งานวิจัยชิ้นใหม่เผย การปรับปรุงแนวปฏิบัติด้าน IT GRC

ไอที คอมไพลเอนซ์ กรุ๊ป (IT Policy Compliance Group) เปิดเผยผลวิจัยล่าสุดประจำปี 2551 ในหัวข้อ “ความเสี่ยง คอมไพลเอนซ์ และการกำกับดูแลระบบไอที – แนวทางสู่การปรับปรุงธุรกิจและลดความเสี่ยงด้านการเงิน” ทั้งนี้การกำกับดูแลระบบไอที ความเสี่ยงภัยและประเด็นด้านคอมไพลเอนซ์ (IT Governance, Risk and Compliance – IT GRC) เป็นสิ่งหนึ่งที่จะช่วยสร้างสมดุลย์ระหว่างผลตอบแทนทางธุรกิจและความเสี่ยงที่อาจเกิดขึ้น แนวปฏิบัติด้าน IT GRC ที่เหมาะสมและลงตัวจะส่งผลกระทบต่ออนาคตขององค์กรโดยตรง

จากการสำรวจขั้นต้นของกลุ่มไอทีโพลิซีคอมไพลเอนซ์พบว่า หนทางสู่การปรับปรุงผลการดำเนินธุรกิจและลดความเสี่ยงด้านการเงิน ค่าใช้จ่าย และการสูญเสียอื่นๆ นั้น ก็คือ การเพิ่มความชำนาญและสร้างแนวปฏิบัติที่เหมาะสมในการกำกับดูแลการใช้งานทรัพยากรบนระบบไอทีให้เหมาะสม รายงานดังกล่าวซึ่งมาจากการสำรวจองค์กรระดับโลกกว่า 2, 600 แห่ง ได้ตรวจวัดผลกระทบที่เกิดขึ้นอันเกิดจากการปรับปรุงระบบด้านการปกป้องข้อมูล ด้านคอมไพลเอนซ์ และด้านคุณภาพการให้บริการระบบไอที ซึ่งมีต่อผลการดำเนินธุรกิจในด้านต่างๆ อาทิ ด้านความพึงพอใจของลูกค้า การรักษาฐานลูกค้า ด้านรายได้ ค่าใช้จ่าย และผลกำไร

ค่าคะแนนดิบที่ตรวจวัดได้แสดงให้เห็นชัดเจนว่า องค์กรที่มีการดูแลด้าน IT GRC ที่ดีกว่า จะมีสมรรถนะในการทำงานที่เหนือกว่าองค์กรอื่นๆ ทั้งในด้านความพึงพอใจของลูกค้า การรักษาฐานลูกค้า และการเพิ่มขึ้นของรายได้และผลกำไร โดยจากผลการสำรวจดังกล่าว หากเทียบจากองค์กรที่มีแนวปฏิบัติที่เหมาะสมที่สุดไล่ลงมาจะพบว่า องค์กรที่สร้างความแตกต่างในด้าน IT GRC ได้โดดเด่นส่วนใหญ่มาจากการขับเคลื่อนของผู้บริหารระดับสูง ผู้จัดการและผู้อำนวยการ ทั้งในฝ่ายไอที ฝ่ายกฎหมาย และฝ่ายตรวจสอบภายใน
ผลการดำเนินธุรกิจในกลุ่มบริษัทที่มีแนวปฏิบัติที่เหมาะสม:

•รายได้เพิ่มขึ้น 17 เปอร์เซ็นต์
•กำไรเพิ่มขึ้น 14 เปอร์เซ็นต์
•ความพึงพอใจของลูกค้าเพิ่มขึ้น 18 เปอร์เซ็นต์
•ระดับการรักษาฐานลูกค้าเพิ่มขึ้น 17 เปอร์เซ็นต์
•ความเสียหายด้านการเงินอันเกิดจากการข้อมูลลูกค้าสูญหายหรือถูกขโมย ลดลงกว่า 96 เปอร์เซ็นต์
•โอกาสในการเกิดปัญหาข้อมูลลูกค้าสูญหายหรือถูกขโมยลดลงกว่า 50 เท่า
•ค่าใช้จ่ายในการตรวจสอบด้านคอมไพลเอนซ์ขององค์กรประจำปีลดลงกว่า 50 เปอร์เซ็นต์

