คุยกันเรื่องประกาศ ธปท. เรื่อง การใช้บริการ IT outsourcing ของสถาบันการเงินของไทย

              ในฐานะที่ทำและเคยทำงานในสถาบันการเงินของไทย และได้มีโอกาสเข้าไปรับรู้และทำงานที่เกี่ยวข้องกับเรื่องของ IT Outsource ว่าสถาบันการเงินของไทยถ้าใช้บริการ IT Outsource ต้องดำเนินการตามประกาศของ ธนาคารแห่งประเทศไทยเรื่องการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing)  ในการประกอบธุรกิจของสถาบันการเงิน (สนส. 6/2557) ซึ่งเท่าที่ได้สัมผัสมาก็ได้รับรู้ถึงคำถามต่าง ๆ และการตีความต่าง ๆ ที่ IT Management ของธนาคาร และหน่วยงานอื่น ๆ ที่เกี่ยวข้องก็ยังมีคำถามอยู่จึงเป็นที่มาของการหาข้อมูลและพยายามเปรียบเทียบและนำเสนอประเด็นต่าง ๆ ซึ่งในที่สุดแล้ว ธปท. ซึ่งเป็นผู้ออกกติกานี้ ก็คงเป็นผู้พิจารณาปรับ ซึ่งเข้าใจว่ามีดำริจะปรับในอีกไม่นานนี้ สำหรับประเด็นต่าง ๆ ที่นำมาเขียนนี้อาจจะไม่ได้เป็นทั้งหมด แต่เป็นที่มองเห็นตอนนี้ นะครับ มาเริ่มกันเลยดีกว่า

1.       บริการแบบไหนเรียกว่า IT Outsource หรืออะไร ตามคำจำกัดความระบุว่า “การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing) หมายความว่า การใช้บริการจากผู้ให้บริการภายนอก (Service Provider) ในดำเนินงานด้านเทคโนโลยีสารสนเทศให้แก่สถาบันการเงิน ซึ่งโดยปกติแล้วสถาบันการเงินต้องดำเนินการเอง “ ดูที่ขีดเส้นใต้ไว้นะครับว่าอะไรที่ทำเองได้หรือต้องทำเองแต่ให้คนอื่นทำเรียกว่า การใช้บริการจากผู้ให้บริการภายนอก ซึ่งมีคำถามตามมาเช่น จ้างคนมาเขียนโปรแกรม ทำโครงการที่มีการเขียนโปรแกรมส่งมอบ ทำสัญญา MA ระยะยามต้องเรียกว่า IT Outsource ไหม ซึ่งพอไปหาข้อมูลจากประกาศของประเทศอื่น ๆ มาดูก็ไปเจอของ สิงค์โปร์ครับ ใกล้ ๆ บ้านเราในเอกสารชื่อ “CONSULTATION PAPER, P019-2014, SEPTEMBER 2014 - GUIDELINES ON OUTSOURCING ” โดย Monetary Authority of Singapore (MAS)  กำหนด Definition ไว้ว่า

“―outsourcing arrangement‖ means an arrangement in which a service provider provides the institution with a service that may currently or potentially be performed by the institution itself and which includes the following characteristics:

       จะเห็นว่าที่ขีดเส้นใต้ไว้เหมือนกันอย่างกับแปลมาประมาณว่างานที่เคยทำเองหรือน่าจะทำเอง แต่ที่แตกต่างกันคือเขาบอกว่า และเป็นไปตามคุณสมบัติเหล่านี้ (and which includes the following characteristics) ซึ่งของ ไทยไม่มี เรามาดูกันว่าข้อความที่ขยายมานี้มีอะไร

a)       The institution is dependent on the service on an ongoing basis but such service excludes services that involve the provision of a finished product (e.g. insurance policies); and

b)      The service is integral to the provision of a financial service by the institution or the service is provided to the market by the service provider in the name of the institution;

