ความเสี่ยงจากการใช้งานผู้ให้บริการภายนอก 'Outsourcing'
ปัจจุบันกลยุทธ์การดำเนินธุรกิจ มักจะอาศัยการใช้บริการจาก Outsourcing หรือผู้ให้บริการภายนอก ที่จะทำให้การดำเนินงานขององค์กรมีประสิทธิภาพและสร้างผลตอบแทนเพิ่มสูงมากขึ้น แต่ในทางกลับกันจะมั่นใจได้อย่างไรว่ามีมาตรฐานตามหลักสากลและน่าเชื่อถือ
การดำเนินธุรกิจในยุคปัจจุบันโดยอาศัยการใช้บริการจากผู้ให้บริการภายนอก หรือ Outsourcing มีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่องและมีโอกาสที่จะเพิ่มสูงขึ้นไปได้อีกอย่างมากในอนาคต เนื่องจากการใช้บริการ Outsourcing เหล่านี้ ส่งผลให้องค์กรสามารถใช้เวลาและมุ่งเน้นไปกับการดำเนินงานและพัฒนาธุรกิจหลักที่เป็นหัวใจขององค์กร โดยที่ไม่ต้องพะวงกับการดำเนินงานด้านอื่นๆ ที่ไม่ใช่ธุรกิจหลัก
กลยุทธ์การดำเนินธุรกิจในลักษณะนี้ ส่งผลให้การดำเนินงานขององค์กรมีประสิทธิภาพและสร้างผลตอบแทนเพิ่มสูงมากขึ้น โดยในประเทศไทย ณ ปัจจุบัน มีผู้ให้บริการ Outsourcing อย่างมากมายและแพร่หลายในหลายรูปแบบ เช่น ผู้ให้บริการการประมวลผลในรูปแบบคลาวด์ ผู้ให้บริการจัดการระบบการจ่ายเงินออนไลน์ ผู้ให้บริการจัดการระบบบัญชี ระบบเงินเดือน ผู้ให้บริการศูนย์ข้อมูลสารสนเทศ ผู้ให้บริการจัดการดูแลความปลอดภัยข้อมูลและระบบงานสารสนเทศ และ ผู้ให้บริการพัฒนาระบบงานแอพพลิเคชั่น เป็นต้น
อย่างไรก็ตาม การที่องค์กรมอบหมายความรับผิดชอบในการปฏิบัติหน้าที่บางอย่างให้แก่ผู้ให้บริการภายนอกนั้น ความเสี่ยงที่เกี่ยวข้องกับหน้าที่เหล่านั้นก็ยังคงเป็นความรับผิดชอบขององค์กรอยู่ดี ดังนั้นทั้งผู้ให้บริการภายนอกและตัวองค์กรเองควรตระหนักถึงความสำคัญในข้อเท็จจริงนี้ สำหรับองค์กรจะมีความมั่นใจได้อย่างไรว่าผู้ให้บริการภายนอกที่ใช้บริการอยู่ หรืออยู่ระหว่างพิจารณาที่จะใช้บริการนั้น มีการควบคุมภายในที่ดี รัดกุม สามารถลดความเสี่ยงที่เกิดขึ้นจากกระบวนการปฏิบัติงานได้ รวมถึงความมั่นใจว่าจะได้รับบริการที่มีมาตรฐานตามหลักสากลและน่าเชื่อถือ
คำถามเหล่านี้เป็นสิ่งที่องค์กรควรคำนึงถึงเมื่อมีการใช้บริการจากผู้ให้บริการภายนอก โดยเฉพาะอย่างยิ่งเมื่อผู้ให้บริการสามารถเข้าถึงเครือข่าย ระบบงานภายใน ข้อมูลต่างๆ ขององค์กร รวมไปถึงความลับทางธุรกิจและข้อมูลลูกค้าขององค์กร ซึ่งข้อมูลเหล่านี้มีมูลค่าอย่างมากมายมหาศาล ด้วยปัจจัยเหตุผลดังกล่าวทำให้ผู้ให้บริการภายนอกตกเป็นหนึ่งในเป้าหมายหลักจากการโจมตีด้านไซเบอร์ โดยอาจพุ่งเป้าไปที่การขโมยข้อมูล หรือโจมตีระบบงาน ส่งผลกระทบโดยตรงและสร้างความเสียหายอย่างมากแก่องค์กร ทั้งข้อมูลความลับที่ถูกโจรกรรมเพื่อนำไปซื้อขายต่อ ราคาหุ้นที่ลดลง รวมถึงภาพลักษณ์ในแง่ลบต่อองค์กร
