ผลกระทบจากการแพร่ระบาดของเชื้อไวรัสโควิด-19 ที่ส่งผลต่อสถาบันทางการเงิน ภาวะเศรษฐกิจตกต่ำ และแนวทางการทำงานที่เปลี่ยนแปลงไป มีความเกี่ยวข้องกับการบริหารจัดการความเสี่ยง ในช่วงไม่กี่ปีที่ผ่านมา หนึ่งในประเด็นที่เป็นที่กังวลในเรื่องการบริหารจัดการความเสี่ยงคือ ประเด็นเรื่อง “ความมั่นคงปลอดภัยด้านไซเบอร์” ความกังวลดังกล่าวเพิ่มสูงขึ้นในช่วงที่มีการแพร่ระบาดของเชื้อไวรัสโควิด-19 ที่พนักงานมีการทำงานภายนอกออฟฟิศ องค์กรจะบริหารจัดการความเสี่ยงอย่างไรและเริ่มต้นจากไหน
เชื้อไวรัสโควิด-19 ส่งผลกระทบด้านการเงินโดยตรงให้แก่สถาบันการเงิน ภาวะถดถอยของเศรษฐกิจส่งผลให้ความเสี่ยงด้านเครดิตเพิ่มขึ้นอย่างมากทั้งจากกลุ่มลูกค้าทั้งรายย่อยและเชิงพาณิชย์ องค์กรต่างๆ ที่ตอบสนองด้วยมาตรการการสินเชื่อที่เข้มงวด นอกจากนี้ ยังมีแนวโน้มที่จะเกิดการฉ้อโกงมากขึ้น ไม่ว่าจะเป็นการใช้ข้อมูลลูกค้าในทางที่ผิด การออกใบแจ้งหนี้สำหรับงานที่ไม่เสร็จสมบูรณ์ หรือการสมรู้ร่วมคิดกับบุคคลที่สามที่ไม่น่าเชื่อถือ รายงานการสำรวจการบริหารจัดการความเสี่ยงทั่วโลก (Global Risk Management Survey) ฉบับที่ 12 เป็นรายงานฉบับล่าสุดที่ดีลอยท์ประเมินการบริหารจัดการความเสี่ยงและความท้าทายที่อุตสาหกรรมต่างๆ เผชิญ ผลสำรวจพบว่าสิ่งแวดล้อมที่เปลี่ยนแปลงจากการแพร่ระบาดของเชื้อไวรัส-19 ทำให้การจัดการประเด็นปัญหาด้านความเสี่ยงอย่างมีประสิทธิภาพเพิ่มความสำคัญยิ่งขึ้น โดยเฉพาะประเด็นความเสี่ยงอื่นๆ ที่ไม่ใช่ความเสี่ยงที่เกี่ยวข้องกับการเงิน ในบรรดาความเสี่ยงเหล่านี้ ความมั่นคงปลอดภัยทางไซเบอร์ได้รับการจัดอันดับให้เป็น 1 ในความเสี่ยง 3 อันดับแรก
ความมั่นคงปลอดภัยด้านไซเบอร์
ความมั่นคงปลอดภัยด้านไซเบอร์เป็นปัญหาที่มีความสำคัญมากขึ้นในช่วงหลายปีที่ผ่านมา และมีความรุนแรงมากยิ่งขึ้นในช่วงการแพร่ระบาดของเชื้อไวรัสโควิด-19 ซึ่งเป็นช่วงเวลาที่พนักงานทำงานนอกออฟฟิศ และเป็นพื้นที่ที่องค์กรไม่สามารถดูแลปกป้องได้อย่างทั่วถึง ดังนั้น จึงมีความเปราะบางต่อการถูกโจมตีทางไซเบอร์มากขึ้น
ผู้ตอบแบบสำรวจจำนวน 30% คิดว่าความมั่นคงปลอดภัยด้านไซเบอร์เป็น 1 ในความเสี่ยง 3 อันดับที่จะได้รับความสำคัญมากที่สุดในอีก 2 ปีข้างหน้า โดยได้รับการจัดอยู่ในระดับความเสี่ยงสูงเป็นอันดับ 2 ผู้ตอบแบบสำรวจจำนวน 61% เล็งเห็นว่าองค์กรที่ตนสังกัดอยู่มีการบริหารจัดการความเสี่ยงเรื่องความมั่นคงปลอดภัยในโลกไซเบอร์ได้มีประสิทธิภาพอย่างมากหรือมากที่สุด และ 87% กล่าวว่า การพัฒนาความสามารถในการบริหารจัดการความเสี่ยงเรื่องความมั่นคงปลอดภัยในโลกไซเบอร์จะได้รับความสำคัญอย่างมากในอีก 2 ปีข้างหน้า