ส่วนขยายนี้ของเราไม่มี ผมไม่แปลนะครับแต่อยากเน้นที่ขีดเส้นใต้ไว้คือ เป็นบริการที่เป็น เป็นการดำเนินการอย่างต่อเนื่อง (Ongoing Basis) ไม่นับรวมบริการที่ทำให้ได้มาซึ่ง Finished Product ซึ่งอันนี้คิดว่าการจ้างคนมาทำแล้วส่งมอบงาน (Finished Product) อย่างการเขียน Software เห็นว่าไม่น่าจะต้องเป็น IT Outsource เพราะเป็นกิจกรรมเพื่อ Finished Product และไม่ได้เป็น Ongoing Process สำหรับธุรกิจธนาคาร นอกจากนี้ของ MAS นี้ยังมี Appendix ที่มีตัวอย่างบริการจากภายนอกที่เป็นและไม่เป็น Outsourcing ไว้ด้วยไปหาดูกันต่อเองนะครับ

2.       ในประกาศระบุว่า สถาบันการเงินต้องบริหารความเสี่ยงภายใต้กรอบหลักด้านเทคโนโลยีสารสนเทศที่สำคัญ 3 ประการ คือ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล ( Security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (Integrity) และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (Availability) กรอบนี้ค่อยข้างจะหมิ่นเหม่ในเชิงการตีความและการนำไปใช้ร่วมกับมาตรฐานหรือแนวปฏิบัติอื่น ๆ ซึ่งเกิดความไม่สอดคล้องกันเชิงความหมาย (Consistency) คือการรักษาความปลอดภัยของระบบงานและข้อมูล คำว่าความปลอดภัยคือ Safety และการรักษาความลับของระบบงานและข้อมูลคือ Confidentiality -- ซึ่ง Safety + Confidentiality ย่อมไม่เท่ากับ Security ซึ่งหากพิจารณาตามข้อความโดยรวม ๆ แล้วตามประกาศน่าจะตั้งใจหมายถึง Confidentiality มากกว่าสำหรับบริบทนี้ ซึ่งไม่ได้ผิดอะไรถ้าจะเป็นการบัญญัติศัพท์เพื่อประกาศนี้เท่านั้นแต่หากไปใช้งานร่วมกับ มาตรฐานอื่น ๆ จะเกิดความสับสนได้เช่น หากไปดู ISO27001 ก็จะมีการนิยามว่า Security คือการรักษาไว้ซึ่ง Confidentiality Integrity และ Availability  ซึ่งต่างกันมันคล่อม ๆ กันอยู่ ทีนี้ถ้าจะเปลี่ยน คำว่า Security เป็น Confidentiality  ในประกาศนี้ ก็จะทำให้รู้สึกว่ามีการมองความเสี่ยงเฉพาะแค่เรื่อง Security เท่านั้นเองหรือไม่ซึ่งจริง ๆ  แล้วมันน่าจะมีอีกหลายด้าน สำหรับ IT ซึ่งที่ผมชอบก็คือการกำหนด Information Criteria ของ COBIT 4  คิดว่าครบสุดละครับ ซึ่งประกอบไปด้วย

a.       Effectiveness

b.       Efficiency

c.       Confidentiality.

d.       Integrity

e.       Availability

f.        Compliance

g.       Reliability

จะเห็นว่ามี เรื่อง Effectiveness, Efficiency, Compliance และ Reliability เพิ่มเข้ามาด้วย และอาจเพิ่มเรื่อง Privacy เข้ามาด้วยนะครับ บ้านเรา Privacy ยังไม่กลายเป็น Compliance สำหรับความเห็นเรื่อง การกำหนดคำนี้ก็เพราะรู้สึกว่าควรใช้ คำศัพท์ต่างๆ  ให้เป็นไปตามมาตรฐานสากล และควรพิจารณาเรื่องอื่น ๆ นอกจาก security ด้วย

              นอกจากนี้ยังไม่มีรายละเอียดเกี่ยวกับการที่ Outsource ไปใช้ Sub-Contract อีกทอดว่าจะต้องควบคุมอย่างไร  รวมถึงการใช้งานผู้บริการที่เป็น Cloud Computing ว่าจะควบคุมอย่างไร ตรวจสอบอย่างไร … วันนี้ประมาณนี้ครับ เจอกันใหม่ ครับ สวัสดีครับ