คำแนะนำสำหรับธุรกิจ:
•ใช้บาลานซ์สกอร์การ์ด (Balanced Scorecard) เพื่อปรับปรุงการขับเคลื่อนคุณค่าของระบบไอที
•คณะกรรมการที่กำกับดูแลระบบไอทีควรประกอบด้วยผู้บริหารระดับสูงและสมาชิกทั้งจากฝั่งธุรกิจ การเงิน กฎหมาย ไอที การกำกับดูแล และการตรวจสอบภายใน
•ควรขับเคลื่อนการปรับปรุงผลการดำเนินธุรกิจด้วยแนวทางที่วัดผลได้และมีการปรับปรุงคุณภาพอย่างต่อเนื่องผ่านการใช้ระบบไอที
•มีการวัดผลและรายงานผลรายเดือนเพื่อติดตามการปรับปรุงในด้านต่างๆ
•ปรับปรุงความชำนาญและนำระบบอัตโนมัติเข้ามาใช้ในด้านการกำกับดูแลระบบไอที การตรวจสอบภายใน และการบริหารความเสี่ยง
•จัดแบ่งและจำกัดการเข้าถึงข้อมูลสำคัญขององค์กร เพื่อลดความเสี่ยงและต้นทุนที่เกิดขึ้นรับมือกับความเปลี่ยนแปลงอย่างเหมาะสม และป้องกันไม่ให้เกิดการเปลี่ยนแปลงบนระบบโดยไม่ได้รับอนุญาต เพื่อหลีกเลี่ยงความเสี่ยงด้านการเงินและปัญหาด้านต้นทุนทางธุรกิจ
•ตรวจวัดประสิทธิผลในการควบคุมระบบอย่างต่อเนื่องเพื่อให้เกิดความสมดุลย์ระหว่างผลการดำเนินธุรกิจและความเสี่ยงที่อาจเกิดขึ้น

นอกจากงานวิจัยดังกล่าวแล้ว ทางกลุ่มไอทีโพลิซีคอมไพลเอนซ์ยังได้เก็บรวบรวมข้อมูลตลอดช่วงระยะเวลา 2 ปีที่ผ่านมาเพื่อสร้างโมเดลแนวปฏิบัติทีเหมาะสมในด้าน GRC (GRC Capability Maturity Model) เพื่อให้องค์กรสามารถนำไปประเมินระดับความเหมาะสม แนวปฏิบัติ ความชำนาญ และความสามารถขององค์กร ที่สัมพันธ์กับระดับความเหมาะสมในแต่ละช่วงด้วย

