TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทุกธุรกิจย่อมมีความเสี่ยง และหนึ่งในธุรกิจที่เป็นโครงสร้างสำคัญของประเทศอย่างภาคการเงินธนาคาร ย่อมต้องมีกระบวนการประเมินความเสี่ยงอยู่เสมอ ซึ่งถือเป็นกรณีศึกษาที่น่าสนใจในการนำโซลูชัน Integrated Risk Management เข้ามาประยุกต์ใช้งาน
งานสัมมนาครั้งนี้จัดขึ้นโดยความร่วมมือระหว่างศูนย์ประสานงานความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคารหรือ TB-CERT และ ServiceNow ผู้ให้บริการโซลูชันด้านการทำงานในองค์กร ทีมงาน TechTalkThai จะขอนำพาทุกท่านมาติดตามสาระสำคัญของงานในครั้งนี้กันครับ
“ความเสี่ยงที่น่ากลัวที่สุด คือ ความเสี่ยงที่เราไม่รู้ว่าเรามีความเสี่ยงอะไร” — คำพูดช่วงหนึ่งจากการบรรยายของ คุณ ชัชวัฒน์ อัศวรักวงศ์ ประธานกรรมการ TB-CERT และ Deputy Managing Director, Cyber Security, Kasikorn Business- Technology Group (KBTG) ได้เน้นย้ำถึงความสำคัญในการบริหารจัดการความเสี่ยง
คุณชัชวัฒน์ เล่าให้ฟังว่าการดำเนินธุรกิจในองค์กรโดยเฉพาะอย่างยิ่งในแวดวงธนาคาร ต้องเผชิญและรับมือกับความเสี่ยงในด้านต่างๆ ให้ทันท่วงทีและอย่างรัดกุมอยู่เสมอ ดังนั้นการนำแนวทางการบริหารจัดการความเสี่ยงที่เป็นมาตรฐาน และเป็นที่ยอมรับในระดับสากล เช่น NIST: Risk Management Framework หรือ ISO 31000 มาประยุกต์ใช้ในองค์กร จึงเป็นสิ่งที่จำเป็น ซึ่งโดยทั่วไปการบริหารจัดการความเสี่ยงประกอบไปด้วยขั้นตอนสำคัญ 4 ขั้นตอน ดังนี้
1.) Identification (การระบุความเสี่ยง) – นี่คือจุดเริ่มต้นที่สำคัญที่สุดของกระบวนการบริหารความเสี่ยงอย่างมีประสิทธิภาพ เราต้องมีแนวทาง หรือวิธีการในการระบุความเสี่ยงสำคัญๆ สำหรับองค์กรเราให้เจอ เพื่อที่เราจะได้นำไปประเมิน หรือวิเคราะห์ และจัดการต่อได้ พูดถึงเรื่องการระบุความเสี่ยง ตัวอย่างที่สำคัญที่สุดเรื่องหนึ่งของการระบุความเสี่ยง คือเราต้องรู้ว่าองค์กรของเรามีสินทรัพย์ (asset) อะไรบ้าง อยู่ที่ไหน มีมูลค่าแค่ไหน และมีภัยคุกคามอะไรที่จะก่อให้เกิดความเสียหายต่อสินทรัพย์นั้นได้บ้าง เพื่อที่จะนำไปเป็นข้อมูลประกอบสำหรับการประเมิน และวิเคราะห์ความเสี่ยงได้อย่างมีประสิทธิภาพในขั้นตอนต่อไป
2.) Assessment & Analysis (การประเมินและวิเคราะห์ความเสี่ยง) – เมื่อเราระบุความเสี่ยงสำคัญในองค์กรได้แล้ว ขั้นตอนต่อไปคือ การนำความเสี่ยงที่ระบุได้มาประเมินและวิเคราะห์ เพื่อจัดลำดับความสำคัญในการจัดการต่อไป ด้วยข้อจำกัดของทรัพยากรในองค์กร ไม่ว่าจะด้านบุคลากร เครื่องมือ เวลา หรืองบประมาณ ที่มีอยู่จำกัด การประเมินและวิเคราะห์ความเสี่ยงที่มีประสิทธิภาพ จะทำให้เข้าใจว่าความเสี่ยงไหนสำคัญที่สุด