การบูรณาการแนวคิด “GRC”, “IT GRC” and “Integrated GRC” (Integrated Governance, Risk Management, and Compliance and Implementation Roadmap Guideline)
ยุคแห่งแนวคิดการบริหารจัดการระบบสารสนเทศให้เป็นไปในทิศทางเดียวกันกับความต้องการของภาคธุรกิจอย่างมีประสิทธิภาพและประสิทธิผล (Today Conceptual Thinking : “How to align IT with Business”) ในปัจจุบันการบริหารจัดการเทคโนโลยีสารสนเทศและการบริหารธุรกิจนั้น ดูเหมือนจะเป็นเรื่องที่ต้องไปด้วยกันอย่างหลีกเลี่ยงไม่ได้ (IT/Business Alignment) (ดูรูปที่ 1) เพราะความต้องการของภาคธุรกิจ (Business Requirement) จะเป็นตัวบ่งชี้ถึงความต้องการในการจัดเตรียมระบบสารสนเทศ (IT Requirement ) เพื่อให้สามารถตอบสนองธุรกิจได้อย่างทันท่วงที (IT Responsiveness)

รูปที่ 1 Manage IT from a Business Perspective (Source : ITIL slide from BMC)

สังเกตได้จากการที่องค์กรในระดับ Enterprise นิยมนำกรอบแนวคิด “BSC” หรือ “Balanced Scorecard” มาใช้ในการบริหารธุรกิจ และ กรอบแนวคิด “BSC” ก็ได้ถูกนำมาประยุกต์กับการบริหารจัดการเทคโนโลยีสารสนเทศมาเป็นกรอบแนวคิด “IT BSC” หรือ “IT Balanced Scorecard”เพื่อให้แน่ใจว่าผู้บริหารองค์กรได้บริหารจัดการเทคโนโลยีสารสนเทศให้ “Align” หรือ “เป็นไปในทิศทางเดียวกัน” กับความต้องการของภาคธุรกิจอย่างมีประสิทธิภาพโดยมีการนำ “Framework”หรือ “Best Practices” ต่างๆ มาใช้ในการอ้างอิงตามหลักวิชาการ ซึ่งเป็นที่มาของ “Integrated Framework on Business/IT Alignment” (ดูรูปที่2) เป็นกรอบแนวคิดแบบองก์รวม (Holistic Approach) ที่แสดงให้เห็นถึงความสอดคล้องกันระหว่าง การบริหารจัดการเทคโนโลยีสารสนเทศ และ การบริหารจัดการธุรกิจ

รูปที่ 2 Integrated Framework on Business/IT Alignment (source: IT governance (CobiT) ITGI)

โดยเริ่มจากแรงผลักดันปัจจัยทางด้านธุรกิจ (Business Driver) ที่ต้องได้ตามเป้าหมายทางธุรกิจ (Performance : Business Goals) และ ในขณะเดียวกันก็ต้องปฎิบัติให้ถูกต้องตามกฎหมายและกฎระเบียบต่างๆ (Conformance : Regulatory Compliance) (ดูรูปที่ 3)

รูปที่ 3 Performance and Conformance Source: ITpreneurs

ตลอดจนการปฏิบัติตามนโยบายการควบคุมภายในองค์กรและนโยบายด้านการรักษาความมั่นคงปลอดภัยขององค์กร รวมทั้งการผ่านการตรวจสอบของผู้ตรวจสอบภายในและภายนอก โดยเป็นไปตามหลักการ “การกํากับดูแลกิจการที่ดี” หรือ “Corporate/Enterprise Governance” ซึ่งในกลุ่มผู้บริหารระดับสูง หรือ C-Level มักนิยมประยุกต์ ใช้ “Balanced Scorecard” และ “COSO ERM” Framework ในการอ้างอิง โดยมี CobiTเป็น IT Governance Framework คอยเชื่อมอยู่ตรงกลาง (ดูรูปที่ 2) และ ถูกนำมาใช้ในการเชื่อมโยง “IT” เข้ากับ “Business” เพื่อให้เกิดความสอดคล้อง (Alignment) ยังผลให้เกิดประโยชน์สูงสุดกับองค์กรในการนำเทคโนโลยีสารสนเทศมาใช้งาน (IT benefit realization)
ภายใต้กรอบแนวคิด CobiT Framework (What to do) ก็คือ Best Practices และ/หรือ Standard (How to do) ต่างๆที่องค์กรควรนำมาช่วยประยุกต์ใช้ในการพัฒนาขั้นตอนในการปฏิบัติงานภายในองค์กร ไม่ว่าจะเป็น มาตรฐาน ISO 9000, ISO/IEC27001 (ชื่อเดิม ISO 17799) ISO/IEC 20000, ITIL v3 , BS25999 (กำลังจะกลายเป็นมาตรฐาน ISO 22301) , BS25777 และเพื่อให้สัมฤทธิ์ผลในทางปฏิบัติจริง ผู้บริหารระดับกลางต้องลงรายละเอียดในระดับขั้นตอนการปฏิบัติงาน (Procedure) ซึ่ง CobiTและ ISO/IEC 27001 เหมาะสมที่จะถูกนำมาใช้ในระดับ “Strategy”และ “Process Control” แต่ในระดับ “Process Execution” นั้น ITIL ดูจะเหมาะสมกว่า (ดูรูปที่ 4)