คำกล่าวอ้างอิง:
•”IT GRC เป็นเรื่องเกี่ยวกับการจัดการธุรกิจในด้านไอที ซึ่งต้องอาศัยความช่วยเหลือตั้งแต่ระดับบนจนถึงระดับล่าง” จิม เฮอร์ลีย์ ผู้อำนวยการจัดการ กลุ่มไอทีโพลิซีคอมไพลเอนซ์ และผู้จัดการใหญ่ฝ่ายวิจัยของไซแมนเทค กล่าว “งานวิจัยล่าสุดจากกลุ่มไอทีโพลิซีคอมไพลเอนซ์นำเสนอแนวทางในการช่วยให้ธุรกิจสามารถประเมินแนวปฏิบัติด้านไอทีที่มีอยู่ เชื่อมโยงผลดำเนินธุรกิจกับแนวปฏิบัติปัจจุบัน เพื่อให้สามารถมองหาแนวปฏิบัติที่เหมาะสมเพื่อขับเคลื่อนธุรกิจไปในทางที่เกิดประโยชน์สูงสุด”
•”โดยหลักการแล้ว IT GRC มีวัตถุประสงค์หลัก 2 ข้อด้วยกัน คือ การขับเคลื่อนคุณค่าให้แก่ธุรกิจ และการลดความเสี่ยงทางธุรกิจอันเกิดจากระบบไอที” เอเวอร์เร็ตต์ จอห์นสัน ผู้สอบบัญชี และอดีตประธานของสมาคมเพื่อการตรวจสอบและควบคุมระบบไอที (ISACA) และสถาบันด้านการกำกับดูแลระบบไอที (IT Governance) กล่าว “องค์กรสามารถบรรลุเป้าหมายได้ด้วยการปรับกลยุทธ์ทางธุรกิจและไอที และใส่ใจในการสร้างความน่าเชื่อถือบนระบบไอทีให้แก่องค์กร เริ่มตั้งแต่ระดับผู้บริหารลงมา”
•”ผลสำรวจดังกล่าวช่วยย้ำถึงความสำคัญของความปลอดภัยและการรักษาความลับของสารสนเทศ ที่สอดคล้องกับนโยบายด้านไอทีคอมไพลเอนซ์ที่เหมาะสม” รอคโค กริลโล ผู้อำนวยการจัดการฝ่ายดูแลความปลอดภัยระบบไอทีของ โพรทิวิตี้ (Protiviti) กล่าว “ผลการศึกษาดังกล่าวช่วยสนับสนุนแนวคิดที่ว่า การปกป้องข้อมูลสำคัญกำลังเป็นสิ่งสำคัญที่สุดในด้านไอทีคอมไพลเอนซ์ ทั้งนี้เพราะผลลัพธ์จากปัญหาข้อมูลรั่วไหลและการแก้ไขปัญหา รวมไปถึงค่าใช้จ่ายในการดูแลแนวปฏิบัติให้เป็นไปตามกฎเกณฑ์ด้านคอมไพลเอนซ์นั้นกำลังกลายเป็นค่าใช้จ่ายมหาศาลของหลายๆ องค์กร”
•”รายงานฉบับนี้สัมพันธ์กับสิ่งที่ทางสถาบันผู้ตรวจสอบภายใน (IIA) ได้ทราบมาก่อนหน้านี้ กล่าวคือ องค์กรที่มีแนวปฏิบัติเหมาะสมต้องให้ความใส่ใจในด้านนี้ตั้งแต่ระดับผู้บริหาร และใช้แนวทางการประเมินความเสี่ยงในการตรวจสอบภายใน เพื่อให้เกิดประสิทธิภาพและประสิทธิผลที่ดีที่สุดทั้งในด้านคอมไพลเอนซ์และการบริหารความเสี่ยง” เฮริออต เพรนทิช ผู้อำนวยการฝ่ายมาตรฐานและแนวปฏิบัติของสถาบันผู้ตรวจสอบภายใน กล่าว “องค์กรควรศึกษาแนวปฏิบัติที่เหมาะสมเพื่อจัดเตรียมให้ทุกอย่างลงตัวที่สุด และจัดสรรงบลงทุนเพื่อการควบคุมภายในเพื่อช่วยปกป้องข้อมูล ลดความเสี่ยงด้านการเงิน และช่วยเพิ่มผลกำไรให้แก่องค์กร”

ข้อมูลที่เกี่ยวข้อง:
หากสนใจข้อมูลที่เกี่ยวข้องกับ IT GRC สามารถแวะเยี่ยมชมได้ที่
•IT Policy Compliance Group Research Center (http://www.itpolicycompliance.com/research_reports/)
•IT GRC Maturity Model Assessment Tool (http://www.itpolicycompliance.com/interactive-tools/maturity-app.asp)
•ITPCG Blog (http://itpcg.wordpress.com/)
•Wikipedia: GRC (http://en.wikipedia.org/wiki/Governance%2C_Risk_Management%2C_and_Compli…)

