ในการดำเนินธุรกิจใดๆ นั้น การตรวจสอบให้มั่นใจอยู่เสมอว่าทุกกระบวนการในการดำเนินธุรกิจจะเป็นไปตามข้อกำหนดและกฎหมาย รวมถึงบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นได้นั้นถือเป็นอีกหนึ่งส่วนที่มีความสำคัญเป็นอย่างยิ่ง โดยเฉพาะสำหรับธุรกิจองค์กรที่มีขนาดใหญ่อย่างสถาบันการเงิน หน่วยงานภาครัฐ ธุรกิจข้ามชาติ ธุรกิจในตลาดหลักทรัพย์ หรือแม้แต่ธุรกิจที่มีแผนจะเข้าตลาดหลักทรัพย์ก็ตาม
ด้วยเหตุนี้ เหล่าผู้นำในธุรกิจองค์กรจึงต้องควรทำความรู้จักกับ GRC ที่จะเป็น Framework และเครื่องมือสำคัญเพื่อช่วยให้ธุรกิจสามารถดำเนินต่อไปได้อย่างถูกต้อง และบริหารความเสี่ยงให้เหมาะสมได้อย่างต่อเนื่อง
บทความนี้จะพาทุกท่านไปรู้จักกับแนวคิด GRC และแนวทางในการปรับนำกระบวนการต่างๆ ทางด้าน GRC เหล่านี้ให้อยู่ในรูปแบบ Digital และ Automated ได้ทันที ด้วยโซลูชัน ServiceNow GRC จาก Datapro Computer Systems หรือ DCS กันครับ
GRC คืออะไร? สำคัญอย่างไรต่อธุรกิจองค์กรไทย?
GRC นั้นย่อมาจากคำว่า Governance, Risk, and Compliance:
- Governance: Framework สำหรับการกำหนดการดำเนินงานของธุรกิจองค์กร และตรวจสอบว่าการดำเนินงานเหล่านั้นตรงตามวัตถุประสงค์ของธุรกิจหรือไม่ โดยครอบคลุมทั้งกระบวนการ, การจัดวางโครงสร้าง และการกำหนดนโยบาย เพื่อใช้ในการบริหารจัดการและการติดตามการดำเนินงานเหล่านั้น
- Risk: กระบวนการในการระบุความเสี่ยง และจัดการกับความเสี่ยงด้วยการควบคุมในรูปแบบต่างๆ เพื่อให้มั่นใจว่าความเสี่ยงที่อาจเกิดขึ้นกับธุรกิจในแต่ละรูปแบบนั้นสามารถถูกบริหารจัดการได้ตามนโยบายที่กำหนดเอาไว้ โดยครอบคลุมถึงการวัดระดับความเสี่ยง, การประเมินความเสี่ยง, การตัดสินใจรับความเสี่ยง, การตรวจสอบความเสี่ยง และการระบุความเสี่ยง
- Compliance: การตรวจสอบให้มั่นใจว่าการดำเนินงานของธุรกิจองค์กรจะเป็นไปตามข้อกำหนดทางกฎหมายและมาตรฐานต่างๆ ของอุตสาหกรรม
3 สิ่งดังกล่าวนี้คือสิ่งที่จะทำให้ธุรกิจองค์กรมีแนวทางที่ชัดเจน พร้อมเครื่องมือที่จะช่วยให้ทุกกระบวนการในการทำธุรกิจเกิดขึ้นได้อย่างมั่นใจว่าจะไม่ละเมิดต่อข้อกฎหมาย, มาตรฐาน หรือข้อบังคับในอุตสาหกรรม รวมถึงยังมีความมั่นคงในการดำเนินธุรกิจจากการประเมินและรับมือกับความเสี่ยงที่จะเกิดขึ้นในทุกๆ กิจกรรมอย่างสม่ำเสมอด้วยวิธีการที่เป็นระบบ
