารถบริหารจัดการความเสี่ยงได้ดีเพียงใด ก็เป็นผลกำไรหรือผลประโยชน์ต่อองค์กรได้มากเท่านั้นครับ ท่านผู้ชม

ไปเรื่องอื่นๆ  http://gotoknow.org/blog/xxl/toc