รูปที่ 4 How to use Standards and Best Practices Source: ITpreneurs

ดังนั้นเราจึงมีความจำเป็นที่ต้องทำความเข้าใจ CobiT , ITIL, ISO/IEC 20001 , ISO/IEC 27001 ตลอดจน BS 25999 / BS 25777 เพื่อการนำมาประยุกต์ใช้ในองค์กรได้อย่างมีประสิทธิภาพ และ ประสิทธิผลอย่างชัดเจน โดยในแต่ละ Standard หรือ Best Practices นั้น มีความเหมาะสมในการนำมาใช้ที่แตกต่างกัน (ดูรูปที่ 5)

รูปที่ 5 Improvement Goal vs. Relevant to IT Source :ITpreneurs

ซึ่งถ้ามองในภาพรวมคงหนีไม่พ้นการปฏิบัติตามแนวคิด BSC หรือ IT BSC แต่เมื่อลงรายละเอียดในระดับหนึ่งพบว่า ISO 9000 , Six Sigma หรือ Lean Process สามารถตอบโจทย์ได้เป็นอย่างดี และ เมื่อเจาะลึกลงไปในรายละเอียดเฉพาะระบบก็พบว่า ISO/IEC 20001 , ISO/IEC 20000 หรือ ITIL มีความเหมาะสมในการนำมาอ้างอิงในระดับการพัฒนากระบวนการทำงาน (Process Improvement) ร่วมกับ ISO 9000 เพื่อให้ได้มาตรฐานและมีประสิทธิภาพยิ่งขึ้น จะเรียกว่า ISO/IEC 20000 ก็คือ ISO 9000 ฉบับ IT ก็ว่าได้เพราะเน้นที่ความพึงพอใจของลูกค้า (Customer Satisfaction) เป็นหลัก

ทำความเข้าใจความเหมือนที่แตกต่างระหว่าง แนวคิด “GRC , “IT GRC” และ “Integrated GRC”

กล่าวถึงแนวคิด “GRC” หรือ “Governance, Risk Management and Compliance” ไม่ใช่คำใหม่ที่เพิ่งคิดค้นขึ้นมา หากแต่เป็นแนวคิดที่มีมานานในระยะเวลาหนึ่งแล้ว แต่เพิ่งมาได้รับความนิยมในช่วง 2-3 ปีที่ผ่านมา โดยคำจำกัดความของ “GRC” ในแบบชัดเจนตามพจนานุกรมนั้น ยังไม่มีใครกำหนดออกมาแน่ชัด แต่มีผู้เชี่ยวชาญจากหลายหน่วยงานทั่วโลกได้กำหนดคำจำกัดความแบบง่ายๆ แต่กระชับได้ใจความว่า “GRC” คือ แนวคิดในการเชื่อมโยง (Alignment) และบูรณาการ (Integrated) เรื่องของวินัยในการบริหารที่สำคัญในองค์กร 3 เรื่อง (3 Disciplines) ได้แก่ 1. Governance , 2. Risk Management และ 3. Compliance เข้าด้วยกันในภาพรวม (Holistic) ตลอดทั่วทั้งองค์กร (Organization wide) ซึ่งระบุเน้นไปที่แกนหลักทั้งสี่ ได้แก่ 1. Strategy (กลยุทธ์) , 2. Process (กระบวนการ) , 3. People (บุคลากร) และ 4. Technology(เทคโนโลยี) (ดูรูปที่ 6)