หรือควรถูกจัดการก่อนหลังอย่างไร การประเมินความเสี่ยงมีทั้งแบบ Qualitative ใช้ Likelihood (โอกาสเกิด) และ Impact (ผลกระทบ) ในการประเมินความเสี่ยง จะได้ผลออกมาเป็นระดับความเสี่ยง ต่ำ ปานกลาง สูง และแบบ Quantitative ซึ่งมีการพิจารณามูลค่าของสินทรัพย์ที่เกี่ยวข้องกับความเสี่ยง และทำการประเมินออกมาเป็นปริมาณเงิน ส่วนใหญ่องค์กรจะใช้ทั้งสองวิธีคู่กันเพื่อให้การประเมินความเสี่ยงชัดเจนมากยิ่งขึ้น การประเมินและวิเคราะห์ความเสี่ยงอย่างมีประสิทธิภาพทำให้ผู้บริหารในองค์กรใช้เป็นข้อมูลสำหรับการตัดสินใจว่าจะรับมือหรือตอบสนองต่อความเสี่ยงนั้นๆ อย่างไร
3.) Response (การรับมือต่อความเสี่ยง) – เมื่อเราประเมินหรือวิเคราะห์ความเสี่ยงมาแล้ว เราก็ต้องตัดสินใจว่าเราจะรับมือกับความเสี่ยงเหล่านั้นอย่างไร การรับมือหรือตอบสนองต่อความเสี่ยงมีได้หลายแนวทาง ไม่ว่าจะเป็นการกำหนดมาตรการต่างๆ เพิ่มเติมมาบรรเทาความเสี่ยง (Mitigate risk) อาจจะเป็นการหาเทคโนโลยีมาช่วย การกำหนดกระบวนการให้รัดกุม หรือการจำกัดการเข้าถึงพื้นที่ เป็นต้น การโอนย้ายความเสี่ยง (Transfer risk) ตัวอย่างที่ชัดเจนที่สุดคือ การซื้อประกัน หากองค์กรเกิดความเสียหาย ก็จะสามารถเคลมค่าความเสียหายจากบริษัทประกันได้ เป็นต้น การยอมรับความเสี่ยง (Accept risk) ซึ่งองค์กรต้องมีการกำหนดให้ชัดเจนว่าระดับความเสี่ยงที่ยอมรับได้ในองค์กรของเราอยู่ที่ระดับไหน การหลีกเลี่ยงความเสี่ยง (Avoid risk) คือคิดแนวทางในการดำเนินการใหม่ซึ่งไม่ก่อให้เกิดความเสี่ยงในรูปแบบเดียวกัน หรือแม้กระทั่งการเพิกเฉยต่อความเสี่ยง (Ignore risk) ซึ่งอาจะถูกนำมาใช้ก็ต่อเมื่อองค์กรพิจารณาแล้วเห็นว่าค่าใช้จ่าย หรือทรัพยากรที่ต้องใช้สำหรับจัดการความเสี่ยงนั้นๆ มีมูลค่าสูงกว่ามูลค่าของสินทรัพย์ที่ได้รับผลกระทบ อย่างมหาศาล เป็นต้น
4.) Measurement & Monitoring (การวัดผลและติดตามความเสี่ยง) – หลังจากที่เรารับมือหรือตอบสนองกับความเสี่ยงแล้ว เราต้องมีการวัดผล และติดตามความเสี่ยงนั้นๆ อย่างต่อเนื่อง เพื่อให้มั่นใจว่ามาตรการที่เรากำหนดและดำเนินการไปได้ผลจริง หลายๆ องค์กรมีการจัดทำ Risk status dashboard, Risk indicator, Risk treatment plan ในการติดตามและนำเสนอสถานะของความเสี่ยงในคณะกรรมการที่รับผิดชอบอย่างสม่ำเสมอ ในการติดตามความเสี่ยง เรื่องสำคัญเรื่องหนึ่งที่หลายๆ องค์มักจะลืมนึกถึงคือเรื่องของความคุ้มค่าของสิ่งที่ลงทุนไปกับผลลัพธ์ที่ได้ จึงอยากจะฝากเรื่องนี้ไว้เพิ่มเติมเวลาติดตามและวัดผลการบริหารจัดการความเสี่ยงไว้ด้วย