สถาบันต่างๆ เผชิญหน้ากับความท้าทายหลากหลายในการป้องกันตนเองจากภัยคุกคามทางไซเบอร์ที่มีการพัฒนารูปแบบอยู่ตลอด เมื่อพิจารณาถึงสภาพแวดล้อมทางธุรกิจและพฤติกรรมผู้บริโภคที่เปลี่ยนไป ผู้ตอบแบบสอบถามส่วนใหญ่เห็นว่า การรู้เท่าทันความต้องการทางธุรกิจที่เปลี่ยนแปลงไป (เช่น โซเชียล โทรศัพท์มือถือ การวิเคราะห์) (คิดเป็นจำนวน 67%) เป็นสิ่งที่ท้าทายอย่างมากในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ เนื่องจากบริษัทต่างๆ ในภาคอุตสาหกรรมมีการดำเนินการเพื่อปกป้องการเข้าถึงจากแฮกเกอร์และภัยคุกคามทางไซเบอร์อื่นๆ จึงมีการแข่งขันสูงเพื่อแย่งตัวพนักงานที่มีความสามารถด้านความมั่นคงปลอดภัยทางไซเบอร์ ไม่เพียงแต่กับสถาบันบริการทางการเงินเท่านั้น แต่ยังรวมถึงบริษัทในด้านเทคโนโลยีและอุตสาหกรรมอื่นๆ อีกด้วย ด้วยเหตุนี้ ผู้ตอบแบบสอบถาม จำนวน 57% กล่าวว่า การจ้างหรือการได้ผู้ที่มีความสามารถด้านความมั่นคงปลอดภัยทางไซเบอร์มาร่วมงานเป็นสิ่งที่ท้าทายอย่างมาก
ในส่วนของประเทศไทย อาชญากรรมทางไซเบอร์เพิ่มขึ้น 37% ระหว่างเดือนกุมภาพันธ์-มีนาคม พ.ศ.2563 ภายหลังจากการแพร่ระบาดของเชื้อไวรัสโควิด-19 เหตุผลส่วนหนึ่งที่ทำให้ตัวเลขสูงขึ้นเกิดจากการทำงานจากที่บ้านในภาคธุรกิจและองค์กรต่างๆ อาชญากรรมไซเบอร์ที่เพิ่มสูงขึ้นนี้ชี้ให้เห็นว่าประเทศไทยอาจไม่ได้เตรียมพร้อมที่จะรับมือกับความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างเหมาะสม และคาดว่าค่าใช้จ่ายด้านอาชญากรรมทางไซเบอร์จะมีมูลค่าทางเศรษฐกิจ 286 พันล้านบาท หรือคิดเป็น 2.2% ของ GDP ทั้งหมดของประเทศ
การบริหารจัดการความเสี่ยงดิจิทัล
ภาวะถดถอยทางเศรษฐกิจในปี พ.ศ.2563 จากการแพร่ระบาดของเชื้อไวรัสโควิด-19 สร้างแรงกดดันในเรื่องรายได้และความจำเป็นในการเพิ่มประสิทธิภาพ แรงกดดันดังกล่าวนี้มีแนวโน้มที่สร้างแรงผลักดันให้สถาบันหลายแห่งลดรายจ่ายที่เพิ่มขึ้นในการบริหารจัดการความเสี่ยง วิธีหนึ่งที่สามารถลดความเสี่ยงนี้ได้ คือ การใช้ประโยชน์จากปัญญาประดิษฐ์ (Artificial Intelligence) และเทคโนโลยีดิจิทัลเพื่อลดรายจ่ายดังกล่าว ในขณะเดียวกัน ก็ยังสามารถเพิ่มประสิทธิภาพไปพร้อมๆ กัน
