24/08/2024
บทความดีๆ เกี่ยวกับ Swiss cheese model ซึ่งเป็น Model ที่มีประโยชน์มากในการออกแบบและประเมินการควบคุมภายใน model นี้มีลักษณะอย่างไร เรามาเรียนรู้ไปด้วยกันนะครับ
"Swiss Cheese Model: กุญแจสำคัญในการจัดการความเสี่ยงภายในองค์กร"
การจัดการความเสี่ยงเป็นสิ่งสำคัญสำหรับทุกองค์กรในโลกธุรกิจ โดยเฉพาะในยุคปัจจุบันที่ระบบมีความซับซ้อนและความเสี่ยงสามารถเกิดขึ้นได้จากหลายปัจจัย หนึ่งในเครื่องมือที่มีประสิทธิภาพในการประเมินและจัดการความเสี่ยงคือ "Swiss Cheese Model" ซึ่งเป็นแนวคิดที่ช่วยให้องค์กรสามารถป้องกันและลดผลกระทบจากความเสี่ยงได้อย่างมีประสิทธิภาพ
Swiss Cheese Model คืออะไร?
"Swiss Cheese Model" เป็นแนวคิดที่พัฒนาขึ้นโดย James Reason นักจิตวิทยาชาวอังกฤษ โดยใช้การเปรียบเทียบกับชีสสวิส (Swiss Cheese) ที่มีลักษณะเป็นรูพรุน รูพรุนเหล่านี้เป็นตัวแทนของจุดอ่อนหรือช่องโหว่ในกระบวนการควบคุมต่างๆ ขององค์กร แต่ละชั้นของชีสเปรียบเสมือนมาตรการควบคุมที่องค์กรใช้เพื่อลดความเสี่ยง การมีมาตรการหลายชั้นช่วยให้องค์กรลดโอกาสที่ความเสี่ยงจะผ่านชั้นการควบคุมทั้งหมดและเกิดผลกระทบที่ไม่พึงประสงค์
Layers of Defense: ชั้นของการป้องกันใน Swiss Cheese Model
แต่ละชั้นของการป้องกันใน Swiss Cheese Model แทนด้วยมาตรการต่างๆ ที่ออกแบบมาเพื่อป้องกันความผิดพลาด ซึ่งชั้นของการป้องกันเหล่านี้อาจรวมถึง:
• Regulations and Policies: กฎระเบียบและนโยบายที่เป็นทางการ ซึ่งกำหนดแนวทางปฏิบัติที่ปลอดภัย
• Training and Competence: การฝึกอบรมและความสามารถ เพื่อให้มั่นใจว่าบุคลากรมีทักษะและความรู้เพียงพอ
• Technology and Equipment: เทคโนโลยีและอุปกรณ์ที่มีความน่าเชื่อถือและได้รับการดูแลรักษาอย่างดี
• Procedures and Protocols: ขั้นตอนและระเบียบปฏิบัติมาตรฐานที่กำหนดการทำงานให้เป็นไปอย่างถูกต้อง
• Safety Culture: วัฒนธรรมความปลอดภัยขององค์กร ที่ให้ความสำคัญกับความปลอดภัยและส่งเสริมการรายงานความผิดพลาดหรือเหตุการณ์ใกล้เคียง
Holes in the Layers: ช่องโหว่ในแต่ละชั้น
แม้ว่าจะมีมาตรการป้องกันหลายชั้น แต่แต่ละชั้นก็อาจมีช่องโหว่ ซึ่งช่องโหว่เหล่านี้อาจเกิดจากปัจจัยต่างๆ เช่น:
• Human Error: ความผิดพลาดของบุคคลที่เกิดจากการขาดความรู้ ความเหนื่อยล้า หรือความประมาท
• Technical Failures: ความล้มเหลวทางเทคนิค เช่น การชำรุดของอุปกรณ์หรือเทคโนโลยี
• Organizational Weaknesses: ความอ่อนแอขององค์กร เช่น นโยบายที่ไม่เพียงพอ การสื่อสารที่ไม่ดี หรือทรัพยากรที่ไม่เพียงพอ
• External Factors: ปัจจัยภายนอก เช่น สภาพแวดล้อม การเปลี่ยนแปลงของกฎระเบียบ หรือแรงกดดันจากตลาด
Alignment of Holes: การจัดแนวของช่องโหว่
การเกิดความล้มเหลวในระบบมักเกิดขึ้นเมื่อช่องโหว่ในหลายชั้นเรียงตัวตรงกัน สร้างเส้นทางให้ความผิดพลาดผ่านทะลุการป้องกันทั้งหมดได้ การเรียงตัวนี้มักเกิดจากการรวมกันของ Latent Conditions (สภาพแฝงที่เป็นปัญหาภายในระบบ) และ Active Failures (ความผิดพลาดที่เกิดขึ้นทันทีจากการกระทำของบุคคล)
ตัวอย่างการประยุกต์ใช้ในการควบคุมภายใน