การทำ GRC นั้นไม่ได้เป็นเพียงแค่การกำกับดูแลควบคุมเฉพาะในส่วนใดส่วนหนึ่งเท่านั้น แต่ต้องเป็นการกำกับดูแลควบคุมที่ครอบคลุมถึงทุกภาคส่วนที่สำคัญต่อการดำเนินธุรกิจ ไม่ว่าจะเป็นการจัดการกับความเสี่ยงในเชิงกลยุทธ์, การดำเนินงาน, การใช้เทคโนโลยี, การจัดการข้อมูล, การจัดการความมั่นคงปลอดภัย, การรักษาความเป็นส่วนตัวของข้อมูล, ชื่อเสียงของธุรกิจ, การจัดการกับ 3rd Party ไปจนถึงการจัดการกับข้อกฎหมายและมาตรฐานที่เกี่ยวข้อง
โดยทั่วไปแล้ว GRC มักเป็นสิ่งที่เกิดขึ้นในธุรกิจองค์กรขนาดใหญ่อย่างเช่น สถาบันการเงิน หน่วยงานภาครัฐ ธุรกิจข้ามชาติ ธุรกิจในตลาดหลักทรัพย์ แต่ทุกวันนี้ด้วยความเปลี่ยนแปลงอย่างรวดเร็วจากการทำ Digital Transformation ทำให้ธุรกิจ Startup หลายรายที่มีโอกาสเติบโตเป็นธุรกิจขนาดใหญ่เองก็ต้องให้ความสำคัญกับ GRC รวมถึงธุรกิจองค์กรไทยจำนวนมากที่กำลังมีแผนจะเข้าตลาดหลักทรัพย์ ก็ต้องดำเนินการด้าน GRC เพื่อให้เกิดความเชื่อมั่นและตรงตามข้อบังคับของการเข้าตลาดหลักทรัพย์ด้วยเช่นกัน
อย่างไรก็ดี การทำ GRC นี้ถือเป็นกิจกรรมที่มีขนาดใหญ่และมีความซับซ้อนสูง รวมถึงมีภาคส่วนในธุรกิจองค์กรที่เกี่ยวข้องอย่างหลากหลาย ดังนั้นหากไม่มีการกำหนดกระบวนการที่ดีและไม่มีการนำเทคโนโลยีที่เหมาะสมมาใช้ในส่วนนี้ การทำ GRC ก็อาจสร้างค่าใช้จ่ายจำนวนมากให้กับธุรกิจองค์กร รวมถึงใช้เวลาการทำงานของผู้บริหารและพนักงานจำนวนมากในการจัดการส่วนนี้ อีกทั้งการทำ GRC ยังอาจไม่ครอบคลุมครบถ้วนทุกประเด็นได้จากความสับสนของข้อมูลปริมาณมหาศาลที่เกิดขึ้น และนี่เองก็เป็นโจทย์ที่ธุรกิจองค์กรขนาดใหญ่ส่วนมากกำลังเผชิญอยู่ในการทำ GRC
ServiceNow GRC: ตอบโจทย์การจัดการ GRC ในทุกอุตสาหกรรม ด้วยแนวคิด Integrated Risk Management
ServiceNow ในฐานะของผู้นำด้าน Modern Digital Workflow มีความเข้าใจในปัญหาของการทำ GRC ของเหล่าธุรกิจองค์กรทั่วโลกเป็นอย่างดี จึงได้ทำการพัฒนาโซลูชัน ServiceNow GRC ขึ้นมาด้วยแนวคิด Integrated Risk Management (IRM)
เนื่องจากโดยทั่วไปแล้ว กิจกรรมในการทำ GRC นั้นมักมีความข้องเกี่ยวกันในแต่ละส่วน ดังนั้นแนวคิด IRM จึงได้นำกิจกรรมเหล่านี้มาร้อยเรียงกันภายในระบบที่มี Master Data กลางเพียงชุดเดียวบน Cloud พร้อมการกำหนด Workflow สำหรับแต่ละกิจกรรมอย่างชัดเจน เพื่อให้การนำข้อมูลเหล่านี้ไปใช้ทั้งในการทำ Governance, Risk และ Compliance นั้นเป็นไปได้อย่างถูกต้องแม่นยำ ลดความซ้ำซ้อนของงาน, เอกสาร และข้อมูลในแต่ละส่วนลงได้อย่างมีประสิทธิภาพ
ความสามารถหลักๆ ของ ServiceNow GRC มีดังต่อไปนี้
1. Digital and IT Risk Management
