องค์กรของท่านกำลังเผชิญ “ความเสี่ยงจากบุคคลหรือหน่วยงานภายนอก” มากขึ้น โดยไม่รู้ตัวหรือไม่
ปัจจุบันหลายๆองค์กร ได้พึ่งพาการใช้บริการบุคคลหรือหน่วยงานภายนอก (เช่น คู่ค้าทางธุรกิจ ซัพพลายเออร์ ผู้ให้บริการด้าน IT และอื่นๆ) เข้ามาช่วยในงานด้านต่างๆ มากขึ้นอย่างมีนัยสำคัญ เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจและเทคโนโลยีสารสนเทศ รวมทั้งเพื่อเพิ่มขีดความสามารถในการแข่งขัน แต่การใช้บริการบุคคลหรือหน่วยงานภายนอกอาจส่งผลให้องค์กรต้องเผชิญความเสี่ยงในหลายด้านได้เช่นกัน
ยกตัวอย่างเช่น การใช้บริการ Cloud Computing เพื่อใช้ระบบงาน ประมวลผล และเก็บข้อมูลส่วนบุคคลของลูกค้าหรือข้อมูลที่มีความอ่อนไหว อาจทำให้องค์กรต้องเผชิญกับความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ ความเสี่ยงด้านการปฏิบัติตามกฎหมายหรือข้อบังคับของทางการ รวมไปถึงอีกหนึ่งความเสี่ยงซึ่งมีแนวโน้มที่จะขยายตัวเพิ่มสูงขึ้น
นั่นคือความเสี่ยงด้านไซเบอร์ ที่องค์กรอาจถูกโจมตีและนำไปสู่การรั่วไหลของข้อมูลลูกค้า ปัจจัยที่ทำให้องค์กรอาจต้องเผชิญความเสี่ยงด้านต่างๆอาจมาจากหลายสาเหตุ อาทิ พนักงานขาดความรู้ความเข้าใจอย่างเพียงพอ (People) ไม่มีกรอบหรือนโยบายการบริหารความเสี่ยงฯที่ชัดเจน (Framework & Policy) ไม่มีระบบหรือเครื่องมือที่สนับสนุนการทำงานอย่างมีประสิทธิภาพ (System/Tool)
รวมทั้งกระบวนการที่สนับสนุนการบริหารความเสี่ยงฯ ที่ยังไม่เหมาะสม (Process) ซึ่งกระบวนการในที่นี้ เริ่มตั้งแต่การคัดเลือกบุคคลหรือหน่วยงานภายนอก การบริหารจัดการเรื่องสัญญาที่เหมาะสม การควบคุมการเข้าถึงและความปลอดภัยของระบบหรือข้อมูลลูกค้า การประเมินผลการปฎิบัติงานและความเสี่ยงฯ อย่างสม่ำเสมอ รวมไปถึง เรื่องที่ควรพิจารณาในกรณีที่มีการยกเลิกหรือสิ้นสุดสัญญา
องค์กรจะมั่นใจได้อย่างไรว่าได้มีการกำกับดูแลบริหารจัดการความเสี่ยงฯอย่างมีประสิทธิผลที่เพียงพอ เพื่อลดผลกระทบที่อาจจะเกิดขึ้นทั้งที่เป็นตัวเงินและไม่เป็นตัวเงิน เช่น การหยุดชะงักของระบบที่อาจส่งผลต่อการให้บริการลูกค้า (Customer) และการปฏิบัตงานของพนักงาน (Staff) ความเสียหายต่อชื่อเสียงและภาพลักษณ์ขององค์กร (Reputation)
รวมทั้งการไม่ปฏิบัติตามกฎหมายหรือข้อบังคับของทางการ (Regulatory) ตัวอย่างเช่น พรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA), พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ Cyber Security Act (CSA) ยังไม่รวมถึงประกาศธนาคารแห่งประเทศไทย เรื่องหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงิน และแนวปฏิบัติการบริหารจัดการความเสี่ยงจากบุคคลภายนอก (Third Party Risk Management)
และประกาศล่าสุดจากสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ เรื่องข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ โดยมีผลบังคับในวันที่ 1 ก.ค. 2566 ซึ่งประกอบด้วย 3 หัวข้อกล่าวคือ การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (IT Governance) การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security) และการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit
ทั้งนี้องค์กรอาจประเมินผลความเสี่ยงฯ เบื้องต้นที่อาจจะเกิดขึ้น โดยเริ่มจากการพิจารณาบางคำถามด้านล่างนี้
· บุคคลหรือหน่วยงานภายนอกที่ให้บริการองค์กรของท่าน คือใครบ้าง?
