ITG กับบางมุมมองของเกณฑ์การประเมินผลภาครัฐด้านการบริหารจัดการสารสนเทศ (ITM)

พ.ค. 30, 2009

การบริหารจัดการความเสี่ยงตามหลักการของ COSO – Enterprise Risk Management ที่คณะกรรมการประเมินผลภาครัฐ นำมาใช้ในเกณฑ์การประเมินผลการบริหารความเสี่ยงตามที่ได้กล่าวมาแล้วในครั้งก่อน ๆ นั้น หลายมุมมองจะเกี่ยวข้องกับการประเมินความเสี่ยงที่เกิดจากการบริหารและควบคุมสารสนเทศที่มีผลต่อ Business Process และ Business Objective ขององค์กรอย่างเป็นกระบวนการ ตามขอบเขตของ IT Governance ที่เกี่ยวข้องกับ COBIT – Control OBjcetive for Information and Technology ตามหลักการของ ITGI ซึ่งประกอบไปด้วย หลักการบริหารกรอบใหญ่ ๆ 4 ด้าน คือ
1. การวางแผนและการจัดการองค์กร (Planning & Organization – PO)
2. การจัดหาและการนำระบบออกใช้งานจริง (Acquisition & Implementation – AI)
3. การส่งมอบและการบำรุงรักษา (Delivery & Support – DS)
4. การติดตาม (Monitoring – M)

การบริหารและการจัดการกับความเสี่ยงตามหลักการของ COSO ก็เกี่ยวข้องกับการเลือกวิธีการควบคุมความเสี่ยง โดยเฉพาะอย่างยิ่งเกี่ยวข้องอย่างมากต่อความเสี่ยงด้านเทคโนโลยี ที่มีผลกระทบต่อ Business Process ที่อาจเกิดช่องว่างของจุดอ่อนและการทุจริตตามที่เป็นข่าวในสถาบันการเงินหลายแห่งของไทยเมื่อเร็ว ๆ นี้ ซึ่งความเสี่ยงของเทคโนโลยีดังกล่าวต้องการความรู้ และประสบการณ์ทางด้านการจัดการกับเทคโนโลยีผสมผสานอย่างแยกไม่ได้กับความเข้าใจในเรื่องการบริหารความเสี่ยง ตามหลักการของ COSO – ERM

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

วันนี้ ผมจึงขอนำเสนอแนวทางของเกณฑ์การประเมินผลของภาครัฐ บางมุมมองที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ในปี 2552 แยกพิจารณาออกเป็น 2 ส่วน สรุปได้ดังนี้

ส่วนที่ 1
1. การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ

ส่วนที่ 2
2. การบริหารการจัดการสารสนเทศ
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

– การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) ของ ISO 27001

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

– การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน
2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และนโยบายต่างๆ ของรัฐบาล
2.5.1 การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต ทั้งการให้บริการภายในและภายนอกองค์กร
2.5.2 ความสะดวกในการให้บริการของประชาชน / พนักงาน / ผู้มีส่วนได้เสีย เช่น การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online
2.5.3 การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ
2.5.4 One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว
2.5.5 ระบบ Back Office ที่สามารถ Share ข้อมูลกับหน่วยงานอื่นทั้งภายใน และภายนอกองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล
2.5.6 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการภายในและภายนอกองค์กร
2.6.1 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
2.6.2 การนำระบบเข้ามาช่วยการสื่อสารทั้งภายในและภายนอกองค์กร
2.6.3 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)
2.6.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

การบริหารและการควบคุมความเสี่ยงเป็นภาพใหญ่ของทุกองค์กร ที่ต้องคำนึงถึงสภาพแวดล้อมของธุรกิจ โดยเฉพาะอย่างยิ่งกิจกรรมที่เกี่ยวข้องกับกรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของ COSO ซึ่งอาจขยายความให้ครอบคลุมไปถึงความเสี่ยงทางด้านเทคโนโลยี (IT Security Risk) ได้ในทุกมุมมอง ดังนั้น ฝ่ายบริหารของทุกองค์กรควรพิจารณาและทบทวนความเข้าใจในเรื่องที่เกี่ยวข้องกับ IT Security Governance ซึ่งสัมพันธ์กับ IT Governance และ Corporate Governance อย่างแยกกันไม่ได้

และผมจะขยายความในเรื่อง IT Security Governance ในมุมมองของ COSO – ERM ซึ่งมีหลายเรื่องที่มีความสัมพันธ์กันอย่างใกล้ชิดและน่าสนใจยิ่ง ในโอกาสต่อ ๆ ไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับบางมุมมองของเกณฑ์การประเมินผลภาครัฐด้านการบริหารจัดการสารสนเทศ (ITM)

พ.ค. 30, 2009

การบริหารจัดการความเสี่ยงตามหลักการของ COSO – Enterprise Risk Management ที่คณะกรรมการประเมินผลภาครัฐ นำมาใช้ในเกณฑ์การประเมินผลการบริหารความเสี่ยงตามที่ได้กล่าวมาแล้วในครั้งก่อน ๆ นั้น หลายมุมมองจะเกี่ยวข้องกับการประเมินความเสี่ยงที่เกิดจากการบริหารและควบคุมสารสนเทศที่มีผลต่อ Business Process และ Business Objective ขององค์กรอย่างเป็นกระบวนการ ตามขอบเขตของ IT Governance ที่เกี่ยวข้องกับ COBIT – Control OBjcetive for Information and Technology ตามหลักการของ ITGI ซึ่งประกอบไปด้วย หลักการบริหารกรอบใหญ่ ๆ 4 ด้าน คือ
1. การวางแผนและการจัดการองค์กร (Planning & Organization – PO)
2. การจัดหาและการนำระบบออกใช้งานจริง (Acquisition & Implementation – AI)
3. การส่งมอบและการบำรุงรักษา (Delivery & Support – DS)
4. การติดตาม (Monitoring – M)

การบริหารและการจัดการกับความเสี่ยงตามหลักการของ COSO ก็เกี่ยวข้องกับการเลือกวิธีการควบคุมความเสี่ยง โดยเฉพาะอย่างยิ่งเกี่ยวข้องอย่างมากต่อความเสี่ยงด้านเทคโนโลยี ที่มีผลกระทบต่อ Business Process ที่อาจเกิดช่องว่างของจุดอ่อนและการทุจริตตามที่เป็นข่าวในสถาบันการเงินหลายแห่งของไทยเมื่อเร็ว ๆ นี้ ซึ่งความเสี่ยงของเทคโนโลยีดังกล่าวต้องการความรู้ และประสบการณ์ทางด้านการจัดการกับเทคโนโลยีผสมผสานอย่างแยกไม่ได้กับความเข้าใจในเรื่องการบริหารความเสี่ยง ตามหลักการของ COSO – ERM

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

วันนี้ ผมจึงขอนำเสนอแนวทางของเกณฑ์การประเมินผลของภาครัฐ บางมุมมองที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ในปี 2552 แยกพิจารณาออกเป็น 2 ส่วน สรุปได้ดังนี้

ส่วนที่ 1
1. การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ

ส่วนที่ 2
2. การบริหารการจัดการสารสนเทศ
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

– การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) ของ ISO 27001

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

– การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน
2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และนโยบายต่างๆ ของรัฐบาล
2.5.1 การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต ทั้งการให้บริการภายในและภายนอกองค์กร
2.5.2 ความสะดวกในการให้บริการของประชาชน / พนักงาน / ผู้มีส่วนได้เสีย เช่น การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online
2.5.3 การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ
2.5.4 One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว
2.5.5 ระบบ Back Office ที่สามารถ Share ข้อมูลกับหน่วยงานอื่นทั้งภายใน และภายนอกองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล
2.5.6 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการภายในและภายนอกองค์กร
2.6.1 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
2.6.2 การนำระบบเข้ามาช่วยการสื่อสารทั้งภายในและภายนอกองค์กร
2.6.3 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)
2.6.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

การบริหารและการควบคุมความเสี่ยงเป็นภาพใหญ่ของทุกองค์กร ที่ต้องคำนึงถึงสภาพแวดล้อมของธุรกิจ โดยเฉพาะอย่างยิ่งกิจกรรมที่เกี่ยวข้องกับกรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของ COSO ซึ่งอาจขยายความให้ครอบคลุมไปถึงความเสี่ยงทางด้านเทคโนโลยี (IT Security Risk) ได้ในทุกมุมมอง ดังนั้น ฝ่ายบริหารของทุกองค์กรควรพิจารณาและทบทวนความเข้าใจในเรื่องที่เกี่ยวข้องกับ IT Security Governance ซึ่งสัมพันธ์กับ IT Governance และ Corporate Governance อย่างแยกกันไม่ได้

และผมจะขยายความในเรื่อง IT Security Governance ในมุมมองของ COSO – ERM ซึ่งมีหลายเรื่องที่มีความสัมพันธ์กันอย่างใกล้ชิดและน่าสนใจยิ่ง ในโอกาสต่อ ๆ ไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 28, 2009

ในครั้งที่แล้วผมได้พูดถึงสภาพแวดล้อมในองค์กรที่เป็นปัจจัยสำคัญที่ผู้บริหารต้องพิจารณาและมีการกำหนดร่วมกันกับพนักงานในองค์กร อันจะส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร ซึ่งเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM โดยได้กล่าวไว้เพียงบางส่วน และในวันนี้ผมจะกล่าวถึงสภาพแวดล้อมขององค์กรที่ผู้บริหารจะต้องพิจารณาในส่วนที่เหลือ ก่อนที่จะนำไปสู่กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในกระบวนการถัดไปในโอกาสหน้าครับ

