การบริหารความเสี่ยงด้าน IT ของสถาบันการเงิน





เมื่อหลายวันก่อนได้นั่งเรียนเกี่ยวกับ เรื่อง บทบาทของนักการเงินกับการจัดการความเสี่ยงของสถาบันการเงิน เลยอยากนำความรู้มาแบ่งปันเกี่ยวกับ การบริหารความเสี่ยงด้าน IT ของสถาบันการเงิน


ความเสี่ยง ได้แบ่งออกเป็น 2 ประเภท

  • ความเสี่ยงที่สามารถควบคุมได้
  • ความเสี่ยงที่ไม่สามารถควบคุมได้

1.ความเสี่ยงที่สามารถควบคุมได้ หมายถึง ความเสี่ยงที่สามารถควบคุมได้โดยองค์กร หรือ หน่วยงานนั้นๆ ได้แก่ ความเสี่ยงทางด้านกลยุทธ์หรือนโยบาย ความเสี่ยงทางด้านทรัพยากรการผลิตและทรัพยากรบุคลคล ความเสี่ยงด้านการปฏิบัติงาน ฯลฯ

ความเสี่ยงที่สามารถควบคุมได้ทางด้าน IT ของสถาบันการเงิน ยกตัวอย่างเช่น ปัญหาทางด้านระบบซอฟแวร์ ปัญหาทางด้านเครื่องมือฮาร์ดแวร์ต่างๆ ปัญหาทางด้านงบประมาณ ปัญหาทางด้านนโยบายของสถาบันการเงิน ปัญหาทางด้านความปลอดภัยในการเก็บรักษาข้อมูล ปัญหาทางด้านความสะดวกรวดเร็วในการดึงข้อมูลมาใช้งาน ฯลฯ

2.ความเสี่ยงที่ไม่สามารถควบคุมได้ หมายถึง ความเสี่ยงที่มาจากปัจจัยภายนอกองค์กร หรือ หน่วยงาน ทำให้ไม่สามารถควบคุมหรือคาดเดาล่วงหน้าได้ ยกตัวอย่างเช่น เศรษฐกิจบ้านเมือง สังคม กฎหมาย สงคราม สิ่งแวดล้อมรวมไปถึงภัยธรรมชาติ เช่น อัคคีภัย อุทกภัย สึนามิ ธรณีพิบัติ เป็นต้น

ความเสี่ยงที่ไม่สามารถควบคุมได้ทางด้าน IT ของสถาบันการเงิน เช่น ภัยธรรมชาติต่างๆ นโยบายจากกระทรวงICT หรือกระทรวงอื่นๆที่มีอำนาจตัดสินใจ พรบ.คอมพิวเตอร์ การโจรกรรมข้อมูลจากผู้ไม่หวังดี


การบริหารจัดการความเสี่ยงควรจะจัดแบ่งเป็นความถี่ในการเกิดโดยที่เหตุการณ์ใดยิ่งมีโอกาสเกิดขึ้นบ่อยครั้ง จะถือว่ามีความเสี่ยงสูง ต้องการการปรับปรุง ดูแลแก้ไข อย่างเร่งด่วน ส่วนเหตุการณ์ใดเกิดขึ้นนานๆครั้ง หรือเกิดขึ้นได้ยาก จะถือว่ามีความเสี่ยงต่ำ อาจไม่ต้องการการปรับปรุงดูแลแก้ไข หรือ อาจต้องการแต่ไม่เร่งด่วน ยกตัวอย่างเช่น


สถาบันการเงิน A

มีปัญหาข้อมูลหายบ่อยครั้ง และ มีปัญหาด้านงบประมาณของฝ่าย IT เล็กน้อย


ข้อมูลสูญหายบ่อยครั้ง จึงควรจัดไว้ในกลุ่มที่มีความเสี่ยงสูง ผู้บริหารและฝ่ายIT ของสถาบันการเงิน A ควรรีบหาทางแก้ไข ปรับปรุง โดยด่วน โดยวิธีการแก้ไข เช่น ตรวจหาสาเหตุของการสูญหายของข้อมูล ปรับปรุงระบบซอฟแวร์ ฐานข้อมูลที่ใช้เก็บข้อมูลนั้นๆ หมั่นตรวจสอบดูแลระบบอย่างสม่ำเสมอเป็นต้น

ส่วนปัญหาทางด้านงบประมาณของฝ่ายITนั้น มีปัญหาแค่เพียงเล็กน้อยเท่านั้นจึงจัดไว้ไหนกลุ่มที่มีความเสี่ยงต่ำ ควรจะตรวจสอบดูแลแก้ไขปัญหาที่มีความเสี่ยงสูงกว่าเสียก่อน เพราะ ปัญหาทางด้านงบประมาณนี้อาจจะไม่ต้องการปรับปรุงอะไรมากนัก หรือ อาจจะไม่ได้เร่งด่วนมาก จึงควรบริหารจัดการดูแลปัญหาต่างๆตามความเสี่ยงให้เกิดประสิทธิภาพสูงสุด

บันทึกนี้เขียนที่ GotoKnow โดย  ใน FN4613



ความเห็น (0)