การบริหารจัดการความเสี่ยงเป็นกิจกรรมที่ต้องทำต่อเนื่อง เพราะความเสี่ยงเปลี่ยนไปตามสภาพการดำเนินธุรกิจ และการดำเนินการ ณ เวลานั้นๆ เราจะบริหารจัดการความเสี่ยงให้ได้มีประสิทธิภาพเราต้องรู้ว่าอะไรคือสิ่งสำคัญในองค์ของเรา ประเมินและจัดลำดับความสำคัญให้ได้ ยิ่งเรารู้ว่าเรามีความเสี่ยงสำคัญอะไรได้เร็วเพียงใด ก็ยิ่งทำให้เราสามารถจัดการความเสี่ยงเหล่านั้นได้เร็ว และลดผลกระทบที่อาจจะเกิดขึ้นจากความเสี่ยงนั้นได้มากเท่านั้น
อย่างไรก็ดีภัยคุกคามที่เกิดขึ้นในโลกล้วนแล้วแต่ไม่เคยหยุดพัฒนา จึงกล่าวได้ว่ามีความเสี่ยงใหม่อยู่เสมอ ด้วยเหตุนี้เองการประเมินความเสี่ยงข้างต้นจึงต้องถูกกระทำซ้ำๆ ทุกช่วงเวลาที่เหมาะสมแก่องค์กร โดยเฉพาะธุรกิจที่เผชิญความเสี่ยงสูงอย่างภาคธนาคาร
นิยามความเสี่ยงสำหรับภาคการเงินการธนาคาร
คุณอกณิษฐ์ ไวยาการณ์ Advisory Solution Consultant, ServiceNow ชี้ว่าการให้บริการทางการเงินนั้นมีความเสี่ยงเสมอ ตัวอย่างที่เห็นได้ชัดอย่างธุรกิจธนาคาร ซึ่งวิธีการประกอบธุรกิจพื้นฐานที่สุดก็คือการรับฝากเงิน และให้ดอกเบี้ยเป็นผลตอบแทน จากนั้นก็นำเงินที่ได้มาไปต่อยอดในหลายช่องทางเพื่อสร้างผลกำไรให้ธุรกิจ ในอีกมุมหนึ่งสำหรับผู้ประกอบการก ธนาคารคือผู้ปล่อยกู้เพื่อให้บริษัทมีทุนไปใช้จ่ายหมุนเวียนเพื่อสร้างธุรกิจ และส่งดอกเบี้ยให้ธนาคารอย่างสม่ำเสมอ นี่เป็นเพียงไอเดียพื้นฐานที่แสดงให้เห็นว่าธนาคารเกี่ยวพันกับความเสี่ยงเช่นไร ซึ่งต้องมีการจัดการความเสี่ยงอย่างเป็นระบบ
หลายทศวรรษที่ผ่านมาธนาคารและธุรกิจการเงินถูกบริหารจัดการด้วยสิ่งที่เรียกว่า Risk-based Model เช่น Basel I, Basel II, Basel III และ CECL หรื่ออื่นๆ ซึ่งมีการปรับปรุงเพิ่มเติมตามภาวะเศรษฐกิจและความท้าทายจากให้สอดคล้องกับความเสี่ยงใหม่เช่น นวัตกรรมของบริการทางการเงินที่เข้ามา หรือวิกฤติเศรษกิจ ตลอดจนความเสี่ยงใหม่จากความเข้มงวดของกฎหมายหรือหน่วยงานกำกับดูแลธุรกิจ ซึ่งมีบทลงโทษรุนแรงไม่น้อยเลย
อย่างไรก็ดีธนาคารและธุรกิจทางการเงินในยุคไอที ได้ก้าวข้ามบริการทางการเงินแบบเดิมมาแล้ว ด้วยหลายวิธีการทำธุรกรรมในช่องทางดิจิทัล ตลอดจนบริการทางการเงินใหม่ที่เกิดขึ้นมากมาย ด้วยเหตุนี้เองหากเราพูดถึงความเสี่ยงในธุรกิจธนาคารมักครอบคลุมเนื้อหาหลายส่วนเช่น Market Risk, Liquidity Risk, Credit Risk, Compliance Risk, Operational Risk และอื่นๆ ซึ่งในความหลากหลายนี้มีความท้าทายแอบแฝงอยู่หลายประการดังนี้
1.) คน – จากที่ได้กล่าวไปแล้วว่าความเสี่ยงนั้นเกิดขึ้นในทุกภาคส่วน ด้วยเหตุนี้ในผู้ปฏิบัติงานก็มักถูกแยกย่อยไปตามหน้าที่เช่น ผู้ปฏิบัติงานแนวหน้า (SOC) ผู้กำกับควบคุมนโยบาย (Governance Policy) และผู้ตรวจสอบ(Audit) และเป็นเรื่องปกติขององค์กรที่ความแบ่งแยกนี้ มักจะทำให้เกิดงานที่ทับซ้อนหรือพื้นที่การทำงานที่ไม่สอดประสานกันที่เรียกว่า ‘Silo’