7. ค่านิยมด้านความซื่อสัตย์และจริยธรรม
กลยุทธ์และวัตถุประสงค์ที่นำไปสู่วิธีการปฏิบัติเพื่อให้บรรลุผลสำเร็จมีพื้นฐานมาจากความนิยมชมชอบ การตัดสินคุณค่าและรูปแบบการบริหาร ความซื่อสัตย์และการยอมรับในค่านิยมด้านจริยธรรมมีผลต่อความชอบและการตัดสินคุณค่า ซึ่งจะถูกนำไปสู่มาตรฐานทางพฤติกรรม เนื่องจากชื่อเสียงขององค์กรเป็นสิ่งที่มีคุณค่ามาก มาตรฐานทางพฤติกรรมต้องดำเนินไปอย่างสอดคล้องกับกฎหมาย ผู้บริหารขององค์กรที่มีการดำเนินการที่ดีมีการยอมรับมากขึ้นว่ามุมมองในเรื่องพฤติกรรมที่มีความซื่อสัตย์และจริยธรรมเป็นธุรกิจที่ดี

ความซื่อสัตย์ทางการบริหารเป็นสิ่งที่จำเป็นสำหรับพฤติกรรมด้านจริยธรรมในทุกแง่ของกิจกรรมขององค์กร ประสิทธิผลของการจัดการความเสี่ยงขององค์กรไม่สามารถเพิ่มเหนือคุณค่าของความสื่อสัตย์และจริยธรรมของบุคลากรที่สร้าง ดำเนินการและดูแลกิจกรรมที่สำคัญ ค่านิยมด้านความซื่อสัตย์และจริยธรรมเป็นองค์ประกอบของสภาพแวดล้อมที่มีความสำคัญ มีผลต่อการออกแบบ การบริหารและการติดตามดูแลองค์ประกอบอื่น ๆ ของการบริหารความเสี่ยง

การสร้างคุณค่าทางจริยธรรมมักทำได้ยาก เนื่องจากความจำเป็นในการพิจารณาหลาย ๆ ด้าน ค่านิยมของฝ่ายบริหารต้องสมดุลกับองค์กร พนักงาน ลูกค้า คู่แข่งและ ผู้มีผลประโยชน์ร่วม ความสมดุลของเรื่องต่าง ๆ นั้น เป็นเรื่องที่มีความซับซ้อนและยุ่งยาก เนื่องจากความสนใจในแต่ละบุคคลนั้นแตกต่างกัน

พฤติกรรมทางจริยธรรมและความซื่อสัตย์ทางการบริหารเป็นผลพวงของวัฒนธรรมขององค์กร ซึ่งจริยธรรมและมาตรฐานทางพฤติกรรม รวมถึงวิธีที่ใช้สื่อสารและผลักดันนโยบายอย่างเป็นทางการชี้ให้เห็นถึงสิ่งที่คณะกรรมการและฝ่ายบริหารต้องการให้เกิดขึ้น วัฒนธรรมขององค์กรระบุให้เห็นถึงสิ่งที่เกิดขึ้นจริง และบทบาทที่ต้องปฏิบัติตามอย่างตั้งใจหรือหลีกเลี่ยง

8. การยอมรับในความสามารถ
ความสามารถสะท้อนให้เห็นถึงความรู้และทักษะที่จำเป็นสำหรับการปฏิบัติงานตามที่ได้รับมอบหมาย ฝ่ายบริหารจะตัดสินใจถึงวิธีต่าง ๆ ที่จำเป็นในการทำงานให้สำเร็จ โดยการให้น้ำหนักระหว่างกลยุทธ์และวัตถุประสงค์เทียบกับแผนในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

ผู้บริหารควรกำหนดระดับของความรู้ความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละงาน เช่น การจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เป็นต้น ความรู้และทักษะที่จำเป็นนั้นอาจขึ้นอยู่กับความฉลาด การฝึกอบรมและประสบการณ์ของแต่ละคน ปัจจัยที่ต้องพิจารณาในการพัฒนาระดับความรู้และทักษะจะรวมถึงธรรมชาติและระดับของการตัดสินในการนำไปประยุกต์ใช้ในงานที่มีความเฉพาะเจาะจง

9. ปรัชญาและสไตล์การบริหารงานของผู้บริหาร
ความแตกต่างในแนวความคิดและวิธีการทำงานของนักบริหาร อาทิเช่น ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ลักษณะในการยอมรับความเสี่ยงของผู้บริหาร ความกล้าได้กล้าเสียหรือชอบระมัดระวัง เป็นต้น ย่อมมีอิทธิพลต่อวิธีการบริหาร รูปแบบของการยอมรับความเสี่ยง การควบคุมภายในขององค์กร เพราะผู้บริหารมีหน้าที่โดยตรงในการจัดให้มีนโยบาย มาตรการ และวิธีการควบคุมที่เหมาะสมในแต่ละสถานการณ์สำหรับองค์กร

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

10. โครงสร้างการจัดองค์กร
โครงสร้างองค์กรจะเป็นตัวกำหนดกรอบของงานที่จะวางแผน จัดการ ควบคุมและติดตามกิจกรรมต่าง ๆ โครงสร้างองค์กรประกอบด้วยการกำหนดจุดสำคัญของอำนาจหน้าที่และความรับผิดชอบและการกำหนดสายการบังคับบัญชาในการรายงาน

องค์กรทั่วไปจะต้องกำหนดโครงสร้างองค์กรที่เหมาะสมตามที่จำเป็น บางส่วนอาจต้องรวมอำนาจ บางส่วนก็อาจต้องกระจายอำนาจออกไป บางส่วนต้องมีการรายงานโดยตรง หรือบางส่วนอาจต้องใช้องค์กรแบบ Matrix

โครงสร้างขององค์กรทั่วไปที่เหมาะสมขึ้นอยู่กับขนาดขององค์กรและลักษณะของกิจกรรม องค์กรที่มีโครงสร้างสูง มีสายการบังคับบัญชาและความรับผิดชอบที่เป็นทางการ อาจเหมาะสมกับองค์กรขนาดใหญ่ที่มีฝ่ายปฏิบัติจำนวนมากและการปฏิบัติงานต่างประเทศ อย่างไรก็ตามบางโครงสร้างที่มีช่องทางการสื่อสารที่สะดวกอาจเหมาะสมกับองค์กรที่มีขนาดเล็ก

11. วิธีการมอบอำนาจและความรับผิดชอบ
การมอบอำนาจและความรับผิดชอบมีความสัมพันธ์กับระดับที่แต่ละบุคคลและทีมงานได้รับมอบหมายอำนาจ เป็นการส่งเสริมให้ใช้ความคิดริเริ่มในประเด็นต่าง ๆ การแก้ปัญหา และการใช้ขอบเขตของอำนาจ

ประเด็นที่สำคัญในการมอบหมายอำนาจก็คือต้องการให้บรรลุวัตถุประสงค์ นั่นหมายถึงต้องแน่ใจว่าการยอมรับความเสี่ยงนั้นมีพื้นฐานมาจากวิธีการในการระบุความเสี่ยง ประเมินความเสี่ยง รวมถึงขนาดและการให้น้ำหนักของการสูญเสียเทียบกับประโยชน์ที่ได้รับในระดับการตัดสินใจทางธุรกิจที่ดี

อีกประการหนึ่งคือทำให้แน่ใจว่าทุกคนเข้าใจวัตถุประสงค์ขององค์กรและประโยชน์ที่ทุกคนรู้วิธีการในการปฏิบัติเพื่อให้บรรลุวัตถุประสงค์

บางครั้งการเพิ่มการมอบอำนาจอาจขึ้นอยู่กับโครงสร้างขององค์กรว่าเป็นแบบแนวดิ่งหรือแนวราบ การเปลี่ยนแปลงโครงสร้างต้องสนับสนุนให้เกิดความคิดสร้างสรรค์ การริเริ่มและการตอบสนองการแข่งขันและความพึงพอใจของลูกค้าอย่างรวดเร็ว การเพิ่มการมอบอำนาจอาจต้องใช้ความสามารถของพนักงานในระดับที่สูงขึ้นและต้องสามารถตรวจสอบได้มากขึ้น และต้องมีวิธีการที่มีประสิทธิภาพเพื่อให้ฝ่ายบริหารสามารติดตามผลเพื่อการตัดสินใจเท่าที่จำเป็น

12. นโยบายบริหารงานด้านทรัพยากรมนุษย์
บุคลากรเป็นปัจจัยสำคัญและมีอิทธิพลต่อการปฏิบัติงานทุกด้าน รวมทั้งการควบคุมภายใน ดังนั้น ผู้บริหารควรมีการกำหนดนโยบายและวิธีปฏิบัติที่กำหนดในส่วนที่เกี่ยวข้องกับการบริหารทรัพยากรมนุษย์ที่ชัดเจนด้านการคัดเลือก การปฐมนิเทศ การฝึกอบรม การประเมินผล การให้คำปรึกษา การเลื่อนตำแหน่ง การบริหารค่าตอบแทน เป็นต้น

การจ้างงานควรมีมาตรฐานโดยพิจารณาจากพื้นฐานทางการศึกษา ประสบการณ์การทำงาน ความสำเร็จที่ผ่านมาและพฤติกรรมด้านจริยธรรมและความซื่อสัตย์ การแสดงให้เห็นว่าเป็นบุคคลที่มีความผูกพันต่อองค์กรและมีความน่าเชื่อถือได้ วิธีการในการสรรหาจะประกอบด้วยการสัมภาษณ์ที่เป็นทางการ การสัมภาษณ์เชิงลึก และข้อมูลและการแสดงออกที่สามารถมองเห็นได้จากองค์กรเดิม วัฒนธรรมและรูปแบบการปฏิบัติงาน