ทั้งนี้ การที่ผู้ให้บริการภายนอกสามารถแสดงถึงความน่าเชื่อถือในเรื่องการควบคุมภายในที่ดีให้แก่องค์กรได้นั้น โดยทั่วไปมีหลายวิธี เช่น การออกรายงานการตรวจสอบโดยผู้ให้บริการเอง ใบรับรองมาตรฐานต่างๆ การถูกตรวจสอบโดยองค์กรผู้รับบริการ หรือการถูกตรวจสอบแบบ Third Party Assurance ซึ่งเป็นวิธีที่ให้ระดับความมั่นใจสูงสุด เพราะการตรวจสอบแบบ Third Party Assurance เป็นการตรวจสอบโดยผู้ตรวจสอบอิสระที่ได้รับอนุญาต CPA (Certified Public Accountant)
โดยมีจุดประสงค์เพื่อให้คำรับรองเกี่ยวกับการควบคุมภายในโดยอ้างอิงตามหลักมาตรฐานสากล เช่น Statement on Standards for Attestation Engagements (SSAE) หรือ International Standards on Assurance Engagements (ISAE) ตัวอย่างเช่น การควบคุมภายในที่เกี่ยวข้องกับการรับรองงบการเงิน (financial statement) ตามมาตรฐาน SSAE18 SOC1 หรือ ISAE3402 หรือความควบคุมภายในที่เกี่ยวข้องกับความปลอดภัยของข้อมูล (security) ความพร้อมใช้ข้อมูล (availability) ความถูกต้องของข้อมูล (process integrity) ความลับข้อมูล (confidentiality) หรือความเป็นส่วนตัวของข้อมูล (privacy) ตามมาตรฐาน SSAE18 SOC2 เป็นต้น
โดยเฉพาะอย่างยิ่งมาตรฐาน SSAE18 SOC2+ ที่เปิดโอกาสให้ผู้ให้บริการภายนอกสามารถนำมาตรฐานอื่น ๆ มาอ้างอิงไว้ในรายงานการตรวจสอบฉบับเดียวกันได้ โดยขึ้นอยู่กับรูปแบบการให้บริการเฉพาะตัวของผู้ให้บริการ เช่น SOC2 + ISO27001 ที่จะเน้นไปทางด้าน ความปลอดภัยของข้อมูล ความพร้อมใช้ข้อมูล และความลับข้อมูล หรือ SOC2 + Cloud Security Alliance (CSA) Cloud Control Matrix (CCM) สำหรับผู้ให้บริการการประมวลผลในรูปแบบคลาวด์ หรือ SOC2 + NIST Cyber Security Framework (CSF) สำหรับผู้ให้บริการที่เน้นด้านการควบคุมด้านไซเบอร์ เป็นต้น
การตรวจสอบแบบ Third Party Assurance นั้น ให้ประโยชน์หลายด้าน ทั้งแก่ผู้ให้บริการภายนอกและตัวองค์กรผู้รับบริการเอง ไม่ว่าจะเป็นเรื่องการให้ความเชื่อมั่นเรื่องการควบคุมภายในตามมาตรฐานสากล การประหยัดค่าใช้จ่ายในการตรวจสอบจากผู้ตรวจสอบขององค์กรผู้ใช้บริการ การปฏิบัติตามข้อกำหนดของประเภทธุรกิจหรือระเบียบของหน่วยงานกำกับดูแล รวมไปถึงข้อได้เปรียบทางธุรกิจ เนื่องจากผู้ให้บริการที่ผ่านการตรวจสอบตามมาตรฐานนี้ จะได้รับความไว้วางใจจากองค์กรที่จะมาใช้บริการมากกว่าผู้ให้บริการที่ไม่ได้ผ่านการตรวจสอบรับรองดังกล่าว
คำพูดที่ว่า ‘You can outsource a process but you cannot outsource the risk related to it’ เป็นสิ่งที่องค์กรควรตระหนักถึง องค์กรจะมีความเชื่อมั่นได้อย่างไรว่าผู้ให้บริการนั้นมีการกำกับดูแลและการควบคุมภายในที่ดีตามมาตรฐานสากลเพื่อให้สามารถลดความเสี่ยงที่เกิดจากการปฏิบัติการที่เกี่ยวข้องกับองค์กรได้ เพราะผลกระทบที่เกิดจากการควบคุมภายในที่ไม่ดีของผู้ให้บริการภายนอกส่งผลกระทบโดยตรงต่อองค์กรผู้รับบริการอย่างหลีกเลี่ยงไม่ได้
บทความนี้นำเสนอร่วมกันโดย พิรุฬน์ กิตติเดชปรีชา ผู้อำนวยการ และ ปิยะนุช สุจินตนารัตน์ ผู้จัดการอาวุโส บริการที่ปรึกษาความเสี่ยง ดีลอยท์ ประเทศไทย