เกี่ยวกับงานวิจัย
งานวิจัยในครั้งนี้โดยกลุ่มไอทีโพลิซีคอมไพลเอนซ์เป็นหนึ่งในการวิจัยต่อเนื่องซึ่งได้รับข้อมูลจากสมาชิกกลุ่มต่างๆ ไปจนถึงการเก็บรวบรวมข้อมูลจากงานวิจัยก่อนหน้า โดยผลการเปรียบเทียบล่าสุดในรายงานฉบับนี้ประมวลมาจากข้อมูลที่ได้จากองค์กรกว่า 558 แห่ง ระหว่างเดือนธันวาคม 2550 ถึงเดือนมีนาคม 2551 ซึ่งผลลัพธ์ที่ได้สอดคล้องกับผลงานวิจัยด้วยการใช้ข้อมูลระหว่างเดือนกรกฎาคม 2550 ถึงเดือนมีนาคม 2551 ซึ่งรวมแล้วมีการเก็บข้อมูลบริษัทกว่า 2,608 แห่ง โดยองค์กรกว่า 90 เปอร์เซ็นต์ที่เข้าร่วมการสำรวจในครั้งนี้อยู่ในแถบอเมริกาเหนือ และอีก 10 เปอร์เซ็นต์กระจายอยู่ในประเทศต่างๆ แถบแอฟริกา เอเชียแปซิฟิค ยุโรป ตะวันออกกลาง และอเมริกาใต้

เกี่ยวกับกลุ่มไอทีโพลิซีคอมไพลเอนซ์
กลุ่มไอทีโพลิซีคอมไพลเอนซ์ มุ่งเน้นในการพัฒนางานวิจัยและข้อมูลเพื่อช่วยให้องค์กรสามารถบรรลุเป้าหมายตามนโยบายและแนวทางด้านคอมไพลเอนซ์ที่เหมาะสม โดยทางกลุ่มมีองค์กรพร้อมช่วยเหลือสมาชิกในการปรับปรุงธุรกิจ การกำกับดูแล การบริหารความเสี่ยง และการปรับปรุงด้านคอมไพลเอนซ์ โดยอิงแนวปฏิบัติตามผลลัพธ์จากงานวิจัย ทั้งนี้ทางกลุ่มได้รับการสนับสนุนจากองค์กรชั้นนำหลายแห่ง อาทิ สถาบันด้านความปลอดภัยระบบคอมพิวเตอร์ (Computer Security Institute) สถาบันผู้ตรวจสอบภายใน (Institute of Internal Auditors) โพรทิวิตี้ (Protiviti) สมาคมเพื่อการตรวจสอบและควบคุมระบบไอที (ISACA) สถาบันด้านการกำกับดูแลระบบไอที (IT Governance Institute) และไซแมนเทค คอร์ปอเรชัน สำหรับข้อมูลเพิ่มเติมสามารถเยี่ยมชมได้ที่ www.ITPolicyCompliance.com arks of their respective owners.

เกี่ยวกับ ไซแมนเทค
ไซแมนเทค เป็นผู้นำระดับโลกด้านโซลูชันที่ช่วยสร้างความมั่นใจให้แก่องค์กร ทั้งในระดับเอ็นเตอร์ไพร์ซและองค์กรส่วนบุคคลในเรื่องการใช้งานข้อมูลร่วมกัน รวมถึงความพร้อมในการเรียกใช้และความปลอดภัยของข้อมูล โดยมีสำนักงานใหญ่อยู่ที่คิวเปอร์ติโน มลรัฐแคลิฟอร์เนีย และมีศูนย์ปฏิบัติการอยู่กว่า 40 ประเทศ รายละเอียดเพิ่มเติมสามารถเยี่ยมชมได้ที่ www.symantec.com