นโยบายการฝึกอบรมมีอิทธิพลต่อระดับการปฏิบัติงานและพฤติกรรมที่คาดหวังไว้โดยการสื่อสารบทบาทและความรับผิดชอบที่คาดหวังไว้ และการดำเนินงานเหมือนโรงเรียนฝึกอบรมและสัมมนา แบบฝึกหัดที่เป็นกรณีศึกษาให้ปฏิบัติและการแสดงบทบาทสมมติ

การโยกย้ายและการเลื่อนตำแหน่งต้องเกิดจากการประเมินผลการปฏิบัติที่สะท้อนให้เห็นถึงความผูกพันขององค์กรต่อพนักงานที่มีคุณภาพสูง

โปรแกรมการจ่ายค่าตอบแทนที่ใช้ในการแข่งขันจะประกอบด้วยการจ่ายโบนัสจูงใจเพื่อตอบสนองและจูงใจผู้ที่มีผลการปฏิบัติงานที่ดีเลิศ

การลงโทษทางวินัยจะเป็นตัวส่งสัญญาณให้เห็นถึงพฤติกรรมที่ไม่ควรปฏิบัติ ควรหลีกเลี่ยง

13. ความแตกต่างทางสภาพแวดล้อมและความหมายของสภาพแวดล้อม
สภาพแวดล้อมภายในขององค์กรทั่วไป ย่อมมีความแตกต่างกัน ซึ่งสภาพแวดล้อมภายในที่แตกต่างกันนี้ ถือเป็นองค์ประกอบหนึ่งของกรอบการบริหารความเสี่ยงขององค์กร หากองค์กรมีสภาพแวดล้อมภายในที่ไม่มีประสิทธิภาพจะส่งผลกระทบต่อความสูญเสียทางการเงิน ภาพพจน์ขององค์กรต่อบุคคล/สังคมภายนอก รวมไปถึงอาจก่อให้เกิดความล้มเหลวทางธุรกิจได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 28, 2009

ในครั้งที่แล้วผมได้พูดถึงสภาพแวดล้อมในองค์กรที่เป็นปัจจัยสำคัญที่ผู้บริหารต้องพิจารณาและมีการกำหนดร่วมกันกับพนักงานในองค์กร อันจะส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร ซึ่งเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM โดยได้กล่าวไว้เพียงบางส่วน และในวันนี้ผมจะกล่าวถึงสภาพแวดล้อมขององค์กรที่ผู้บริหารจะต้องพิจารณาในส่วนที่เหลือ ก่อนที่จะนำไปสู่กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในกระบวนการถัดไปในโอกาสหน้าครับ

7. ค่านิยมด้านความซื่อสัตย์และจริยธรรม
กลยุทธ์และวัตถุประสงค์ที่นำไปสู่วิธีการปฏิบัติเพื่อให้บรรลุผลสำเร็จมีพื้นฐานมาจากความนิยมชมชอบ การตัดสินคุณค่าและรูปแบบการบริหาร ความซื่อสัตย์และการยอมรับในค่านิยมด้านจริยธรรมมีผลต่อความชอบและการตัดสินคุณค่า ซึ่งจะถูกนำไปสู่มาตรฐานทางพฤติกรรม เนื่องจากชื่อเสียงขององค์กรเป็นสิ่งที่มีคุณค่ามาก มาตรฐานทางพฤติกรรมต้องดำเนินไปอย่างสอดคล้องกับกฎหมาย ผู้บริหารขององค์กรที่มีการดำเนินการที่ดีมีการยอมรับมากขึ้นว่ามุมมองในเรื่องพฤติกรรมที่มีความซื่อสัตย์และจริยธรรมเป็นธุรกิจที่ดี

ความซื่อสัตย์ทางการบริหารเป็นสิ่งที่จำเป็นสำหรับพฤติกรรมด้านจริยธรรมในทุกแง่ของกิจกรรมขององค์กร ประสิทธิผลของการจัดการความเสี่ยงขององค์กรไม่สามารถเพิ่มเหนือคุณค่าของความสื่อสัตย์และจริยธรรมของบุคลากรที่สร้าง ดำเนินการและดูแลกิจกรรมที่สำคัญ ค่านิยมด้านความซื่อสัตย์และจริยธรรมเป็นองค์ประกอบของสภาพแวดล้อมที่มีความสำคัญ มีผลต่อการออกแบบ การบริหารและการติดตามดูแลองค์ประกอบอื่น ๆ ของการบริหารความเสี่ยง

การสร้างคุณค่าทางจริยธรรมมักทำได้ยาก เนื่องจากความจำเป็นในการพิจารณาหลาย ๆ ด้าน ค่านิยมของฝ่ายบริหารต้องสมดุลกับองค์กร พนักงาน ลูกค้า คู่แข่งและ ผู้มีผลประโยชน์ร่วม ความสมดุลของเรื่องต่าง ๆ นั้น เป็นเรื่องที่มีความซับซ้อนและยุ่งยาก เนื่องจากความสนใจในแต่ละบุคคลนั้นแตกต่างกัน

พฤติกรรมทางจริยธรรมและความซื่อสัตย์ทางการบริหารเป็นผลพวงของวัฒนธรรมขององค์กร ซึ่งจริยธรรมและมาตรฐานทางพฤติกรรม รวมถึงวิธีที่ใช้สื่อสารและผลักดันนโยบายอย่างเป็นทางการชี้ให้เห็นถึงสิ่งที่คณะกรรมการและฝ่ายบริหารต้องการให้เกิดขึ้น วัฒนธรรมขององค์กรระบุให้เห็นถึงสิ่งที่เกิดขึ้นจริง และบทบาทที่ต้องปฏิบัติตามอย่างตั้งใจหรือหลีกเลี่ยง

8. การยอมรับในความสามารถ
ความสามารถสะท้อนให้เห็นถึงความรู้และทักษะที่จำเป็นสำหรับการปฏิบัติงานตามที่ได้รับมอบหมาย ฝ่ายบริหารจะตัดสินใจถึงวิธีต่าง ๆ ที่จำเป็นในการทำงานให้สำเร็จ โดยการให้น้ำหนักระหว่างกลยุทธ์และวัตถุประสงค์เทียบกับแผนในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

ผู้บริหารควรกำหนดระดับของความรู้ความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละงาน เช่น การจัดทำเอกสารกำหนดลักษณะงาน (Job Description) เป็นต้น ความรู้และทักษะที่จำเป็นนั้นอาจขึ้นอยู่กับความฉลาด การฝึกอบรมและประสบการณ์ของแต่ละคน ปัจจัยที่ต้องพิจารณาในการพัฒนาระดับความรู้และทักษะจะรวมถึงธรรมชาติและระดับของการตัดสินในการนำไปประยุกต์ใช้ในงานที่มีความเฉพาะเจาะจง

9. ปรัชญาและสไตล์การบริหารงานของผู้บริหาร
ความแตกต่างในแนวความคิดและวิธีการทำงานของนักบริหาร อาทิเช่น ทัศนคติของผู้บริหารที่มีต่อการเลือกนโยบายบัญชี ลักษณะในการยอมรับความเสี่ยงของผู้บริหาร ความกล้าได้กล้าเสียหรือชอบระมัดระวัง เป็นต้น ย่อมมีอิทธิพลต่อวิธีการบริหาร รูปแบบของการยอมรับความเสี่ยง การควบคุมภายในขององค์กร เพราะผู้บริหารมีหน้าที่โดยตรงในการจัดให้มีนโยบาย มาตรการ และวิธีการควบคุมที่เหมาะสมในแต่ละสถานการณ์สำหรับองค์กร

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมภายในองค์กรกับกระบวนการบริหารความเสี่ยงและการควบคุมภายใน

10. โครงสร้างการจัดองค์กร
โครงสร้างองค์กรจะเป็นตัวกำหนดกรอบของงานที่จะวางแผน จัดการ ควบคุมและติดตามกิจกรรมต่าง ๆ โครงสร้างองค์กรประกอบด้วยการกำหนดจุดสำคัญของอำนาจหน้าที่และความรับผิดชอบและการกำหนดสายการบังคับบัญชาในการรายงาน

องค์กรทั่วไปจะต้องกำหนดโครงสร้างองค์กรที่เหมาะสมตามที่จำเป็น บางส่วนอาจต้องรวมอำนาจ บางส่วนก็อาจต้องกระจายอำนาจออกไป บางส่วนต้องมีการรายงานโดยตรง หรือบางส่วนอาจต้องใช้องค์กรแบบ Matrix

โครงสร้างขององค์กรทั่วไปที่เหมาะสมขึ้นอยู่กับขนาดขององค์กรและลักษณะของกิจกรรม องค์กรที่มีโครงสร้างสูง มีสายการบังคับบัญชาและความรับผิดชอบที่เป็นทางการ อาจเหมาะสมกับองค์กรขนาดใหญ่ที่มีฝ่ายปฏิบัติจำนวนมากและการปฏิบัติงานต่างประเทศ อย่างไรก็ตามบางโครงสร้างที่มีช่องทางการสื่อสารที่สะดวกอาจเหมาะสมกับองค์กรที่มีขนาดเล็ก

11. วิธีการมอบอำนาจและความรับผิดชอบ
การมอบอำนาจและความรับผิดชอบมีความสัมพันธ์กับระดับที่แต่ละบุคคลและทีมงานได้รับมอบหมายอำนาจ เป็นการส่งเสริมให้ใช้ความคิดริเริ่มในประเด็นต่าง ๆ การแก้ปัญหา และการใช้ขอบเขตของอำนาจ