รูปที่ 6 Frame of Reference for Integrated GRC Source : http://www.grc-resource.com

และอีกสองแนวคิด ที่ประยุกต์มาจากแนวคิด “GRC” ได้แก่ แนวคิด “IT GRC” และ “Integrated GRC” เป็นองค์ความรู้ที่เราควรต้องทำความเข้าใจอย่างลึกซึ้งในปรัชญาขั้นสูงของการบริหารองค์กรในยุคปัจจุบัน โดย “IT GRC” (ดูรูปที่ 7 และ รูปที่ 8 ) จะมุ่งเน้นไปยัง 3 เรื่องใหญ่ ได้แก่

1. IT Governance
2. IT Risk Management
3. IT Compliance

รูปที่ 7 Process Model for Integrated IT GRC management Source : http://www.grc-resource.com

รูปที่ 8 IT GRC as a subset of GRC Source : http://www.grc-resource.com

โดยมีความสัมพันธ์กันระหว่าง “ธุรกิจ” “เทคโนโลยีสารสนเทศ” “GRC” และ “IT GRC” ในลักษณะ 2 ways คือ “Support” และ “Alignment” ซึ่งกันและกัน (ดูรูปที่ 9) โดยมีการประยุกต์ใช้ COSO ERM ในส่วนของ “IT Risk Management” และ ISO/IEC 38500 “Corporate Governance of IT ” (ดูรูปที่ 10) ในส่วนของ “IT Governance”

รูปที่ 9 GRC and IT GRC in the business and IT context Source : http://www.grc-resource.com

รูปที่ 10 ISO/IEC 38500

ส่วนแนวคิดเรื่องการบูรณาการ “GRC” หรือ “Integrated GRC” จากรูปที่ 6 นั้นจะเห็นว่า เริ่มจากกลยุทธ์ (Strategy) เชื่อมโยงกับกระบวนการ (Process) บุคลากร (People) และ เทคโนโลยี (Technology) การปฏิบัติตามนโยบายขององค์กร (Internal Policies) ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของผู้บริหารระดับสูง ตลอดจนการปฏิบัติตามกฎระเบียบและกฎหมายต่างๆ (External Regulation) เพื่อเพิ่มประสิทธิผล (Effectives) และประสิทธิภาพ (Efficiency) ให้กับองค์กร นอกจากนี้แล้วแนวคิด “Integrated GRC” หรือ “GRC 360 องศา” นั้น ยังตอบโจทย์เรื่องการเติบโตอย่างยั่งยืนของธุรกิจ (Sustainable Growth) รวมถึงเรื่องความถูกต้องและความโปร่งใส (Transparency) ขององค์กรอีกด้วย
การบูรณาการ GRC นั้นควรมีกรอบแนวคิดในด้านกลยุทธ์ (Strategy )ในการปฏิบัติ ได้แก่ “Strategic GRC Framework” (ดูรูปที่ 11) โดยจากรูปจะเห็นว่าแผนกลยุทธ์นั้นแบ่งเป็น 3 ระดับ ได้แก่ ระดับสูง ระดับกลาง และ ระดับล่าง สังเกตการณ์จากปฏิบัติงานในระดับสูง และระดับล่างนั้น เป็นไปตามแนวนอน (Horizontal) และ การปฏิบัติงานในระดับกลางเป็นไปตามแนวตั้ง (Vertical) หมายถึง ในแต่ละฝ่าย (Legal, Internal Audit, Compliance, Safety, IT, Finance/Accounting) จะต้องมีผู้รับผิดชอบและแยกกันไปทำในส่วนของฝ่ายตน แต่ต้องทำงานร่วมกันภายใต้นโบบายและจุดมุ่งหมายเดียวกันซึ่งผู้บริหารระดับสูง (Board and Executive Management) เป็นผู้กำหนดนโยบายในภาพรวมและระดับความเสี่ยงที่ยอมรับได้ (Overall Policy and Risk Appetite)

รูปที่ 11 Strategic GRC Framework Source : Book from Mark L. Frigo and Richard J. Anderson, Strategic Risk Management: A Primer for Directors and Management Teams, 2009.

