ใคร? คือผู้ทำหน้าที่ในการบริหารและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ
ในปัจจุบันเทคโนโลยีสารสนเทศได้เข้ามามีบทบาทอย่างมากในการสนับสนุนการดำเนินงาน เพิ่มประสิทธิภาพ และประสิทธิผลขององค์กรและเป็นปัจจัยสำคัญในการขับเคลื่อนธุรกิจไปสู่เป้าหมาย แต่ผู้ประกอบการก็ต้องเผชิญกับความเสี่ยงต่างๆในหลายมิติมากขึ้น เช่น ความเสี่ยงจากการเลือกใช้ระบบงาน หรือพัฒนาระบบงานที่ไม่เป็นไปตามกลยุทธ์หรือระดับความสำคัญขององค์กร ความเสี่ยงจากข้อผิดพลาดของระบบที่ใช้ดำเนินธุรกิจ หรือความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ที่จะส่งผลต่อการดำเนินธุรกิจ ชื่อเสียง และความเชื่อมั่นในผลิตภัณฑ์ต่างๆของกิจการ
ดังนั้นการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศจึงถือเป็นเรื่องสำคัญของกิจการ คณะกรรมการของกิจการ (Board of Director) ควรเป็นผู้รับผิดชอบในการบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยมีหน้าที่ในการให้แนวทางและอนุมัติเห็นชอบในนโยบายการบริหารและจัดการความเสี่ยง รวมทั้งติดตามผลการดำเนินงานตามนโยบายการบริหารและจัดการความเสี่ยงขององค์กร รวมทั้งควรมีการมอบหมายบทบาทหน้าที่ที่เกี่ยวข้องในการบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างเป็นทางการ โดยคำนึงถึงหลักการถ่วงดุล (Check and Balance) และการแบ่งแยกหน้าที่ความรับผิดชอบที่เหมาะสม (Segregation of duties) เป็น 3 ระดับ ได้แก่
1. ผู้ปฏิบัติงาน (First line of defense)
หน่วยงานที่ทำหน้าที่ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ เป็นผู้ทำหน้าที่ในการบริหารและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ ตั้งแต่การเก็บรวบรวมข้อมูล การวิเคราะห์และประเมินความเสี่ยง การจัดทำและปรับปรุงรายการความเสี่ยง จัดทำรายการกิจกรรมการบริหารและจัดการความเสี่ยง รวมถึงกำหนดกิจกรรมเพื่อตอบสนองต่อความเสี่ยงทางด้านเทคโนโลยีสารสนเทศโดยหน่วยงานที่ทำหน้าที่ปฏิบัติงานด้านเทคโนโลยีสารสนเทศนี้ยังอาจรวมถึงหน่วยงานที่ใช้งานระบบเทคโนโลยีสารสนเทศ (user) ซึ่งทำหน้าที่ในการร่วมบริหารและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศที่เกี่ยวเนื่องกับการใช้งานระบบเทคโนโลยีสารสนเทศ
2. ผู้ที่ทำหน้าที่บริหารความเสี่ยง (Second line of defense)
หน่วยงานที่ทำหน้าที่บริหารความเสี่ยง เป็นผู้ทำหน้าที่ในการกำหนดกรอบและกระบวนการการบริหารและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ รวมทั้งสนับสนุนให้มีการดำเนินงานดังกล่าว โดยหน่วยงานที่ทำหน้าที่บริหารความเสี่ยงนี้จะเป็นผู้รับผิดชอบ ในผลการบริหารและจัดการความเสี่ยงทุกรูปแบบ ทั่วทั้งองค์กร รวมถึงรับผิดชอบให้มีการจัดทำและปรับปรุงความเสี่ยงและกิจกรรมการบริหารความเสี่ยง โดยรวมถึงหน่วยงานกำกับการปฏิบัติตามกฎหมายและหลักเกณฑ์ ซึ่งเป็นผู้ให้คำปรึกษา และสอบทานการดำเนินงานตามกฎหมายและระเบียบข้อบังคับต่าง ๆ
3. ผู้ตรวจสอบ (Third line of defense)
หน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศทั้งหน่วยงานตรวจสอบภายในหรือผู้ตรวจสอบภายนอก ที่เป็นอิสระจากหน่วยงานที่ปฏิบัติหน้าที่ด้านเทคโนโลยีสารสนเทศ เป็นผู้ทำหน้าที่ตรวจสอบ การปฏิบัติงานและการบริหารความเสี่ยง เพื่อให้มั่นใจว่ามีการปฏิบัติตามกรอบและกระบวนการการบริหารและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศอย่างเหมาะสม
ผู้เขียน คุณกัมปนาท หาญกล้า บริษัท สอบบัญชีธรรมนิติ จำกัด
ที่มา : แนวทางการบริหารและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management Practice) โดย กลต.