ประเด็นที่สำคัญในการมอบหมายอำนาจก็คือต้องการให้บรรลุวัตถุประสงค์ นั่นหมายถึงต้องแน่ใจว่าการยอมรับความเสี่ยงนั้นมีพื้นฐานมาจากวิธีการในการระบุความเสี่ยง ประเมินความเสี่ยง รวมถึงขนาดและการให้น้ำหนักของการสูญเสียเทียบกับประโยชน์ที่ได้รับในระดับการตัดสินใจทางธุรกิจที่ดี

อีกประการหนึ่งคือทำให้แน่ใจว่าทุกคนเข้าใจวัตถุประสงค์ขององค์กรและประโยชน์ที่ทุกคนรู้วิธีการในการปฏิบัติเพื่อให้บรรลุวัตถุประสงค์

บางครั้งการเพิ่มการมอบอำนาจอาจขึ้นอยู่กับโครงสร้างขององค์กรว่าเป็นแบบแนวดิ่งหรือแนวราบ การเปลี่ยนแปลงโครงสร้างต้องสนับสนุนให้เกิดความคิดสร้างสรรค์ การริเริ่มและการตอบสนองการแข่งขันและความพึงพอใจของลูกค้าอย่างรวดเร็ว การเพิ่มการมอบอำนาจอาจต้องใช้ความสามารถของพนักงานในระดับที่สูงขึ้นและต้องสามารถตรวจสอบได้มากขึ้น และต้องมีวิธีการที่มีประสิทธิภาพเพื่อให้ฝ่ายบริหารสามารติดตามผลเพื่อการตัดสินใจเท่าที่จำเป็น

12. นโยบายบริหารงานด้านทรัพยากรมนุษย์
บุคลากรเป็นปัจจัยสำคัญและมีอิทธิพลต่อการปฏิบัติงานทุกด้าน รวมทั้งการควบคุมภายใน ดังนั้น ผู้บริหารควรมีการกำหนดนโยบายและวิธีปฏิบัติที่กำหนดในส่วนที่เกี่ยวข้องกับการบริหารทรัพยากรมนุษย์ที่ชัดเจนด้านการคัดเลือก การปฐมนิเทศ การฝึกอบรม การประเมินผล การให้คำปรึกษา การเลื่อนตำแหน่ง การบริหารค่าตอบแทน เป็นต้น

การจ้างงานควรมีมาตรฐานโดยพิจารณาจากพื้นฐานทางการศึกษา ประสบการณ์การทำงาน ความสำเร็จที่ผ่านมาและพฤติกรรมด้านจริยธรรมและความซื่อสัตย์ การแสดงให้เห็นว่าเป็นบุคคลที่มีความผูกพันต่อองค์กรและมีความน่าเชื่อถือได้ วิธีการในการสรรหาจะประกอบด้วยการสัมภาษณ์ที่เป็นทางการ การสัมภาษณ์เชิงลึก และข้อมูลและการแสดงออกที่สามารถมองเห็นได้จากองค์กรเดิม วัฒนธรรมและรูปแบบการปฏิบัติงาน

นโยบายการฝึกอบรมมีอิทธิพลต่อระดับการปฏิบัติงานและพฤติกรรมที่คาดหวังไว้โดยการสื่อสารบทบาทและความรับผิดชอบที่คาดหวังไว้ และการดำเนินงานเหมือนโรงเรียนฝึกอบรมและสัมมนา แบบฝึกหัดที่เป็นกรณีศึกษาให้ปฏิบัติและการแสดงบทบาทสมมติ

การโยกย้ายและการเลื่อนตำแหน่งต้องเกิดจากการประเมินผลการปฏิบัติที่สะท้อนให้เห็นถึงความผูกพันขององค์กรต่อพนักงานที่มีคุณภาพสูง

โปรแกรมการจ่ายค่าตอบแทนที่ใช้ในการแข่งขันจะประกอบด้วยการจ่ายโบนัสจูงใจเพื่อตอบสนองและจูงใจผู้ที่มีผลการปฏิบัติงานที่ดีเลิศ

การลงโทษทางวินัยจะเป็นตัวส่งสัญญาณให้เห็นถึงพฤติกรรมที่ไม่ควรปฏิบัติ ควรหลีกเลี่ยง

13. ความแตกต่างทางสภาพแวดล้อมและความหมายของสภาพแวดล้อม
สภาพแวดล้อมภายในขององค์กรทั่วไป ย่อมมีความแตกต่างกัน ซึ่งสภาพแวดล้อมภายในที่แตกต่างกันนี้ ถือเป็นองค์ประกอบหนึ่งของกรอบการบริหารความเสี่ยงขององค์กร หากองค์กรมีสภาพแวดล้อมภายในที่ไม่มีประสิทธิภาพจะส่งผลกระทบต่อความสูญเสียทางการเงิน ภาพพจน์ขององค์กรต่อบุคคล/สังคมภายนอก รวมไปถึงอาจก่อให้เกิดความล้มเหลวทางธุรกิจได้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กบข. กับกรณีการตรวจสอบการทุจริตของกองทุนเลี้ยงชีพ The Virginia Supplemental Retirement System กับผู้ตรวจสอบ

พ.ค. 28, 2009

ผมกำลังนำบทเรียนเกี่ยวกับการทุจริตของกองทุนเลี้ยงชีพในต่างประเทศ ซึ่งเกิดขึ้นเมื่อหลายปีก่อนมาให้ท่านได้ศึกษา เพื่อเปรียบเทียบกับกรณีการทุจริตต่าง ๆ ที่กำลังเกิดขึ้นในวงการสถาบันการเงินของไทย เพื่อให้ท่านเกิดแนวคิด และเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศเพื่อใช้ในการบริหารและการจัดการ ที่จำเป็นต้องมีการควบคุมทางด้าน IT Security อย่างละเอียดและอย่างเข้าใจถึงช่องว่างที่เป็นจุดเปิดของการทุจริต (Exposure) ได้ เพื่อจะนำมาเปรียบเทียบถึงสิ่งที่เกิดขึ้นในบ้านเรา และสร้างความตระหนักถึงการบริหารอย่างสอดประสานและบูรณาการในเชิงรุกอย่างแท้จริง ซึ่งในที่สุดแล้วจะเกี่ยวข้องกับการบริหารและการจัดการทางด้าน CG + ITG + GRC + COSO – ERM อย่างเป็นกระบวนการ และผสมผสานระหว่างการบริหารงานด้าน IT และ Non – IT โดยมีวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ แผนการปฏิบัติงาน ตัวชี้วัดผลการปฏิบัติงาน การติดตามและการรายงานผล รวมทั้งการตรวจสอบตามฐานความเสี่ยงแบบบูรณาการ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

บทเรียนของต่างประเทศที่จะกล่าวต่อไปเพิ่มเติมจากวันก่อนนั้น ก็จะเป็นอุทธาหรณ์สำหรับการบริหารของกองทุนเลี้ยงชีพของไทย เช่น กบข. รวมทั้งองค์กรอื่นที่สนใจในเรื่องเกี่ยวกับการตรวจสอบการทุจริตในแง่มุมต่าง ๆ ที่ต้องใช้ประสบการณ์ในการตรวจสอบทางด้านคอมพิวเตอร์เป็นหลัก

ท่านคงไม่ลืมเรื่องราวที่ผมพูดถึงกรณีการทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่เป็นอันดับ 2 ของประเทศฝรั่งเศสที่ถูกทุจริต รวมกันเป็นเงินทั้งสิ้นประมาณ 3 แสนล้านบาท ซึ่งเกิดจากบุคคลที่รู้เรื่อง IT เป็นอย่างดีเพียงคนเดียว ท่านลองไปทบทวนเรื่องนี้ประกอบกับบทเรียนใหม่ที่จะกล่าวในวันนี้

จากการตรวจสอบในเบื้องต้นในการจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems) ซึ่งแบ่งออกเป็น 4 ระบบ ที่ได้กล่าวถึงระบบ Member Contribution Accord (MCA) System ไปในครั้งที่แล้ว และจะขอกล่าวต่อถึงระบบต่อไป ดังนี้

2. Refund System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการจ่ายคืนเงินให้แก่สมาชิกรายที่ออกจากงาน และยื่นหนังสือแสดงความจำนงขอถอนเงินทีฝากไว้คือ ในกรณีที่สมาชิก (Active Member) ถึงแก่กรรม VSRS จะคืนเงินที่รับฝากให้แก่กองมรดก หรือผู้รับประโยชน์ และปรับปรุงยอดคงเหลือในบัญชีของสมาชิกที่รับเงินคืนไป

ในแต่ละปี VSRS จะคืนเงินให้สมาชิก 18,000 – 22,000 ราย เป็นจำนวนเงินประมาณ 14-21 ล้านเหรียญ ส่วนใหญ่จะอยู่ในช่วงฤดูร้อน เพราะอัตราการเปลี่ยนงานสูง โดยเฉพาะอาชีพครู

เมื่อสมาชิกมีความประสงค์จะขอถอนเงินคืน จะต้องกรอกแบบฟอร์ม VSRS-3 รูปภาพที่ 3 ซึ่งระบุหมายเลขประกันสังคม ชื่อ ที่อยู่ วัน เดือน ปีเกิด และชื่อของนายจ้าง หลังจากลงรายมือชื่อเรียบร้อยแล้วก็ให้ส่ง VSRS-3 ไปยังแผนกเงินเดือนของตน แผนกเงินเดือนจะกรอกรายละเอียดที่เหลือของแบบฟอร์ม VSRS-3 ท่อนล่างซึ่งระบุวันที่ ที่หักเงินเดือนครั้งสุดท้าย ชื่อ และรหัสประจำตัวของนายจ้าง และรายละเอียดของเงินนำส่งที่ยังไม่ได้รายงานให้ VSRS ทราบ จากนั้นก็ลงนามแล้วก็ส่งไปให้ VSRS ซึ่งจะมอบหมายให้แผนก Refund section (สังกัดอยู่ใน Membership and Office Department) ตรวจสอบความสมบูรณ์ของเอกสาร จากนั้นจะส่ง VSRS-3 ไปให้ฝ่ายประมวลข้อมูลทำการเจาะบัตรเพื่อบันทึกลงเทปที่เรียกว่า Refund Inventory Computer Tape ซึ่งใช้สำหรับบันทึกรายการขอถอนเงินคืนที่ยังคงค้างยู่ทั้งหมด และพิมพ์รายละเอียดของรายการขอถอนเงินคืนที่คงค้างในเทป ฝ่ายประมวลข้อมูลจะส่งรายละเอียดนี้พร้อมกับเทปไปให้แผนก Refund section

