IT Risk คือความเสี่ยงด้านไอที ซึ่งนับวันจะมีความสำคัญในการดำเนินกิจการของบรรดาธุรกิจประเภทต่าง ๆ เพิ่มมากขึ้น ความจำเป็นในการทำความเข้าใจกับ IT Risk จึงมีส่วนช่วยในการบริหารจัดการกับความเสี่ยงด้านเทคโนโลยี่สารสนเทศได้ดีขึ้น
ประเภทของ IT Risk
ความเสี่ยงด้านไอทีอาจจะแบ่งออกเป็น 3 ประเภทหลัก
- ความเสี่ยงทางการเงิน
- ความเสี่ยงด้านปฏิบัติการ
- ความเสี่ยงด้านการกำกับการปฏิบัติตามกฏเกณฑ์
ความเสี่ยงทางการเงิน
1.1 เป็นความเสี่ยงจากการที่กิจการมีการลงทุนทางด้านเทคโนโลยี่และเกิดผลกระทบต่อรายรับและเงินกองทุน ซึ่งเป็นความเสี่ยงที่มาจาก
– การลงทุนทางเทคโนโลยี่อาจจะเป็นการลงทุนที่ไม่คุ้มค่า ไม่สามารถสร้างรายได้แก่กิจการ ได้ทันที จนทำให้ความสามารถในการทำรายได้โดยรวมของกิจการลดลงในระยะแรก และหากการลงทุนทางเทคโนโลยี่ไม่สามารถสนับสนุนการสร้างหรือเพิ่มพูนรายได้ในระยะยาวได้ตามความคาดหมาย ก็จะเกิดต้นทุนค่าเสียโอกาสแก่กิจการที่ควรจะนำเงินที่ลงทุนในเทคโนโลยี่ไปลงทุนในด้านอื่นที่ให้ผลตอบแทนที่เป็นตัวเงินได้ดีกว่า
– การเพิ่มขึ้นของต้นทุนในกิจการอันเนื่องมาจากการที่กิจการโอนย้าย ขั้นตอนของการประมวลผลเข้ามาอยู่ในองค์กร หรือในทางตรงกันข้ามต้นทุนในกิจการกลับเพิ่มขึ้นอันเนื่องมาจากการที่กิจการโอนถ่ายการประมวลผลออกไปว่าจ้างผู้ให้บริการภายนอกดำเนินการแทน
– การเพิ่มขึ้นของต้นทุนหรือค่าใช้จ่ายอันเนื่องมาจากการที่กิจการ ต้องทำการเชื่อมโยงหรือบูรณาการระบบงานต่าง ๆ ที่มีความหลากหลายของแหล่งที่มาจากผู้ขายหลายราย และความเสี่ยงที่เป็นตัวเงินของต้นทุนการแก้ไขปัญหาอาจจะเพิ่มขึ้นอีก หากความพยายามเชื่อมโยงระบบต้องใช้เวลาที่ยาวนานกว่าที่คาดไว้
– ความล้มเหลวของการลงทุนทางด้านเทคโยนโลยี่ ซึ่งพบในภายหลังจากการลงทุนว่าเป็นผลิตภัณฑ์หรือบริการงานไอทีที่ไม่สามารถใช้งานหรือไม่เป็นประโยชน์ต่อการดำเนินงานของกิจการ
1.2 เป็นความเสี่ยงจากการที่กิจการมีการดำเนินงานหรือกิจกรรมของไอที ซึ่งส่งผลกระทบต่อความเสี่ยงด้านเครดิต หรือความเสี่ยงด้านตลาดหรือด้านสภาพคล่อง อันเป็นความเสี่ยงที่มาจาก
– กระบวนการคัดกรองหรือการอนุมัติที่ดำเนินการบนระบบงานไอที ทำให้ได้ลูกค้าหรือได้ คู่ค้าที่มีระดับความเสี่ยงด้านเครดิตสูง หรือมีระดับความสามารถในการชำระคืนเงินตามภาระต่ำกว่าเกณฑ์ที่เคยใช้
– กระบวนการอนุมัติที่ดำเนินการผ่านระบบหรือโปรแกรมแทนการใช้ดุลยพินิจของบุคลากรในฐานะของผู้เชี่ยวชาญ ทำให้การกำหนดราคา (Pricing) ไม่สอดคล้องกับอัตราตลาด
2. ความเสี่ยงด้านปฏิบัติการ
เป็นความเสี่ยงที่เกี่ยงข้องกับ
– ความมั่นคงและระบบการรักษาความปลอดภัย การรักษาความลับ
– ความมีอยู่ของระบบงาน
– ความถูกต้อง เชื่อถือได้
ตัวอย่างของความเสี่ยงไอทีที่เกี่ยวข้องกับการปฏิบัติการ
| ลักษณะความเสี่ยง | ผลกระทบต่อกิจการ |
| 1.การแฮกโดยแฮกเกอร์ | -ข้อมูลหรือระบบมีความเสียหาย-ระบบการควบคุมภายในขาดประสิทธิภาพ
-ความเชื่อมั่นของลูกค้า บุคลากรในองค์กรลดลง
เสื่อมเสียชื่อเสียง
|
| 2.ระบบติดไวรัส | -เซิร์ฟเวอร์ของกิจการเสียหาย-มีค่าใช้จ่ายในการ clean-up และค่าใช้จ่ายในการดำเนินคดีทางกฏหมาย
-กรณีที่ไม่อาจตรวจจับพบและแก้ไขได้ภายในระยะเวลาที่เหมาะสม อาจจะต้อง re-format และ re-install ทั้ง Application และ Data
-สะท้อนภาพของความอ่อนแอของการควบคุมภายในและระบบรักษาความปลอดภัย
|
| 3.การเข้าถึงระบบโดยไม่ได้รับอนุญาต | -อาจจะเกิดจากความตั้งใจจะทุจริต-สะท้อนภาพของการควบคุมภายในที่อ่อนแอ
-อาจจะเกิดการสูญหายของข้อมูลการบันทึกธุรกรรม
-อาจจะมีผลต่อชื่อเสียงและความเชื่อมั่นในกิจการ
|
3.ความเสี่ยงในการกำกับการปฏิบัติให้เป็นไปตามกฏเกณฑ์ (Compliance)
ความเสี่ยงทางไอทีในส่วนนี้อาจจะเป็นเรื่องของ
– การเก็บรักษาความลับของลูกค้าที่ต้องเป็นไปตามกฏหมาย
– ความถูกต้องของข้อมูลที่นำออกเผยแพร่ต่อภายนอกซึ่งเป็นเงื่อนไขทางกฏหมาย
– อาจจะไม่ผ่านตามเกณฑ์ของการตรวจสอบไอทีหรือการตรวจสอบกิจการของผู้กำกับ
– อาจจะมีผลกระทบต่อการลดลงของอันดับความน่าเชื่อถือหรือ Rating
– การกำกับการปฏิบัติตามสัญญาของ Outsourcing
ไม่มีความคิดเห็น:
แสดงความคิดเห็น