ทุกย่างก้าวในชีวิตย่อมเกิดความเสี่ยง แต่จะดีแค่ไหนถ้าหากเราสามารถบริหารความเสี่ยงเหล่านั้นได้

 

เทคโนโลยีสารสนเทศและการสื่อสาร (Information Technology and Communication: ICT) ได้มีส่วนช่วยเหลือและเพิ่มความได้เปรียบทางการแข่งขันในการดำเนินธุรกิจมามาหลายสิบปี ไม่ว่าจะเป็นทางตรง หรือทางอ้อม แต่ทว่าในทางกลับกัน องค์กรที่ใช้ระบบเทคโนโลยีสารสนเทศก็ต้องพบกับสิ่งที่ไม่สามารถจะหลีกเลี่ยงได้ นั่นคือ “ความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ”

การบริหารจัดการความเสี่ยง (Risk Management) จึงมีบทบาทสำคัญในการปกป้องข้อมูลและระบบเครือข่ายคอมพิวเตอร์ที่เป็นสินทรัพย์ขององค์กร และยังรวมถึงการปกป้อง “พันธกิจ” ขององค์กรให้รอดพ้นจากความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย

ความหมายของการบริหารจัดการความเสี่ยง (Risk Management)

การบริหารจัดการความเสี่ยง(risk management) คือ การจัดการความเสี่ยง ทั้งในกระบวนการในการระบุ วิเคราะห์(risk analysis) ประเมิน(risk assessment) ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับ กิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง หรือเรียกว่า อุบัติภัย (Accident )

องค์ประกอบการบริหารความเสี่ยง

  1. การระบุชี้ว่าองค์กรกำลังมีภัย
    เป็นการระบุชี้ว่าองค์กรมีภัยอะไรบ้างที่มาเผชิญอยู่ และอยู่ในลักษณะใดหรือขอบเขตเป็นอย่างไร นับเป็นขั้นตอนแรกของการบริหารความเสี่ยง
  2. การประเมินผลกระทบของภัย
    เป็นการประเมินผลกระทบของภัยที่จะมีต่อองค์กรซึ่งอาจเรียกอีกอย่างหนึ่งว่า การประเมินความเสี่ยงที่องค์กรต้องเตรียมตัวเพื่อรับมือกับภัยแต่ละชนิดได้อย่างเหมาะสมมากที่สุด
  3. การจัดทำมาตรการตอบโต้ตอบความเสี่ยงจากภัย
    การจัดทำมาตรการตอบโต้ตอบความเสี่ยงเป็นมาตรการที่จัดเรียงลำดับความสำคัญแล้วในการประเมินผลกระทบของภัย มาตรการตอบโต้ที่นิยมใช้เพื่อการรับมือกับภัยแต่ละชนิด อาจจำแนกดังนี้
  • มาตรการขจัดหรือลดความรุนแรงของความอันตรายของภัยที่ต้องประสบ
  • มาตรการที่ป้องกันผู้รับภัยมิให้ต้องประสบภัยโดยตรง เช่น
    • ภัยจากการที่ต้องปีนไปในที่สูงก็มีมาตรการป้องกันโดยต้องติดเข็มขัดนิรภัย กันการพลาดพลั้งตกลงมา
    • ภัยจากไอระเหยหรือสารพิษก็ป้องกันโดยออกมาตรการให้สวมหน้ากากป้องกันไอพิษ เป็นต้น
    • มาตรการลดความรุนแรงของสถานการณ์ฉุกเฉิน เช่น กรณีเกิดเพลิงไหม้ในอาคาร ได้มีการขจัดและลดความรุนแรง โดยออกแบบตัวอาคารให้มีผนังกันไฟ กันเพลิงไหม้รุนลาม
      ไปยังบริเวณใกล้เคียง และมีการติดตั้งระบบสปริงเกอร์ ก็จะช่วยลดหรือหยุดความรุนแรงของอุบัติภัยลงได้
    • มาตรการกู้ภัยก็เป็นการลดความสูญเสียโดยตรง ลงได้มาก
    • มาตรการกลับคืนสภาพ ก็เป็นอีกมาตรการในการลดความเสียหายต่อเนื่องจากภัยหรืออุบัติภัยแต่ละครั้งลงได้

มาตรการรับมือกับภัย 5 มาตรการ (5R)

  • R1 Readiness ความเตรียมพร้อม
    องค์กรต้องเตรียมความพร้อมระบบการบริหารความเสี่ยงให้มีความพร้อมในการจัดทำมาตรการขจัดหรือควบคุมภัยต่างๆเอาไว้ล่วงหน้า
  • R2 Response การตอบสนองอย่างฉับไว
    เมื่อเกิดอุบัติภัยขึ้นระบบต้องมีสมรรถนะที่ดีพอในการตอบโต้ภัยแต่ละชนิดอย่างได้ผลและทันเวลา
  • R3 Rescue การช่วยเหลือกู้ภัย
    เป็นกระบวนการปกป้องชีวิตและทรัพย์สินขององค์กร ที่ได้ผลและทันเวลา
  • R4 Rehabilitation การกลับเข้าไปทำงาน
    เมื่ออุบัติภัยสิ้นสุดลงแล้วต้องกลับเข้าไปที่เดิมให้เร็วที่สุดเพื่อ การซ่อมแซม การเปลี่ยนใหม่ หรือการสร้างขึ้นใหม่ (Rebuild) เพื่อให้อาคารสถานที่พร้อมที่จะดำเนินกิจการต่อไปได้ อาจรวมไปถึงการประกันภัยด้วย
  • R5 Resumption การกลับคืนสู่สภาวะปกติ
    องค์กรสามารถเปิดทำการ หรือ ดำเนินธุรกิจต่อไปตามปกติได้เสมือนว่าไม่มีอุบัติภัยมาก่อน

Response กับ Rescue อาจจะเหมือนเป็นเรื่องเดียวกัน แต่ความจริงแล้วแตกต่างกัน โดยขอยกตัวอย่าง กรณีเกิดอัคคีภัย อุปกรณ์ดับเพลิงอัตโนมัติ รวมถึง Fire Alarm คือขั้นตอนของ Response แต่ไฟฉุกเฉินและเครื่องช่วยหายใจ เพื่อให้พนักงานสวม เพื่อหนีออกจากอาคาร เป็นขั้นตอนของ Rescue