แผนก Refund Section จะนำ VSRS-1 ซึ่งเก็บไว้ใน Storeroom มาประกบกับ VSRS-3 รายที่ขอถอนเงินคืน แล้ก็รวบรวมกันไว้ในแฟ้ม พนักงานประจำเครื่องรับส่งข้อมูล (RJE Operator) จะเรียกโปรแกรมคอมพิวเตอร์เพื่อมาทำการเปรียบเทียบข้อมูลที่เก็บไว้ใน Refund Inventory Tape กับ MCA Master Fileและพิมพ์รายงานยอดคงเหลือของแต่ละบัญชีสัปดาห์ละครั้ง แล้วส่งรายงานนี้ไปให้แผนก Refund Section ตรวจสอบกับ VSRS-3 ที่เก็บไว้ในแฟ้ม แผนก Refund Section จะคำนวณเงินที่ต้องคืนแก่สมาชิกจากแบบฟอร์ม VSRS-3 ท่อนล่าง ซึ่งจะเท่ากับจำนวนเงินที่ปรากฏตามรายงานยอดคงเหลือในบัญชี + ส่วนที่นายจ้างรับรอง ว่าได้หักจากเงินเดือนของพนักงานแล้ว แต่ยังไม่ได้รายงานให้ VSRS ทราบ

แผนกบัญชี (According Section) จะออกสลิปปะหน้า (Voucher Cover Sheet) VSRS-3 ส่งให้ฝ่ายประมวลข้อมูลเจาะรหัสบนบัตร Refund Card รูปภาพที่ 4 แล้วจัดทำรายละเอียดที่ขอถอนคืนแต่ละราย และรวมยอดจำนวนเงินที่ขอถอนคืนทั้งสิ้นตาม Refund Card เปรียบเทียบกับจำนวนเงินรวมในสลิปปะหน้า อย่างไรก็ตามการถอนเงินคืนไม่จำเป็นต้องถอนเงินจนยอดในบัญชีเหลือเป็นศูนย์ แต่จะกำหนดรหัสพิเศษให้เพื่อแสดงว่า บัญชีนี้มีการถอนเงินคืนไปแล้ว เสร็จแล้วจะโอนรายการถอนเงินคืนจาก Refund Inventory Tape ไปเก็บไว้ใน Refund Transaction History Tape สำหรับ Refund Card ฝ่ายประมวลข้อมูลจะเก็บเข้าแฟ้มไว้เพื่อใช้ในการหักบัญชีสมาชิกต่อไป เมื่อนายจ้างส่งเงินมาให้เพิ่มเติมตามที่ระบุไว้ใน VSRS-3 โดนเรียงลำดับตามหมายเลขรหัสของนายจ้าง และวันครบกำหนดในแฟ้มนี้จะมี Refund Card ประมาณ 2,000-3,000 ใบ

ฝ่ายประมวลข้อมูลจะส่งรายงานคอมพิวเตอร์และ VSRS-3 กลับคืนไปให้ Refund Section เพื่อเช็คสอบยอดรวม เสร็จแล้ว Refund Section จะส่งสลิปถอนเงิน (Voucher) ไปให้ผู้อำนวยการ VSRS ลงนาม สั่งจ่ายเมื่อ Refund Section ได้รับสลิปคืนมาก็จะส่งทางไปรษณีย์ไปให้สำนักงานคลังของรัฐ (State Treasurer’s Office) พร้อมกับที่อยู่ตามที่ระบุไว้ในท่อนล่างของ VSRS-3 และจะส่งสลิปต้นฉบับไปให้สำนักงานบัญชีกลางของรัฐ (State Comptroller’s Office) ส่วนสลิปชุดสำเนาจะถูกส่งไปยังแผนกบัญชี เพื่อบันทึกไว้ในสมุดบัญชีเงินสดจ่าย (Cash Disbursements Ledger) แล้วส่งกลับไปเก็บเข้าใน Refund Section

ตามที่กล่าวไว้ในตอนต้นแล้วว่า VSRS จะยังไม่คืนเงินให้แก่สมาชิกจนกว่านายจ้างจะส่งรายงานและเงินมาให้จนครบแล้ว ดังนั้นเมื่อนายจ้างส่งรายงานมาครบแล้ว เสมียนในแผนก Contribution Reporting Section จะดึง Refund Card รายที่มีวันครบกำหนดตรงกับวันที่ในรายงาน (Reporting Period Data) จากนั้นจะส่ง Refund Card ไปให้พนักงานประจำเครื่อง RJE เพื่อลดยอดคงเหลือในบัญชีตามที่กำหนดใน Refund Card แล้วสั่งให้เครื่องคอมพิวเตอร์พิมพ์รายงานจำนวนเงินที่ถอนคืนไปทั้งหมด (Refund Total Report) โดยแสดงรายละเอียดเฉพาะหมายเลขประจำตัวนายจ้างและจำนวนเงินรวมแต่ละราย จากนั้นก็บันทึกจำนวนเงินที่ถอนไปทั้งสิ้นใน Control Bookซึ่งเป็นสมุดเล่มเดียวกับที่เคยบันทึกจำนวนเงินรับจากสมาชิกทั้งสิ้นเสร็จแล้วก็ทิ้ง Refund Cardไป

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ในกรณีที่ยังมียอดคงเหลืออยู่ในบัญชีหลังจากที่คืนเงินให้สมาชิกแล้ว ทั้งนี้อาจจะเนื่องมาจากการคำนวณผิดพลาด ดังนั้นแผนก Refund Section จะต้องตรวจสอบดูว่าควรจะคืนเงินที่เหลือให้แก่สมาชิกหรือไม่ ในบางกรณีก็จะส่งใบยืนยันยอดไปให้สมาชิกหรือนายจ้าง เมื่อได้รับใบยืนยันยอดคืนมาจะส่งไปให้ฝ่ายประมวลขอมูลพร้อมกับ Refund Worksheets เพื่อเจาะรหัสลงบัตร แต่โดยปกติเสมียนในแผนก Refund Section จะเป็นผู้เจาะบัตรด้วยตัวเอง จากนั้นก็ดำเนินการเหมือนกับกรรมวิธีข้างต้น ยกเว้นว่าไม่ต้องบันทึกรายการขอ Refund ไว้ใน Refund Inventory Tape

การคืนเงินให้แก่ผู้รับประโยชน์หรือกองมรดก ก็คงดำเนินวิธีการเช่นเดียวกับการคืนเงินตามปกติ

สำหรับรูปภาพประกอบคำอธิบาย หากเป็นไปได้ผมจะนำมาเสนอให้ทราบในโอกาสต่อไป เพื่อสร้างความเข้าใจสำหรับผู้ที่สนใจอย่างแท้จริง ถึงการตรวจสอบในรายละเอียดที่มีลักษณะเป็นการตรวจสอบเชิงสอบสวนและหาหลักฐานที่เกี่ยวข้องทางด้านคอมพิวเตอร์ ที่มีลักษณะเป็น Forensic Audit แบบหนึ่ง

ท่านผู้บริหารและท่านผู้ตรวจสอบทางด้าน IT และ Non – IT ครับ ท่านได้อ่านถึงการตรวจสอบอย่างเป็นกระบวนการ 2 ใน 4 ระบบงานหลักของการบริหารกองทุนเลี้ยงชีพเพื่อการศึกษาแห่งนี้ไปแล้ว ท่านได้ภาพอะไรบ้างไหมครับว่า ในกรณีที่ท่านต้องติดตาม สอบสวน เรื่องราวการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ในเชิงลึก และมีหลักฐานอย่างแท้จริงถึงสาเหตุที่เป็น Root Cause ของปัญหาในการทุจริต เพื่อหาแนวทางควบคุม และป้องกันมิให้เหตุการณ์ทำนองเดียวกันนี้เกิดขึ้นอีกในองค์กรของท่าน

โปรดติดตามการตรวจสอบอีก 2 ระบบงานหลักต่อไปนะครับ และขณะเดียวกันขอให้ท่านพิจารณาด้วยว่าการดำเนินการร่วมกันระหว่าง IT Auditor กับ Non – IT Auditor มีความเหมาะสม หรือน่าจะปรับปรุงอะไรบ้าง ให้เหมาะกับเทคโนโลยียุคใหม่ที่ได้เปลี่ยนแปลงไปมากแล้ว

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กบข. กับกรณีการตรวจสอบการทุจริตของกองทุนเลี้ยงชีพ The Virginia Supplemental Retirement System กับผู้ตรวจสอบ