· บุคคลหรือหน่วยงานภายนอกดังกล่าว มีความเกี่ยวข้องในลักษณะใดและมีนัยสำคัญต่อองค์กรของท่าน มากแค่ไหน?
· พนักงานขององค์กรท่านมีความรู้ความเข้าใจเพียงพอ องค์กรมีกรอบหรือนโยบาย กระบวนการบริหารความเสี่ยงฯ รวมทั้งมีระบบหรือเครื่องมือที่มีประสิทธิภาพเพียงพอ แล้วหรือไม่
ความท้าทายโดยทั่วไปของการบริหารจัดการความเสี่ยงจากบุคคลหรือหน่วยงานภายนอก และความเสี่ยงที่เกี่ยวข้อง ที่องค์กรส่วนใหญ่พบเจอ อาจมีสาเหตุจาก
· ความตระหนักรู้และ ความเข้าใจที่จำกัด ในเรื่องความเสี่ยงอันเกิดจากบุคคลหรือหน่วยงานภายนอก
· ความเข้าใจว่าการบริหารจัดการความเสี่ยงจากบุคคลหรือหน่วยงานภายนอกเป็นความรับผิดชอบของหน่วยงานผู้ปฏิบัติงานเท่านั้น (First Line of Defence)
· ขอบเขตในการกำกับดูแลที่จำกัด ตัวอย่างเช่น พนักงานชั่วคราว ผู้รับเหมาช่วง ซึ่งอยู่ภายใต้การดูแลของบุคคลหรือหน่วยงานภายนอก ทำให้องค์กรไม่สามารถเข้าไปกำกับดูแลจัดการความเสี่ยงจากบุคคลหรือหน่วยงานภายนอก กับพนักงานชั่วคราว หรือ ผู้รับเหมาช่วงดังกล่าวได้ เป็นต้น
· หน่วยงานที่หน้าที่บริหารความเสี่ยง กำกับดูแล และตรวจสอบ (Second and Third Lines of Defence) อาจยังมีไม่มีการกำกับดูแลในเรื่องบริหารจัดการความเสี่ยงจากบุคคลหรือหน่วยงานภายนอก หรือ อาจมีการกำกับดูแลแต่ไม่เพียงพอเหมาะสม ซึ่งอาจส่งผลให้การจัดการความเสี่ยงฯ ในภาพรวมระดับองค์กร ไม่มีประสิทธิผลเพียงพอ
· ข้อมูลที่ไม่เพียงพอ ไม่สมบูรณ์ ไม่สอดคล้องกัน และการกระจัดกระจายของข้อมูลไปหลายระบบหรือหลายหน่วยงาน ตลอดจนการประมวลผลข้อมูลที่มากจนเกินไป ส่งผลให้เกิดความไม่มีประสิทธิภาพและไม่มีประสิทธิผลการในการบริหารจัดการ
แนวทางการบริหารจัดการความเสี่ยงจากบุคคลหรือหน่วยงานภายนอก โดยทั่วไปสามารถประเมินผลได้ทั้ง “จากบนลงล่าง” และ “จากล่างขึ้นบน” (top-down and bottom-up assessments) ซึ่งพิจารณาจากสถานะปัจจุบันขององค์กร (เช่น บุคลากร กรอบหรือนโยบาย กระบวนการ ระบบหรือเครื่องมือสนับสนุนการทำงาน) ทีมที่ปรึกษาสามารถช่วยองค์กร
โดยนำเสนอการให้บริการและแนวทางที่ปรับเปลี่ยนให้มีความเหมาะสมกับวัตถุประสงค์หรือความต้องการขององค์กร (fit-for-purpose) ในด้านต่างๆ ตัวอย่างเช่น การคัดเลือกบุคคลหรือหน่วยงานภายนอก การประเมินความเสี่ยงและการควบคุม การบริหารจัดการเรื่องสัญญาระหว่างกัน การระบุและประเมินผลตามดัชนีชี้วัดผลความสำเร็จ (KPI) การตรวจสอบและสอบทานคุณภาพอย่างต่อเนื่อง เป็นต้น ทั้งนี้เพื่อลดโอกาสที่องค์กรของท่านจะเผชิญความเสี่ยงจากการใช้บริการบุคคลหรือหน่วยงานภายนอกและเพื่อสร้างความเชื่อมั่นให้แก่นักลงทุน ลูกค้า พนักงาน และผู้มีส่วนได้ส่วนเสียขององค์กร นั่นเอง