จะสังเกตได้ว่าการบริหารความเสี่ยง (Risk Management) ถือได้ว่าเป็นแกนกลางที่สำคัญมากในการบริหารจัดการองค์กรตามแนวคิด “Integrated GRC” ซึ่งมีความเกี่ยวข้องโดยตรงกับการบริหารความเสี่ยงสารสนเทศ (IT Risk Management) และ การบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management) ที่ควรอ้างอิงกับ “Risk IT Framework” ของ ISACA (ดูรูปที่ 12) และ ข้อกำหนดในมาตรฐานISO/IEC 27005 ตามลำดับ (ดูรูปที่ 13) โดย “Risk IT framework” นั้นออกแบบมาเพื่อเป็นการปิดช่องว่าง (Gap) ระหว่าง COSO ERM ที่มองความเสี่ยงทั้งหมดขององค์กรในภาพรวมแต่ไม่ได้เจาะลึกไปในด้านเทคโนโลยีสารนสนเทศ และ การบริหารความเสี่ยงของกระบวนการ ISMS ตามมาตรฐาน ISO/IEC 27001 โดยอ้างอิงกระบวนการโดยละเอียดจากมาตรฐาน ISO/IEC 27005 ที่เจาะลึกในด้านเทคโนโลยีสารสนเทศแต่ไม่ได้มองความเสี่ยงทั้งหมดขององค์กรในภาพรวมเหมือน COSO ERM (ดูรูปที่ 14)

รูปที่ 12 Risk IT framework Source: ISACA web site

รูปที่ 13 ISO/IEC 27005 : Information Security Risk Management Source: ISO web site

รูปที่ 14 Completeness of Risk Management Scope vs. Depth of coverage of IT Source : ISACA web site

กล่าวโดยสรุปได้ว่าการบูรณาการแนวคิด “GRC” สู่ภาคปฏิบัติในองค์กรนั้นจะสำเร็จลงไม่ได้เลย ถ้าไม่ได้รับความร่วมมือและการสนับสนุนจากผู้บริหารระดับสูง (Tone from the Top/Executive Level Management Support) หากแต่ความยากนั้นอยู่ที่เราจะทำอย่างไรให้ผู้บริหารระดับสูงเข้าใจในประโยชน์ของการนำแนวคิด “Integrated GRC” มาใช้ (Management Buy-in) ซึ่งเป็นหน้าที่ของ CIO หรือ CISO/CSO ในการนำเสนอแนวคิด IT/Business Alignment ให้ผู้บริหารระดับสูงมองเห็นประโยชน์อย่างชัดเจนและจับต้องได้เสียก่อน ด้วยกรอบแนวคิด Balanced Scorecard (BSC) และ IT Governance Framework โดยการประยุกต์ใช้ “CobiT Framework” เป็นตัวเชื่อมโยงระหว่าง “IT Requirement” และ “Business Requirement” หลังจากนั้นค่อยลงรายละเอียดในเรื่องของการบริหารความเสี่ยงตามกรอบแนวคิด “Risk IT framework” และลงรายละเอียดในกระบวนการขั้นตอนการปฏิบัติงานด้วย “Standards” และ “Best Practices” ต่างๆไม่ว่าจะเป็น ISO 9000, ISO/IEC 27001, ISO/IEC 27002, ITIL, GPG 2010, BS25777 และ BS25999 ที่กำลังจะกลายเป็นมาตรฐาน ISO 22301 ในปีนี้ (พ.ศ. 2554) ตลอดจนการปฎิบัติตามกฎข้อบังคับและกฎหมายต่างๆ (Regulatory Compliance) ที่กำลังทยอยออกมาอย่างต่อเนื่องในปัจจุบันและอนาคต
เพราะแนวคิด “GRC” ไม่ได้เป็นเพียง “G” “R” และ “C” หากแต่มีความหมายลึกซึ้งในการเชื่อมโยงและบูรณาการ (Alignment and Integrated) อยู่ในตัว มีการเชื่อมโยงไปถึงเรื่องภาวะผู้นำ (Leadership) และ วัฒนธรรมภายในองค์กร (Corporate Culture) อย่างหลีกเลี่ยงไม่ได้ ดังนั้นเรื่องของความร่วมมือและความเข้าใจของผู้ปฎิบัติในองค์กร (Human Factor) จึงเป็นเรื่องสำคัญที่เป็นปัจจัยแห่งความสำเร็จ (Key Success Factor) โดยผู้เขียนจะขอกล่าวถึงอย่างละเอียดในบทถัดไป