พ.ค. 28, 2009

ผมกำลังนำบทเรียนเกี่ยวกับการทุจริตของกองทุนเลี้ยงชีพในต่างประเทศ ซึ่งเกิดขึ้นเมื่อหลายปีก่อนมาให้ท่านได้ศึกษา เพื่อเปรียบเทียบกับกรณีการทุจริตต่าง ๆ ที่กำลังเกิดขึ้นในวงการสถาบันการเงินของไทย เพื่อให้ท่านเกิดแนวคิด และเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศเพื่อใช้ในการบริหารและการจัดการ ที่จำเป็นต้องมีการควบคุมทางด้าน IT Security อย่างละเอียดและอย่างเข้าใจถึงช่องว่างที่เป็นจุดเปิดของการทุจริต (Exposure) ได้ เพื่อจะนำมาเปรียบเทียบถึงสิ่งที่เกิดขึ้นในบ้านเรา และสร้างความตระหนักถึงการบริหารอย่างสอดประสานและบูรณาการในเชิงรุกอย่างแท้จริง ซึ่งในที่สุดแล้วจะเกี่ยวข้องกับการบริหารและการจัดการทางด้าน CG + ITG + GRC + COSO – ERM อย่างเป็นกระบวนการ และผสมผสานระหว่างการบริหารงานด้าน IT และ Non – IT โดยมีวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ แผนการปฏิบัติงาน ตัวชี้วัดผลการปฏิบัติงาน การติดตามและการรายงานผล รวมทั้งการตรวจสอบตามฐานความเสี่ยงแบบบูรณาการ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

บทเรียนของต่างประเทศที่จะกล่าวต่อไปเพิ่มเติมจากวันก่อนนั้น ก็จะเป็นอุทธาหรณ์สำหรับการบริหารของกองทุนเลี้ยงชีพของไทย เช่น กบข. รวมทั้งองค์กรอื่นที่สนใจในเรื่องเกี่ยวกับการตรวจสอบการทุจริตในแง่มุมต่าง ๆ ที่ต้องใช้ประสบการณ์ในการตรวจสอบทางด้านคอมพิวเตอร์เป็นหลัก

ท่านคงไม่ลืมเรื่องราวที่ผมพูดถึงกรณีการทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่เป็นอันดับ 2 ของประเทศฝรั่งเศสที่ถูกทุจริต รวมกันเป็นเงินทั้งสิ้นประมาณ 3 แสนล้านบาท ซึ่งเกิดจากบุคคลที่รู้เรื่อง IT เป็นอย่างดีเพียงคนเดียว ท่านลองไปทบทวนเรื่องนี้ประกอบกับบทเรียนใหม่ที่จะกล่าวในวันนี้

จากการตรวจสอบในเบื้องต้นในการจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems) ซึ่งแบ่งออกเป็น 4 ระบบ ที่ได้กล่าวถึงระบบ Member Contribution Accord (MCA) System ไปในครั้งที่แล้ว และจะขอกล่าวต่อถึงระบบต่อไป ดังนี้

2. Refund System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการจ่ายคืนเงินให้แก่สมาชิกรายที่ออกจากงาน และยื่นหนังสือแสดงความจำนงขอถอนเงินทีฝากไว้คือ ในกรณีที่สมาชิก (Active Member) ถึงแก่กรรม VSRS จะคืนเงินที่รับฝากให้แก่กองมรดก หรือผู้รับประโยชน์ และปรับปรุงยอดคงเหลือในบัญชีของสมาชิกที่รับเงินคืนไป

ในแต่ละปี VSRS จะคืนเงินให้สมาชิก 18,000 – 22,000 ราย เป็นจำนวนเงินประมาณ 14-21 ล้านเหรียญ ส่วนใหญ่จะอยู่ในช่วงฤดูร้อน เพราะอัตราการเปลี่ยนงานสูง โดยเฉพาะอาชีพครู

เมื่อสมาชิกมีความประสงค์จะขอถอนเงินคืน จะต้องกรอกแบบฟอร์ม VSRS-3 รูปภาพที่ 3 ซึ่งระบุหมายเลขประกันสังคม ชื่อ ที่อยู่ วัน เดือน ปีเกิด และชื่อของนายจ้าง หลังจากลงรายมือชื่อเรียบร้อยแล้วก็ให้ส่ง VSRS-3 ไปยังแผนกเงินเดือนของตน แผนกเงินเดือนจะกรอกรายละเอียดที่เหลือของแบบฟอร์ม VSRS-3 ท่อนล่างซึ่งระบุวันที่ ที่หักเงินเดือนครั้งสุดท้าย ชื่อ และรหัสประจำตัวของนายจ้าง และรายละเอียดของเงินนำส่งที่ยังไม่ได้รายงานให้ VSRS ทราบ จากนั้นก็ลงนามแล้วก็ส่งไปให้ VSRS ซึ่งจะมอบหมายให้แผนก Refund section (สังกัดอยู่ใน Membership and Office Department) ตรวจสอบความสมบูรณ์ของเอกสาร จากนั้นจะส่ง VSRS-3 ไปให้ฝ่ายประมวลข้อมูลทำการเจาะบัตรเพื่อบันทึกลงเทปที่เรียกว่า Refund Inventory Computer Tape ซึ่งใช้สำหรับบันทึกรายการขอถอนเงินคืนที่ยังคงค้างยู่ทั้งหมด และพิมพ์รายละเอียดของรายการขอถอนเงินคืนที่คงค้างในเทป ฝ่ายประมวลข้อมูลจะส่งรายละเอียดนี้พร้อมกับเทปไปให้แผนก Refund section

แผนก Refund Section จะนำ VSRS-1 ซึ่งเก็บไว้ใน Storeroom มาประกบกับ VSRS-3 รายที่ขอถอนเงินคืน แล้ก็รวบรวมกันไว้ในแฟ้ม พนักงานประจำเครื่องรับส่งข้อมูล (RJE Operator) จะเรียกโปรแกรมคอมพิวเตอร์เพื่อมาทำการเปรียบเทียบข้อมูลที่เก็บไว้ใน Refund Inventory Tape กับ MCA Master Fileและพิมพ์รายงานยอดคงเหลือของแต่ละบัญชีสัปดาห์ละครั้ง แล้วส่งรายงานนี้ไปให้แผนก Refund Section ตรวจสอบกับ VSRS-3 ที่เก็บไว้ในแฟ้ม แผนก Refund Section จะคำนวณเงินที่ต้องคืนแก่สมาชิกจากแบบฟอร์ม VSRS-3 ท่อนล่าง ซึ่งจะเท่ากับจำนวนเงินที่ปรากฏตามรายงานยอดคงเหลือในบัญชี + ส่วนที่นายจ้างรับรอง ว่าได้หักจากเงินเดือนของพนักงานแล้ว แต่ยังไม่ได้รายงานให้ VSRS ทราบ

แผนกบัญชี (According Section) จะออกสลิปปะหน้า (Voucher Cover Sheet) VSRS-3 ส่งให้ฝ่ายประมวลข้อมูลเจาะรหัสบนบัตร Refund Card รูปภาพที่ 4 แล้วจัดทำรายละเอียดที่ขอถอนคืนแต่ละราย และรวมยอดจำนวนเงินที่ขอถอนคืนทั้งสิ้นตาม Refund Card เปรียบเทียบกับจำนวนเงินรวมในสลิปปะหน้า อย่างไรก็ตามการถอนเงินคืนไม่จำเป็นต้องถอนเงินจนยอดในบัญชีเหลือเป็นศูนย์ แต่จะกำหนดรหัสพิเศษให้เพื่อแสดงว่า บัญชีนี้มีการถอนเงินคืนไปแล้ว เสร็จแล้วจะโอนรายการถอนเงินคืนจาก Refund Inventory Tape ไปเก็บไว้ใน Refund Transaction History Tape สำหรับ Refund Card ฝ่ายประมวลข้อมูลจะเก็บเข้าแฟ้มไว้เพื่อใช้ในการหักบัญชีสมาชิกต่อไป เมื่อนายจ้างส่งเงินมาให้เพิ่มเติมตามที่ระบุไว้ใน VSRS-3 โดนเรียงลำดับตามหมายเลขรหัสของนายจ้าง และวันครบกำหนดในแฟ้มนี้จะมี Refund Card ประมาณ 2,000-3,000 ใบ

ฝ่ายประมวลข้อมูลจะส่งรายงานคอมพิวเตอร์และ VSRS-3 กลับคืนไปให้ Refund Section เพื่อเช็คสอบยอดรวม เสร็จแล้ว Refund Section จะส่งสลิปถอนเงิน (Voucher) ไปให้ผู้อำนวยการ VSRS ลงนาม สั่งจ่ายเมื่อ Refund Section ได้รับสลิปคืนมาก็จะส่งทางไปรษณีย์ไปให้สำนักงานคลังของรัฐ (State Treasurer’s Office) พร้อมกับที่อยู่ตามที่ระบุไว้ในท่อนล่างของ VSRS-3 และจะส่งสลิปต้นฉบับไปให้สำนักงานบัญชีกลางของรัฐ (State Comptroller’s Office) ส่วนสลิปชุดสำเนาจะถูกส่งไปยังแผนกบัญชี เพื่อบันทึกไว้ในสมุดบัญชีเงินสดจ่าย (Cash Disbursements Ledger) แล้วส่งกลับไปเก็บเข้าใน Refund Section

ตามที่กล่าวไว้ในตอนต้นแล้วว่า VSRS จะยังไม่คืนเงินให้แก่สมาชิกจนกว่านายจ้างจะส่งรายงานและเงินมาให้จนครบแล้ว ดังนั้นเมื่อนายจ้างส่งรายงานมาครบแล้ว เสมียนในแผนก Contribution Reporting Section จะดึง Refund Card รายที่มีวันครบกำหนดตรงกับวันที่ในรายงาน (Reporting Period Data) จากนั้นจะส่ง Refund Card ไปให้พนักงานประจำเครื่อง RJE เพื่อลดยอดคงเหลือในบัญชีตามที่กำหนดใน Refund Card แล้วสั่งให้เครื่องคอมพิวเตอร์พิมพ์รายงานจำนวนเงินที่ถอนคืนไปทั้งหมด (Refund Total Report) โดยแสดงรายละเอียดเฉพาะหมายเลขประจำตัวนายจ้างและจำนวนเงินรวมแต่ละราย จากนั้นก็บันทึกจำนวนเงินที่ถอนไปทั้งสิ้นใน Control Bookซึ่งเป็นสมุดเล่มเดียวกับที่เคยบันทึกจำนวนเงินรับจากสมาชิกทั้งสิ้นเสร็จแล้วก็ทิ้ง Refund Cardไป