2.) เทคโนโลยี – ความทับซ้อนของหน้าที่ ยังส่งผลให้เครื่องมือปฏิบัติงานแยกขาดจากกัน ด้วยเหตุนี้เองแต่ละฝ่ายจึงไม่สามารถหาจุดร่วมระหว่างกันได้ เพราะต่างคนต่างมีภาพคนละมุม ตามมาด้วยความซับซ้อนในวิธีการทำงานที่ไม่คล่องตัวเช่น กลไกการแชร์ข้อมูลที่ต้องทำแบบ manual เป็นรายครั้งไป
3.) ข้อมูล – ด้วยความที่แต่ละคนต่างมีพื้นที่การปฏิบัติงานไม่เท่ากัน ข้อมูลจึงกระจัดกระจายอยู่ในทุกๆส่วนอย่างไร้ระบบ ซึ่งนอกจากไม่สามารถส่งต่อกันได้โดยง่ายแล้ว การไปต่อกับเทคโนโลยีขั้นสูงอย่าง AI ก็เกิดขึ้นไม่ได้ เพราะสุดท้ายแล้วอินพุตน์ของ AI ที่ดีที่สุดต้องเกิดจากข้อมูลที่มากเพียงพอ เพื่อสร้างผลลัพธ์ที่แม่นยำและใช้งานได้จริงในธุรกิจ
เป็นไปไม่ได้เลยที่องค์กรใดๆ จะสามารถเติบโตหรือฝ่าวิกฤติไปได้ตลอดรอดฝั่งโดยปราศจากการสูญเสีย หากทุกฝ่ายไม่สามารถเชื่อมต่อมุมมองด้วยภาพเดียวกัน เพื่อบูรณาการการทำงานเข้าด้วยกันได้ ด้วยเหตุนี้จึงเป็นจุดกำเนิดของเทคโนโลยี Integrated Risk Management (IRM)
IRM คืออะไร?
Gartner องค์กรที่รายงานการจัดอันดับและให้ข้อมูลคาดการณ์ในผลิตภัณฑ์ โซลูชันและบริการต่างๆในธุรกิจไอที ได้ให้คำจำกัดความของคำว่า Integrated Risk Management หรือ IRM หมายถึงการผสมผสานเทคโนโลยี กระบวนการ และข้อมูล เพื่อตอบโจทย์วัตถุประสงค์ให้เกิดความง่ายและความเป็นอัตโนมัติในการทำงาน และสามารถบูรณาการกลยุทธ์ การปฏิบัติงานและการบริหารจัดการความเสี่ยงในส่วนต่างๆขององค์กรได้
ดังนั้นวิธีการที่จะทำให้ IRM เกิดขึ้นได้ประการแรกคือต้องผสาน Data Model ขององค์กรให้เป็นอันหนึ่งอันเดียวกัน ให้สามารถมีข้อมูลในการตัดสินใจที่สอดคล้องไปในทิศทางเดียวเพื่อสร้างกรอบของกลยุทธ์ทางธุรกิจ
ประการที่สองคือสามารถประยุกต์ใช้งาน Workflow มาตรฐานเช่น NIST เพื่อร้อยเรียงการทำงานของผู้ปฏิบัติงานในทุกภาคส่วน ให้สามารถปฏิบัติงานเชื่อมต่อกันได้อย่างไร้รอยต่อ ไม่มีช่องว่างระหว่างกันอย่างที่แล้วมา
ประการที่สามต้องสามารถเปิดโอกาสให้มีการสื่อสารระหว่างทีมงานแต่ละฝ่ายได้ เพื่อเป็นการเชื่อมโยงส่วนงานธุรกิจและส่วนงานเทคนิคเข้าหากันอย่างสมบูรณ์ ในมุมของภัยคุกคามจากภายนอกก็ต้องสามารถครอบคลุมความเสี่ยงที่เกิดขึ้นได้จาก Third Party ด้วย
และประการสุดท้ายในยุคการแพร่ระบาดของโควิดและหลังจากนี้ ความเสี่ยงที่เกิดขึ้นแตกต่างจากที่แล้วมาในยุควิกฤติเศรษกิจ เช่น ปี 2008 เพราะสิ่งที่เกิดขึ้นคือการผลกระทบในด้านวิธีการปฏิบัติงานที่เปลี่ยนแปลงไป ด้วยเหตุนี้เอง IRM ในอนาคตต้องสามารถตอบโจทย์เรื่อง Business Continuity และ Operation Resilience ได้
บทบาทของ ServiceNow ในภาคการเงินการธนาคาร
