ข่าวสาร

ในปัจจุบันระบบสารสนเทศมีบทบาทสำคัญอย่างยิ่งต่อการดำเนินงานขององค์กร ทั้งในเรื่องการพัฒนาระบบเพิ่มเติม การแก้ไขข้อผิดพลาด การปรับปรุงโปรแกรม หรือการปรับค่าการตั้งค่าระบบต่างๆ (Configuration) ล้วนเป็นการเปลี่ยนแปลงที่เกิดขึ้นอย่างต่อเนื่องและหลีกเลี่ยงไม่ได้  อย่างไรก็ตาม หากการเปลี่ยนแปลงระบบเหล่านี้ดำเนินการโดยไม่มีขั้นตอนหรือการควบคุมที่เหมาะสม อาจก่อให้เกิดผลกระทบตามมา เช่น ข้อมูลผิดพลาด ระบบหยุดชะงัก การให้บริการสะดุด หรือแม้แต่ปัญหาด้านความมั่นคงปลอดภัยของสารสนเทศ เป็นต้น

การเปลี่ยนแปลงระบบสารสนเทศไม่ใช่เพียงเรื่องทางเทคนิคของฝ่าย IT เท่านั้น แต่เกี่ยวข้องโดยตรงกับความต่อเนื่องทางธุรกิจ (Business Continuity) ความเชื่อมั่นของผู้ใช้บริการ และภาพลักษณ์ขององค์กรโดยรวม การกำกับดูแลและการอนุมัติการเปลี่ยนแปลงระบบ จึงเป็นส่วนหนึ่งของบทบาทด้านการกำกับดูแลกิจการ (Corporate Governance)

องค์กรที่ให้ความสำคัญกับกระบวนการควบคุมเปลี่ยนแปลงแก้ไข (Change Management) จะมองกระบวนการนี้ในฐานะ เครื่องมือบริหารความเสี่ยงมากกว่าภาระด้านเอกสารหรือขั้นตอนเพิ่มเติม โดยตระหนักว่าการเปลี่ยนแปลงระบบที่ขาดการควบคุม อาจนำไปสู่ผลกระทบในระดับองค์กร เช่น การหยุดชะงักของการดำเนินงาน ความเสียหายทางการเงิน หรือการสูญเสียความเชื่อมั่นจากผู้มีส่วนได้ส่วนเสีย เป็นต้น ดังนั้นในกระบวนการควบคุมเปลี่ยนแปลงแก้ไข (Change Management) สิ่งที่องค์กรจะต้องพิจารณาจัดทำ ซึ่งเป็นการควบคุมหลักของกระบวนการเป็นลำดับต้นๆ ได้แก่    

• การกำหนดนโยบายและกรอบการควบคุมการเปลี่ยนแปลงระบบให้ชัดเจน
• การประเมินความเสี่ยงและผลกระทบก่อนการเปลี่ยนแปลงระบบ
• การมอบหมายอำนาจและความรับผิดชอบในการอนุมัติการเปลี่ยนแปลง ให้เหมาะสมกับระดับความเสี่ยง
• การติดตามและทบทวนผลการเปลี่ยนแปลงระบบ โดยเฉพาะการเปลี่ยนแปลงที่มีผลกระทบสูง
• การสนับสนุนให้มีการปรับปรุงกระบวนการ Change Management อย่างต่อเนื่อง เพื่อให้สอดคล้องกับบริบทและความเสี่ยงที่เปลี่ยนแปลงไป

ซึ่งจะเห็นได้ว่าปัญหาความเสี่ยงจากการเปลี่ยนแปลง หรือแก้ไขระบบสารสนเทศ ในหลายกรณี สิ่งที่สำคัญที่สุดคือ การมีระบบควบคุมภายในที่ดี เช่น การกำหนดขั้นตอนการเปลี่ยนแปลงระบบที่ชัดเจน การอนุมัติการเปลี่ยนแปลงให้เหมาะสมกับระดับความเสี่ยง การตรวจสอบและติดตามภายหลังจากมีการเปลี่ยนแปลงแก้ไขระบบสารสนเทศอย่างสม่ำเสมอ ซึ่งแนวทางพื้นฐานเหล่านี้หากได้รับการสนับสนุนและกำกับดูแลจากผู้บริหารอย่างจริงจังจะสามารถช่วยลดความเสี่ยงจากการเปลี่ยนแปลงระบบและเสริมสร้างความมั่นคงปลอดภัยด้านสารสนเทศขององค์กรได้อย่างมีประสิทธิภาพและยั่งยืน

บริษัท ตรวจสอบภายในธรรมนิติ จำกัด ให้บริการงานตรวจสอบ ครอบคลุมทั้งงานตรวจสอบภายใน (Internal Audit) การประเมินระบบควบคุมภายใน งานตรวจสอบด้าน IT รวมถึงบริการสอบทานมาตรการต่อต้านการทุจริต (CAC) หากองค์กรของท่านต้องการผู้เชี่ยวชาญที่จะช่วยยกระดับระบบการควบคุมภายในให้แข็งแกร่งและพร้อมรับมือกับความเสี่ยงยุคใหม่ สามารถติดต่อเราได้ที่ โทร. 02-596-0500 ต่อ 327 หรือเยี่ยมชมเว็บไซต์ www.dir.co.th

ผู้เขียน

ฝ่ายตรวจสอบเทคโนโลนีสารสนเทศ