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ในกรณีที่ยังมียอดคงเหลืออยู่ในบัญชีหลังจากที่คืนเงินให้สมาชิกแล้ว ทั้งนี้อาจจะเนื่องมาจากการคำนวณผิดพลาด ดังนั้นแผนก Refund Section จะต้องตรวจสอบดูว่าควรจะคืนเงินที่เหลือให้แก่สมาชิกหรือไม่ ในบางกรณีก็จะส่งใบยืนยันยอดไปให้สมาชิกหรือนายจ้าง เมื่อได้รับใบยืนยันยอดคืนมาจะส่งไปให้ฝ่ายประมวลขอมูลพร้อมกับ Refund Worksheets เพื่อเจาะรหัสลงบัตร แต่โดยปกติเสมียนในแผนก Refund Section จะเป็นผู้เจาะบัตรด้วยตัวเอง จากนั้นก็ดำเนินการเหมือนกับกรรมวิธีข้างต้น ยกเว้นว่าไม่ต้องบันทึกรายการขอ Refund ไว้ใน Refund Inventory Tape

การคืนเงินให้แก่ผู้รับประโยชน์หรือกองมรดก ก็คงดำเนินวิธีการเช่นเดียวกับการคืนเงินตามปกติ

สำหรับรูปภาพประกอบคำอธิบาย หากเป็นไปได้ผมจะนำมาเสนอให้ทราบในโอกาสต่อไป เพื่อสร้างความเข้าใจสำหรับผู้ที่สนใจอย่างแท้จริง ถึงการตรวจสอบในรายละเอียดที่มีลักษณะเป็นการตรวจสอบเชิงสอบสวนและหาหลักฐานที่เกี่ยวข้องทางด้านคอมพิวเตอร์ ที่มีลักษณะเป็น Forensic Audit แบบหนึ่ง

ท่านผู้บริหารและท่านผู้ตรวจสอบทางด้าน IT และ Non – IT ครับ ท่านได้อ่านถึงการตรวจสอบอย่างเป็นกระบวนการ 2 ใน 4 ระบบงานหลักของการบริหารกองทุนเลี้ยงชีพเพื่อการศึกษาแห่งนี้ไปแล้ว ท่านได้ภาพอะไรบ้างไหมครับว่า ในกรณีที่ท่านต้องติดตาม สอบสวน เรื่องราวการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ในเชิงลึก และมีหลักฐานอย่างแท้จริงถึงสาเหตุที่เป็น Root Cause ของปัญหาในการทุจริต เพื่อหาแนวทางควบคุม และป้องกันมิให้เหตุการณ์ทำนองเดียวกันนี้เกิดขึ้นอีกในองค์กรของท่าน

โปรดติดตามการตรวจสอบอีก 2 ระบบงานหลักต่อไปนะครับ และขณะเดียวกันขอให้ท่านพิจารณาด้วยว่าการดำเนินการร่วมกันระหว่าง IT Auditor กับ Non – IT Auditor มีความเหมาะสม หรือน่าจะปรับปรุงอะไรบ้าง ให้เหมาะกับเทคโนโลยียุคใหม่ที่ได้เปลี่ยนแปลงไปมากแล้ว

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองเกี่ยวกับการสอบสวนและการตรวจสอบการทุจริตด้าน IT และ Non – IT

พ.ค. 26, 2009

ผมตั้งใจที่จะออกความเห็นในเรื่องที่เกี่ยวข้องกับความร่วมมือของผู้ตรวจสอบ ระหว่าง IT Auditor กับ Non – IT Auditor กับการทุจริตว่า ผู้ตรวจสอบทั้ง 2 ประเภทนี้ ควรจะมีความร่วมมือกันอย่างไร โดยเฉพาะอย่างยิ่ง เรื่องที่เป็นข่าวการทุจริตของ ธอส. เป็นเงินประมาณ 500 ล้านบาท กับธนาคารธนชาต เป็นเงินประมาณ 20 ล้านบาท นั้น

ผมใคร่ขอสรุปในเบื้องต้นว่า ในองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง องค์กรที่เกี่ยวข้องกับสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ตลาดหลักทรัพย์ บริษัทการบิน ระบบความมั่นคงทางการทหาร ++ จำเป็นอย่างยิ่งที่ IT Auditor จะต้องมีบทบาทที่เป็นลักษณะของจุดเริ่มต้นของกระบวนการตรวจสอบ เพื่อรวบรวมหลักฐานจากกระบวนการดำเนินงาน อันเกิดจากการกระทำการทุจริต ซึ่งส่วนใหญ่จะมาจาก Operation Risk ประกอบไปด้วย People Risk, Process Risk, Technology Risk ตามที่กล่าวมาแล้ว

หลังจากได้ข้อมูลและหลักฐานที่จำเป็นครบถ้วนและเหมาะสมแล้ว IT Auditor ก็จะผ่านงานไปยัง Non – IT Auditor เพื่อดำเนินการต่อไป ทั้งนี้ เพราะกระบวนการประมวลผลข้อมูลและหลักฐานในการตรวจสอบ รวมทั้งร่องรอยในการตรวจสอบ (Audit Trail หรืออาจเรียกว่า Management Trail ก็ได้) อยู่ในรูปแบบที่ต้องใช้เทคโนโลยีเป็นอย่างมาก

นี่คือหลักการเบื้องต้นของการตรวจสอบ หรือการวางแผนการตรวจสอบ ไม่ว่าจะมีวัตถุประสงค์ใดก็ตาม ต้องเริ่มจาก การทำความเข้าใจในลักษณะงาน กระบวนการทำงาน Business Process ไปถึง Business Objective ในแต่ละ Activities รวมทั้ง การควบคุมภายในของแต่ละกิจกรรมที่เกี่ยวข้องกับการประมวลผลที่มีความสัมพันธ์อย่างสอดคล้องกันในการก้าวไปสู่วัตถุประสงค์ขององค์กร ซึ่งแน่นอนว่าจะเกี่ยวข้องกับ People + Process + Technology หรือ PPT และตัวอย่างของ ธอส. และธนาคารธนชาต รวมทั้งกรณีศึกษาของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System ซึ่งเทียบเท่ากับ กบข. ซึ่งเป็นกองทุนบริหารบำเน็จบำนาญของข้าราชการของไทยในปัจจุบัน

รายละเอียดเรื่องนี้สามารถประยุกต์ทำความเข้าใจได้จากเรื่องราวของการทุจริตที่ประเทศสหรัฐอเมริกา กรณีการจ่ายคืนเงินฝากของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System

ขอให้ท่านที่สนใจโปรดอ่านและใคร่ครวญถึงจุดอ่อนที่เกิดขึ้นในกระบวนการทำงาน ที่มีส่วนผสมผสานกันระหว่างงานด้าน IT และ Non – IT และช่วยวิเคราะห์ในใจถึงจุดอ่อนในกิจกรรม ในขั้นตอน ของกระบวนการทำงานซึ่งเปิดจุดอ่อนที่ทำให้เกิดการทุจริตได้ จากเรื่องราวที่เป็นจริงในอดีตต่อไปนี้

ความเป็นมาขององค์กรที่เกิดการทุจริต
The Virginia Supplemental Retirement System คือ องค์กรที่ทำหน้าที่เป็นกองทุนเลี่ยงชีพร่วม (Consolidated Tension System) พนังงานลูกจ้างของรัฐใน The Commonwealth of Virginia ส่วนใหญ่เป็นพนักงานลูกจ้างของส่วนราชการท้องถิ่น โรงเรียน รัฐบาล คณะกรรมการศึกษาโรงเรียน และหน่วยงานของรัฐอื่นๆ ประมาณ 700 แห่ง มีบัญชีเงินฝากของพนักงานทั้งที่ยังทำงานอยู่และออกจากงานแล้วกว่า 235,000 บัญชี มีสินทรัพย์รวม 1,300 ล้านเหรียญสหรัฐ ส่วนใหญ่เป็นหุ้นและพันธบัตร ซึ่งเท่ากับ VSRS เป็นธนาคารที่ใหญ่ที่สุดแห่งหนึ่งใน Virginia

รัฐเป็นผู้ดำเนินการกองทุนร่วมนี้ โดยมอบหมายให้คณะกรรมการ 7 คน เป็นผู้บริหารงาน ประกอบด้วยเจ้าหน้าที่ส่วนกลาง ตัวแทนจากคณะกรรมการโรงเรียนส่วนราชการท้องถิ่น และ State Executive Branch และบุคคลภายนอกอีก 3 คน รวมเป็น 7 คน คณะกรรมการเหล่านนี้ไม่มีความรู้เกี่ยวกับการบัญชี หรือการประมวลผลด้วยคอมพิวเตอร์ แต่อย่างไรก็ตาม ก่อนหน้าปี พ.ศ. 2520 สองคนในคณะกรรมการชุดนี้เป็นผู้สอบบัญชีรับอนุญาต

ถึงแม้จะผ่านมาเป็นเวลาถึง 32 ปี แต่ก็เป็นการทุจริตที่ Classic มากที่อาจจะเกิดขึ้นได้อีก โดยเฉพาะอย่างยิ่งประเทศที่มีการบริหารความเสี่ยงทางด้าน IT ไม่เหมาะสม และไม่ได้ดุลยภาพกับความสามารถของผู้ตรวจสอบในหลายองค์กร