การบริหารจัดการความเสี่ยงด้าน IT และ Digital ที่ครอบคลุม Risk Lifecycle ทั้งหมดในตัว พร้อมความสามารถในการตรวจสอบ Risk Indication อย่างต่อเนื่อง, การกำหนด Risk Framework และ Risk Statement, การทำ Risk Assessment, การวิเคราะห์ Risk Dependency & Modeling ไปจนถึงการบริหารจัดการ Risk Issue และ Risk Mitigation
2. Operational Risk Management
ต่อยอดจาก Digital and IT Risk Management โดยเสริมความสามารถในการจัดการกับ Risk Event, การทำ Risk Assessment ชั้นสูง, การทำ Risk Tolerance, การกำหนด Hierarchy และ Risk Scoring ไปจนถึง Basel Dashboard สำหรับธุรกิจการเงินและธนาคารโดยเฉพาะ
3. Regulatory Change Management
ติดตามความเปลี่ยนแปลงและข้อบังคับด้านกฎหมายเพื่อนำมาสอบเทียบกับสถานการณ์ปัจจุบันในการทำ GRC ของธุรกิจ เพื่อวิเคราะห์ถึง Gap ที่ยังขาดอยู่ และสามารถจัดการกับ Gap เหล่านั้นเพื่อให้ตอบโจทย์ความต้องการทางกฎหมายที่เปลี่ยนแปลงไปได้อย่างแม่นยำ
4. Policy Management
การบริหารจัดการนโยบายต่างๆ ในองค์กร โดยมีระบบ Policy Lifecycle อย่างครบวงจรตั้งแต่การร่างนโยบาย, การทบทวนนโยบาย, การอนุมัตินโยบาย, การประกาศนโยบาย, การปรับปรุงนโยบาย ไปจนถึงการประกาศยกเลิกการใช้นโยบาย
5. Compliance Management
การบริหารจัดการ Compliance ที่ครอบคลุมทั้งมาตรฐานและกฎระเบียบเฉพาะของแต่ละอุตสาหกรรม โดยมีการสอบเทียบระหว่างกิจกรรมที่ธุรกิจได้ทำกับข้อบังคับแต่ละข้อเพื่อตรวจสอบอย่างต่อเนื่อง, การวางแผนการทดสอบ และการบริหารจัดการ Issue ต่างๆ ที่เกี่ยวข้อง
6. Audit Engagement Management
การบริหารจัดการกระบวนการทำ Audit สำหรับธุรกิจองค์กรที่ครอบคลุมทั้งการทำ Internal Audit และการเปิดให้ Audit ภายนอกเข้ามาตรวจสอบ โดยมีทั้ง Template และการวางแผนสำหรับการตรวจสอบ, การบริหารจัดการ Task ที่เกี่ยวข้องกับการ Audit, การจัดเก็บข้อมูลการสัมภาษณ์ ข้อมูลกิจกรรม และผลการทดสอบแต่ละส่วน ไปจนถึงการรวบรวมข้อมูลหลักฐานและรายงานต่างๆ ที่จำเป็นต่อการ Audit เพื่อเร่งกระบวนการเหล่านี้ให้มีความรวดเร็วและคล่องตัวยิ่งขึ้น พร้อมระบบจัดการ Issue ที่เกิดขึ้นในการ Audit เพื่อให้การแก้ไขตรวจสอบเป็นไปได้ด้วยความเรียบร้อย
7. Vendor Risk Management
การบริหารจัดการความเสี่ยงจาก 3rd Party ที่มาให้บริการหรือมีการใช้เทคโนโลยีในส่วนต่างๆ โดยครอบคลุมทั้งในส่วนของการตรวจสอบ, การติดตามความเปลี่ยนแปลง, การประเมินความเสี่ยง, การบริหารจัดการสัญญา และการเปิดให้ 3rd Party เข้ามามีส่วนร่วมในการให้ข้อมูลหรือจัดการกับ Issue และ Task ที่เกี่ยวข้องได้อย่างเหมาะสม
8. Business Continuity Management
การบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ โดยครอบคลุมตั้งแต่การวิเคราะห์ผลกระทบที่จะเกิดต่อธุรกิจจากความเสี่ยงต่างๆ, แผนการกู้คืนระบบหรือกระบวนการให้ธุรกิจสามารถดำเนินการต่อไปได้ และการบริหารจัดการ Crisis ที่เกิดขึ้น โดยระบบดังกล่าวนี้สามารถทำการแยกส่วนเพื่อให้แต่ละแผนกหรือหน่วยงานมีหน้าจอสำหรับการทำ Business Continuity Management ที่เหมาะสมกับงานของตนเองได้
9. Operational Resilience Management
การบริหารจัดการการให้บริการ, เทคโนโลยี, ทรัพย์สิน, พนักงาน และ 3rd Party ภายนอก เพื่อใช้ในการติดตามตรวจสอบควมเสี่ยงและความต่อเนื่องของบริการที่เป็นหัวใจหลักของการดำเนินธุรกิจโดยเฉพาะ ด้วยการผสานรวมความสามารถและข้อมูลของระบบ ServiceNow GRC หลายส่วนเข้าด้วยกัน
10. Privacy Management
ระบบบริหารจัดการการรักษาความเป็นส่วนตัวของข้อมูล โดยครอบคลุมทั้งความสามารถในการทำ Data Discovery, การวิเคราะห์กิจกรรมต่างๆ, การประมินความเสี่ยงที่จะเกิดขึ้นจากการรั่วไหลของข้อมูลในแต่ละกิจกรรม, การจัดการกับนโยบายด้านความเป็นส่วนตัว, การควบคุมและทดสอบด้านความเป็นส่วนตัวของข้อมูล และการจัดการกับ Issue ที่เกี่ยวข้องกับประเด็นเหล่านี้
การใช้งาน ServiceNow GRC ซึ่งเป็นบริการ Cloud นี้ สามารถใช้งานได้ทั้งผ่าน Web และ Mobile Application ทำให้มีความคล่องตัวในการทำงานที่สูง อีกทั้งธุรกิจองค์กรยังสามารถเลือกที่จะใช้งานความสามารถของ ServiceNow GRC เฉพาะบางส่วนก่อน แล้วค่อยๆ ขยับขยายในอนาคตได้ตามความต้องการ
นอกจากนี้ ภายใน IRM ยังได้เสริมเครื่องมือต่างๆ ที่จะช่วยให้การทำ GRC นั้นเป็นไปได้อย่างง่ายดายสำหรับผู้ใช้งานทุกคน เช่น
- ระบบ Dashboard & Reporting เพื่อให้การติดตามการทำ GRC เกิดขึ้นได้แบบ Real-Time และสามารถสร้างรายงานเพื่อทำ Audit ได้อย่างสะดวกรวดเร็ว
- ระบบสำหรับการสร้าง Workflow & Orchestration เพื่อให้ธุรกิจสามารถปรับแต่งกระบวนการต่างๆ ในการทำ GRC ให้เหมาะสมได้
- ระบบ Accelerator ซึ่งเป็น Template สำเร็จรูปในการนำมาตรฐานชั้นนำมาปรับใช้ในองค์กรได้อย่างรวดเร็ว เช่น NIST RMF, NIST CSF และ GDPR DPIA
- ระบบ Service Portal เพื่อให้พนักงานแต่ละฝ่ายที่เกี่ยวข้องกับการทำ GRC สามารถ Login เข้ามาทำงานในส่วนที่เกี่ยวข้องกับตนเองได้
- ระบบ Subscription & Notification เพื่อแจ้งเตือนเกี่ยวกับการทำ GRC เร่งให้การดำเนินการในแต่ละส่วนเป็นไปได้อย่างคล่องตัวและรวดเร็ว