ผู้ตอบแบบสำรวจ จำนวน 50% รายงานว่าเครื่องมือเพิ่มประสิทธิภาพ (เช่น ระบบ RPA, cognitive intelligence, AI หรือ machine learning) จะได้รับความสำคัญอย่างมากในองค์กรที่ตนสังกัดในอีก 2 ปีข้างหน้า แต่อย่างไรก็ตาม องค์กรส่วนใหญ่ยังไม่ได้นำเทคโนโลยีเหล่านี้มาใช้ เมื่อพิจารณาการใช้งานเครื่องมือดังกล่าว ระบบ Cloud computing (46%) เป็นระบบที่ได้รับความสนใจมากที่สุด ในขณะที่มีเพียงองค์กรไม่กี่แห่งที่มีการใช้ระบบ RPA (29%) machine learning (27%) หรือ cognitive analytics (13%)
นอกจากเทคโนโลยีดังกล่าวสามารถลดรายจ่ายในการปฎิบัติงานต่างๆ การนำระบบอัตโนมัติมาใช้ในขั้นตอนต่างๆ แล้ว ยังส่งผลให้เกิดประโยชน์หลากหลายมากกว่าแค่การลดต้นทุน ซึ่งรวมถึงการพัฒนาในเรื่องประสิทธิภาพและคุณภาพของงานอย่างเห็นได้ชัดเจน สำหรับกลุ่มแอปพลิเคชันที่มีศักยภาพ สามารถนำมาใช้ประโยชน์เพื่อควบคุมกระบวนการทำงานได้โดยตรง จัดลำดับความสำคัญของพื้นที่ในการทดสอบและการตรวจสอบ อนุญาตให้ตรวจสอบธุรกรรมทั้งหมดแทนที่จะอาศัยการทดสอบตัวอย่าง และระบุความเสี่ยงที่อาจเกิดขึ้นในแบบเรียลไทม์เพื่อให้สามารถดำเนินการป้องกันได้ทันที ด้วยระบบการทำงานอัตโนมัติ ทำให้พนักงานสามารถทำงานในส่วนที่สร้างมูลค่าสูงกว่าได้
อย่างไรก็ตาม การใช้ประโยชน์จากเทคโนโลยีใหม่ๆ ดังกล่าวเหล่านี้จำต้องอาศัยข้อมูลความเสี่ยงที่ครอบคลุม มีคุณภาพสูง และใช้งานได้ทันที ซึ่งเป็นสิ่งที่องค์กรหลายแห่งยังไม่ได้ดำเนินการ เนื่องจากมีระบบเทคโนโลยีสารสนเทศดั้งเดิม (legacy IT systems) หลายระบบเพื่อตอบสนองต่อสายธุรกิจ หรือตลาดทางภูมิศาสตร์ที่แตกต่างกัน หรือผลจากการควบรวมกิจการในอดีตที่ไม่เคยผนวกรวมเข้าด้วยกันอย่างสมบูรณ์ นอกจากนี้ ความท้าทายในการจัดการข้อมูลเพิ่มสูงขึ้นในช่วงการแพร่ระบาดของเชื้อไวรัสโควิด-19 เนื่องจากข้อมูลสร้างขึ้นจากแหล่งข้อมูลหลากหลายแห่งมากกว่าที่ผ่านมา ซึ่งเป็นผลจากการที่พนักงานทำงานนอกออฟฟิศ
ความเป็นส่วนตัวของข้อมูล
ในส่วนกลยุทธ์ด้านข้อมูลความเสี่ยง ความเป็นส่วนตัวของข้อมูลเป็นประเด็นเดียวที่ผู้ตอบแบบสอบถามประเมินว่าองค์กรที่ตนสังกัดดำเนินการได้อย่างมีประสิทธิภาพมากหรือมากกว่า (คิดเป็นจำนวน 60%) การประเมินให้คะแนนสูงในเรื่องความเป็นส่วนตัวของข้อมูลอาจเป็นการมองโลกในแง่ดีมากเกินไป เนื่องจากผู้ตอบแบบสำรวจเพียง 31% คิดว่าองค์กรที่ตนสังกัดดำเนินการควบคุมหรือตรวจสอบข้อมูลอย่างมีประสิทธิภาพ โดยขั้นตอนดังกล่าวมีเงื่อนไขจำเป็นต้องป้องกันความเป็นส่วนตัวของข้อมูล นอกจากนี้ ผู้ตอบแบบสำรวจ จำนวน 63% กล่าวว่า ความเป็นส่วนตัว การป้องกัน และการบริหารจัดการความเสี่ยงของข้อมูลจะได้รับความสำคัญอย่างมากในองค์กรที่ตนสังกัดในอีก 2 ปีข้างหน้า โดยอาจเกิดจากหน่วยงานที่กำกับดูแลทั่วโลกให้ความสำคัญกับประเด็นนี้อย่างจริงจังรวมถึงประเทศไทยเช่นกัน