อันที่จริงแล้ว ServiceNow เป็นบริษัทที่ให้บริการผ่านคลาวด์ที่เพิ่งก่อตั้งขึ้นในยุคปี 2003 ที่ผ่านมา โดยให้บริการโซลูชันในการปฏิบัติงาน (Workflow) หลายภาคส่วน แต่โซลูชันหนึ่งที่มีชื่อเสียงและได้รับการยกย่องขึ้นให้อยู่ในกลุ่มผู้นำจาก Gartner ก็คือโซลูชัน IRM
แนวคิด IRM จาก ServiceNow มีหลายลำดับ (ตามภาพประกอบ) โดยขั้นแรกคือการเก็บ Framework จากหน่วยงานระดับสากลเช่น NIST เพื่อกำหนดกรอบว่า ISO 27001, GDPR และอื่นๆ หน่วยงานจะต้องมีองค์ประกอบและปฏิบัติตัวอย่างไรบ้าง ขั้นที่สองคือการตีกรอบ Framework ที่สอดคล้องกับธุรกิจการทำงานขององค์กร เพราะปกติแล้ว Framework มาตรฐานจะนิยามกว้างๆในทุกองค์ประกอบ จึงต้องมีนำมาปรับใช้ต่อ
ขั้นตอนที่สามคือการปรับใช้ความเสี่ยงที่เข้ากันกับความน่าจะเป็นในธุรกิจและจัดลำดับอย่างเหมาะสม จากนั้นก็จะเป็นเรื่องของการบริหารจัดการภายในต่อไปว่าองค์กรจะกำหนดให้อะไรคือความเสี่ยง มีการชี้วัดค่าอย่างไร รับข้อมูลมาจากที่ใดและเมื่อไหร่ หากมีปัญหาเกิดขึ้นจะเข้าจัดการปัญหาได้อย่างไร กระบวนการที่ดูมากมายทั้งหมดคือสิ่งผู้ใช้งาน ServiceNow IRM สามารถปฏิวัติการดำเนินงานขององค์กรให้เกิดขึ้นได้อย่างอัตโนมัติ
นอกจากมี Workflow ที่ดีที่สามารถครอบคุลมการปฏิบัติงานของทุกภาคส่วนได้แล้ว สิ่งที่ ServiceNow มอบให้แก่ลูกค้าก็คือระบบติดตาม (monitoring) และส่วนจัดทำรายงาน โดยส่วนแรกจะช่วยตอบคำถามได้ว่างานติดขัดอะไร มีอะไรเกิดขึ้นในองค์กรบ้าง มีความเสี่ยงเกิดขึ้นอย่างไร ส่วนของรายงานจะสามารถสรุปภาพรวมความเป็นไปของผู้บริหารให้สามารถตัดสินใจได้ว่า ความเสี่ยงไหนเป็นประเด็นสำคัญขององค์กรมากที่สุด เพื่อวางแผนแก้ปัญหาขั้นต่อไปได้
จากที่กล่าวมาข้างต้นคือสิ่งที่การันตีได้ว่า ServiceNow สามารถตอบโจทย์ความคาดหวังของ IRM ต่อธุรกิจบริการทางการเงินหรือธุรกิจอื่นๆ ในหัวข้อสำคัญดังต่อไปนี้
- ช่วยเรื่องความเนื่องในการให้บริการและกู้คืนระบบ
- ช่วยให้การปฏิบัติงานมีความยืดหยุ่นและทนทานต่อความเสี่ยง
- ตอบโจทย์เรื่อง Compliance ครอบคลุมกับผู้ปฏิบัติงาน
- มองเห็นภาพความเสี่ยงของทั้ง IT และ Security
- บังคับใช้ Compliance ครอบคลุมไปถึง Third Party
- ปกป้องข้อมูลลูกค้า
รับชม Webinar ในครั้งนี้ย้อนหลังได้ที่วีดีโอด้านล่าง
https://servicenow.zoom.us/webinar/register/WN_rnvGMz56Qq23ZeMGjGmT_g
ท่านใดสนใจรับฟังโซลูชัน Integrated Risk Management หรือโซลูชันอื่นๆ จากทีมงาน ServiceNow สามารถติดต่อได้ที่ info-asia@servicenow.com ค้นหารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ www.servicenow.com
#ServiceNow #IntegratedRiskManagement