- ระบบ Knowledge Base สำหรับแบ่งปันองค์ความรู้ในการทำ GRC เพื่อถ่ายทอดความรู้และประสบการณ์ระหว่างทีมงานภายใน
- ระบบ Virtual Agent สำหรับเข้าถึงข้อมูลในระบบ GRC ได้ผ่านทาง Chatbot
- ระบบ Supervised Machine Learning สำหรับเรียนรู้ Issue ใหม่ๆ ที่ถูกส่งเข้ามาในระบบ GRC และทำการส่งต่อ Issue นั้นๆ ไปยังผู้ที่เกี่ยวข้องโดยอัตโนมัติ
- ระบบ Integration Hub และ Developer Tools เพื่อผสานระบบเข้ากับโซลูชันอื่นๆ ที่มีการใช้งานอยู่ และพัฒนา Software ต่อยอดให้กับ ServiceNow GRC
จะเห็นได้ว่าความสามารถของ ServiceNow GRC นี้มีความครอบคลุมสำหรับการใช้งานในหลากหลายรูปแบบเพื่อตอบสนองต่อความต้องการของธุรกิจที่แตกต่างกันออกไป และมีการออกแบบเพื่อให้มีความยืดหยุ่นในการประยุกต์ใช้งาน รวมถึงเสริมความง่ายดายในเชิงประสบการณ์การใช้งาน เพื่อให้การทำ GRC ในองค์กรนั้นกลายเป็นสิ่งที่รวดเร็ว ง่ายดาย เป็นระบบ และเป็นอัตโนมัติมากยิ่งขึ้น
บริหารความเสี่ยงครบวงจร ด้วยบริการจาก DCS และพันธมิตรด้าน Consulting สำหรับทุกอุตสาหกรรม
แน่นอนว่าในการทำ GRC ให้ประสบความสำเร็จนี้ จะอาศัยแต่เพียงเทคโนโลยีที่ดีอย่าง ServiceNow GRC เพียงอย่างเดียวไม่ได้ แต่ต้องมีทีมงานที่มีความรู้ความเชี่ยวชาญเข้ามาช่วยให้คำปรึกษาและวางระบบให้เหมาะสมต่อรูปแบบของแต่ละธุรกิจที่แตกต่างกันออกไปด้วย
Datapro Computer Systems Co., Ltd. หรือ DCS เป็นบริษัทเดียวในประเทศไทยในเวลานี้ ที่มีทีมงานซึ่งได้รับการรับรองจาก ServiceNow หรือ Certified Implementation Specialist for Risk and Compliance ทำให้สามารถมั่นใจได้ว่าการติดตั้งใช้งานและปรับแต่งระบบ ServiceNow GRC จะเป็นไปอย่างราบรื่น และใช้งานได้จริง
สำหรับการให้คำปรึกษาเชิงธุรกิจและนโยบายด้าน GRC นั้น ทาง DCS ก็ได้จับมือกับบริษัท Consult ผู้เชี่ยวชาญเฉพาะทางด้าน GRC ในแต่ละอุตสาหกรรม เพื่อให้บริการในส่วนนี้ได้ด้วยเช่นกัน ดังนั้นไม่ว่าธุรกิจองค์กรของคุณจะอยู่ในอุตสาหกรรมใด DCS ก็พร้อมทำงานร่วมกับพันธมิตรผู้เชี่ยวชาญในอุตสาหกรรมนั้นๆ เพื่อนำเสนอโซลูชันการทำ GRC ที่ครบวงจรและน่าเชื่อถือให้ได้อย่างแน่นอน
สนใจโซลูชัน ServiceNow GRC ติดต่อทีมงาน DCS ได้ทันที
สำหรับผู้ที่สนใจโซลูชัน GRC และต้องการรับคำปรึกษา หรือทดลองใช้งาน ServiceNow GRC สามารถติดต่อทีมงาน DCS เพื่อสอบถามข้อมูลเพิ่มเติมได้ทันทีที่ [email protected] หรือ คุณนิชา โทร +66-89-809-8992 หรือ คุณฐานิดา โทร. +66-94-249-7946 หรือเยี่ยมชมเว็บไซต์ของ DCS ได้ที่ https://www.datapro.co.th/index.php/solutions/solution-grc