เมื่อเร็วๆ นี้ ประเทศไทยได้รับรองกฎหมายฉบับใหม่ที่เกี่ยวข้องกับความมั่นคงปลอดภัยในโลกไซเบอร์และความเป็นส่วนตัว ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Act : CSA) และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act : PDPA) โดยจุดประสงค์ของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ คือการดูแลความมั่นคงปลอดภัยในโลกไซเบอร์อย่างมีประสิทธิภาพและจัดตั้งแนวทางในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของประเทศ รวมถึงภาครัฐอีกด้วย พระราชบัญญัติดังกล่าวมีผลบังคับใช้ทั้งหน่วยงานภาครัฐและภาคเอกชน โดยถือเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure : CII) ส่วนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีข้อบังคับที่ปรับใช้จาก General Data Protection Regulation หรือ GDPR ภายใต้กรอบข้องบังคับของพระราชบัญญัติฉบับนี้ ผู้ที่เป็นเจ้าของข้อมูลมีสิทธิในการตรวจสอบแนวทางการรวบรวม จัดเก็บ เผยแพร่ และปกป้องข้อมูลในองค์กรต่างๆ[1]1
โดยสรุปแล้ว การแพร่ระบาดของเชื้อไวรัสโควิด-19 ส่งผลให้ความสำคัญในการบริหารจัดการความเสี่ยงที่นอกเหนือจากการเงินอย่างมีประสิทธิภาพเพิ่มมากยิ่งขึ้น เป็นบททดสอบการปรับตัวในการดำเนินงานขององค์กรต่างๆ และความสามารถในการใช้เครื่องมือดิจิทัลเพื่อให้พนักงานสามารถทำงานนอกออฟฟิศได้ พนักงานกลุ่มนี้เองก็สร้างความท้าทายความมั่นคงปลอดภัยทางไซเบอร์มากยิ่งขึ้น องค์กรต่างๆ จึงอาจเสี่ยงต่อการโจมตีทางไซเบอร์ การฉ้อโกง และการละเมิดข้อมูลของลูกค้า และส่งผลให้องค์กรต่างๆ เหล่านี้เสี่ยงต่อการไม่ปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลมากขึ้น ความเสี่ยงในการดำเนินการอาจเพิ่มขึ้นได้เนื่องจากการสื่อสารกับลูกค้าอาจไม่ได้ติดตามและควบคุมอย่างเหมาะสม
เมื่อสถานการณ์การแพร่ระบาดของเชื้อไวรัสโควิด-19 ยังคงดำเนินไป องค์กรต่างๆ ควรพิจารณาแนวทางที่สามารถรักษาประสิทธิภาพในการทำงาน หากการดำเนินธุรกิจแบบใหม่ที่เกิดจากการแพร่ระบาดของเชื้อไวรัสโควิด-19 กลายเป็นวิถีการทำงานแบบนิว นอร์มอล (new normal) การบริหารจัดการความเสี่ยงจึงเป็นสิ่งจำเป็นในการปรับตัวให้ตอบสนองต่อสภาพเศรษฐกิจที่ผันผวนและแนวทางการทำงานที่เปลี่ยนแปลงไป ในขณะเดียวกัน ก็สามารถตรวจสอบการเปลี่ยนแปลงแบบชั่วคราวที่เกิดจากมาตรการรับมือการแพร่ระบาดและการเปลี่ยนแปลงแบบถาวรได้อย่างต่อเนื่อง