ตัวอย่างที่เห็นได้ชัดในการประยุกต์ใช้ Swiss Cheese Model ในการควบคุมภายในองค์กรคือการจัดการความเสี่ยงด้าน IT เช่น การสำรองข้อมูล (Data Backup) ซึ่งเป็นกระบวนการสำคัญในการรักษาความปลอดภัยและความพร้อมของข้อมูล โดยองค์กรสามารถใช้มาตรการควบคุมหลายชั้นตามแนวคิดของ Swiss Cheese Model เพื่อให้มั่นใจว่าข้อมูลสำคัญจะไม่สูญหาย แม้จะมีช่องโหว่ในบางขั้นตอน
1. การสำรองข้อมูลหลายสถานที่:
การสำรองข้อมูลไว้ในหลายสถานที่ เช่น เก็บข้อมูลสำรองในเซิร์ฟเวอร์ภายในองค์กรและในคลาวด์ (Cloud Storage) เป็นชั้นแรกของชีสที่ช่วยลดความเสี่ยงจากการสูญหายของข้อมูล หากเซิร์ฟเวอร์ภายในองค์กรเกิดความเสียหาย ข้อมูลในคลาวด์ยังคงปลอดภัยและสามารถกู้คืนได้
2. การเข้ารหัสข้อมูล (Data Encryption):
การเข้ารหัสข้อมูลเป็นชั้นที่สองของชีสที่เพิ่มความปลอดภัย หากแฮกเกอร์สามารถเข้าถึงข้อมูลสำรองได้ แต่ข้อมูลนั้นถูกเข้ารหัสไว้ พวกเขาจะไม่สามารถอ่านหรือใช้งานข้อมูลนั้นได้
3. การตรวจสอบและทดสอบข้อมูลสำรอง (Backup Verification and Testing):
การทดสอบและตรวจสอบข้อมูลสำรองอย่างสม่ำเสมอ เป็นชั้นที่ช่วยให้มั่นใจได้ว่าข้อมูลสำรองสามารถกู้คืนได้จริงในกรณีที่เกิดเหตุการณ์ฉุกเฉิน หากเกิดข้อผิดพลาดในการสำรองข้อมูล การทดสอบนี้จะช่วยระบุปัญหาและแก้ไขได้ก่อนที่จะเกิดเหตุการณ์ใหญ่
4. การจัดการสิทธิ์ในการเข้าถึง (Access Control Management):
การจัดการสิทธิ์ในการเข้าถึงข้อมูลเป็นชั้นสุดท้ายของชีสที่ช่วยเสริมความปลอดภัย การจำกัดการเข้าถึงข้อมูลสำคัญเฉพาะบุคคลที่ได้รับอนุญาตจะลดความเสี่ยงจากการถูกโจมตีจากภายใน
ความเสี่ยงที่อาจเกิดขึ้นหากไม่ระมัดระวังในการปฏิบัติตามมาตรการควบคุม
แม้ว่าจะมีการควบคุมถึงสี่ขั้นตอน แต่หากไม่ระมัดระวังในการออกแบบหรือปฏิบัติตามการควบคุมภายใน ก็อาจมีช่องโหว่เหลืออยู่ได้ ตัวอย่างเช่น องค์กร A แม้ว่าจะมีการสำรองข้อมูลในคลาวด์และเข้ารหัสข้อมูลไว้ แต่หากการสำรองข้อมูลไม่ได้ดำเนินการอย่างสม่ำเสมอตามที่ควร การเข้ารหัสข้อมูลไม่ได้ใช้โปรโตคอลที่เหมาะสม ข้อมูลที่สำรองไว้ไม่เคยทดสอบว่าสามารถกู้คืนได้จริง และยังปล่อยปละละเลยให้พนักงานที่ลาออกไปแล้วยังคงสามารถเข้าถึงระบบสารสนเทศขององค์กรได้ จะเห็นได้ว่าหากเกิดกรณีเช่นนี้ แม้จะมีการควบคุมหลายชั้น แต่ทุกชั้นก็มีช่องโหว่ จนทำให้มาตรการป้องกันความเสี่ยงที่วางไว้ไม่สามารถใช้งานได้จริง
บทสรุป
Swiss Cheese Model ช่วยให้เห็นว่าการป้องกันความเสี่ยงในองค์กรควรประกอบด้วยหลายชั้นที่ทำงานร่วมกันอย่างสอดคล้องกัน แม้ว่าชั้นหนึ่งจะมีช่องโหว่ แต่การมีหลายชั้นช่วยป้องกันความเสี่ยงไม่ให้ทะลุผ่านทุกชั้นได้ เป็นการสร้างระบบป้องกันที่แข็งแกร่งและมีประสิทธิภาพ อย่างไรก็ตาม การออกแบบและปฏิบัติตามมาตรการควบคุมภายในอย่างเหมาะสมและต่อเนื่องเป็นสิ่งที่สำคัญยิ่งในการทำให้การป้องกันเหล่านี้มีประสิทธิภาพสูงสุด โดยเฉพาะในสภาพแวดล้อมที่ความเสี่ยงสามารถเกิดขึ้นได้จากหลายแหล่ง เช่น การดำเนินงานในด้าน IT และด้านอื่นๆ ขององค์กร
ิติดตามบทความดีๆได้ในเพจ Easy Internal Audit นะครับ
By อ.ธนัท เกิดเจริญ CIA CISA CFE CRMA