คณะกรรมการมีหน้าที่รับผิดชอบเกี่ยวกับการบริหารงานประจำวัน ในปี 2520 ซึ่งเป็นปีที่มีการตรวจสอบ VSRS แบ่งองค์กรออกเป็น 4 แผนกใหญ่ ๆ (ตามรูปภาพที่ 1) ดังนี้

VIRGINIA SUPPLEMENTAL RETIREMENT SYSTEM (VSRS)

Computer Fraud and Forensic Audit

Computer Fraud and Forensic Audit

1. แผนก Investments มีหน้าที่ซื้อขายหุ้นและพันธบัตร แผนกนี้ไม่มีส่วนเกี่ยวข้องในการทุจริต
2. แผนก Operations มีหน้าที่รับผิดชอบหน่วยงานหลายหน่วย รวมทั้งหน่วยงานที่ให้บริการแก่สมาชิกกองทุน (Member and Offices Services) ซึ่งเป็นหน่วยงานต้นตอของการเกิดทุจริต
3. แผนก Data Processing มีผู้จัดการแผนกซึ่งทำหน้าที่ ทั้งวิเคราะห์ระบบงาน และเขียนโปรแกรม จนกระทั่งปี พ.ศ. 2520 จึงจ้างนักโปรแกรมผู้ช่วยมาหนึ่งคน นอกจากนั้นผู้จัดการแผนกยังต้องบังคับบัญชาพนักงานระดับเสมียนอีก 15 คน ซึ่งทำหน้าที่ Retirement Contribution Reporting, Remote Job Entire และ Data Control
4. แผนก Finance มีหัวหน้าแผนกและพนักงานบัญชีอีก 5 คน รับผิดชอบในการบันทึกรายการในบัญชีย่อยและบัญชีคุมยอดทั่วไป (Subsidiary and General Ledger)
VSRS ส่งข้อมูลเข้าไปประมวลผลในคอมพิวเตอร์โดยผ่านเครื่องรับส่งที่ตั้งอยู่ในสถานที่ทำงาน (RJE Station) ซึ่งห่างจากศูนย์กลางคอมพิวเตอร์ IBM 370/158 ประมาณ 2 ไมล์ และศูนย์คอมพิวเตอร์แห่งนี้ยังให้บริการแก่องค์การของรับอื่นอีก 28 แห่ง

เหตุการณ์ที่ก่อให้เกิดการทุจริต
เนื่องจากปริมาณธุรกิจของ VSRS เพิ่มขึ้นมากในช่วงระยะเวลา 10 ปี ทำให้ไม่สามารถบันทึกบัญชีด้วยมือต่อไปอีก VSRS จึงตัดสินใจที่จะนำคอมพิวเตอร์มาใช้ โดยมอบหมายให้องค์การของรัฐที่เรียกว่า Department of Automated Data Processing (ADP) เป็นผู้พัฒนาระบบ งานประมวลผลด้วยคอมพิวเตอร์ ADP เป็นหน่วยงานที่มีหน้าที่พัฒนาระบบงาน เขียนโปรแกรม และประมวลผลให้องค์กรของรัฐ ที่ไม่มีหน่วยงานคอมพิวเตอร์เป็นของตัวเอง

Fraud Audit Process and IT Auditor & Non - IT Auditor

Fraud Audit Process and IT Auditor & Non - IT Auditor

ในปี 2515 หลังจากที่พยายามพัฒนาระบบงานมาแล้ว 5 ปี ทั้ง VSRS และ ADP มีความเห็นพ้องตรงกันว่า โครงการที่ทำอยู่นี้ล้มเหลวโดยสิ้นเชิง ทั้งนี้เนื่องมาจากขาดการบริหารโครงการที่ดี และ VSRS มีความเห็นไม่ตรงกันกับ ADP เกี่ยวกับความต้องการชองระบบงาน (System Requirements) อย่างไรก็ตาม VSRS เริ่มใช้คอมพิวเตอร์เมื่อวันที่ 1 กรกฎาคม 2515 ทั้ง ๆ ที่ตรวจพบว่ายังมีข้อบกพร่องที่สำคัญ ๆ ในระบบอีก 26 แห่ง และเนื่องจาก VSRS ไม่มีพนักงานหรือผู้เชี่ยวชาญ ที่ดำเนินงานตามระบบงานใหม่นี้ได้ จึงต้องจ้างพนักงานของ ADP 3 คน ซึ่งรับผิดชอบโครงการนี้มาทำหน้าที่เป็นรองผู้อำนวยการ ผู้จัดการฝ่าย Operation และผู้จัดการฝ่ายประมวลผลของ VSRS โดยมอบหมายให้แต่ละคนรับผิดชอบเกี่ยวกับการอแก้ไขข้อบกพร่องและใช้ระบบงานใหม่นี้

บทบาทของผู้สอบบัญชี
VSRS ไม่มีหน่วยงานที่ทำหน้าที่ตรวจสอบภายในของตนเอง แต่อย่างไรก็ตามผู้สอบบัญชีรับอนุญาตจากรัฐ (Auditor of Public Accounts – ATA) ซึ่งมีหน้าที่ตรวจสอบฐานะการเงินขององค์การของรัฐใน Virginia ทำหน้าที่เป็นผู้ตรวจสอบการเงินของ VSRS แต่เนื่องจาก ATA ขาดกำลังจ้าหน้าที่ผู้ตรวจสอบจึงไม่สามารถตรวจสอบ VSRS อย่างสม่ำเสมอได้ ดังนั้นจึงทำการตรวจสอบในปีการเงินสิ้นสุด 30 มิถุนายน 2512 และ 2515 เท่านั้น

คณะผู้ตรวจสอบที่เข้าทำการตรวจสอบ VSRS ในปีการเงินสิ้นสุด 30 มิถุนายน 2520 พบว่าการตรวจสอบของปี 2515 ยังไม่สมบูรณ์การตรวจสอบเบื้องต้น (Preliminary work) ซึ่งเริ่มตั้งแต่เดือนมีนาคม 2520 ได้แก่ การตรวจสอบระบบการควบคุมทางด้านการบัญชี ทางด้านการประมวลผลด้วยคอมพิวเตอร์ (EDP) ผู้ตรวจสอบจะตรวจสอบและจัดทำงบการเงินสำหรับปีสิ้นสุด 30 มิถุนายน 2516,2517, 2518, 2519 และ 2520 แต่ไม่มีการตรวจสอบทางด้าน EDP ในระยะ 5 ปีที่ผ่านมาและไม่เคยแม้แต่จะตรวจสอบระบบการควบคุมภายในอย่างกว้าง ๆ เกี่ยวกับระบบงานด้านคอมพิวเตอร์ ซึ่งอาจเป็นสาเหตุหนึ่งที่ทำให้การตรวจสอบด้านการเงิน (Financial Examination) ได้ผลไม่สมบูรณ์และอาจตรวจพบกรณีการทุจริตที่เกิดขึ้นได้

การตรวจสอบเบื้องต้น (Preliminary Audit Review)
ผู้ตรวจสอบเข้าร่วมประชุมกับฝ่ายบริหารของ VSRS เพื่อชี้แจงเกี่ยวกับวิธีการตรวจสอบโดยทั่ว ๆ ไปและขอบเขตของการตรวจสอบผู้ที่ไม่ได้เข้าร่วมประชุมคือรองผู้อำนวยการ VSRS ซึ่งลาออกและย้ายไปอยู่ที่รัฐอื่น เรื่องที่สำคัญ ๆ ได้แก่
1. การสอบถามพนักงานของ VSRS และการศึกษาระบบงานจาก System Documentation
2. การจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems)

ระบบงานคอมพิวเตอร์ที่สำคัญ ๆ แบ่งออกเป็น 4 ระบบ คือ
1. Member Contribution Accord (MCA) System
2. Refund System
3. Retirement Annuitant Payroll System (RAPS)
4. Investment Portfolio According System

1. Member Contribution Accords (MCA) System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการนำส่งเงินของสมาชิก VSRS ซึ่งมีบัญชีอยู่ในแฟ้มข้อมูลทั้งสิ้น 315,000 บัญชี การค้นหาและเก็บข้อมูลในบัญชีใช้ระบบ ISAM (Indexed Sequential Access Method) ลักษณะของข้อมูลที่บรรจุอยู่ใน MCA Master File ปรากฏอยู่ในรูปภาพที่ 2

ในแต่ละปีจะมีรายการ (Transaction) เข้ามาในระบบงาน MCA มากกว่า 3,000,000 รายการ หรือเป็นจำนวนเงินที่รับเข้ามามากกว่า 100 ล้านเหรียญสหรัฐ การส่งเงินของสมาชิกแต่ละรายการกระทำโดยผ่านทางนายจ้าง นายจ้างจะหักเงินเดือนพนักงานซึ่งเป็นสมาชิกของ VSRS และนำส่งเช็ค ใบนำส่งเช็ค และรายชื่อสมาชิก และจำนวนเงินแต่ละราย (Contribution Report) ให้ VSRS

เมื่อ VSRS ได้รับเอกสารที่กล่าวเรียบร้อยแล้ว จะส่งเช็คและใบนำส่งเช็คไปให้แผนกบัญชี แผนกบัญชีจะออกใบรับฝากเงิน (Deposit Certificate) ให้ และนำเช็คไปฝากเข้าธนาคาร จากนั้นจะบันทึกรายการในสมุดบัญชีเงินสดรับ (Cash Receipts Ledger) และทำใบนำส่งเช็คไปเก็บเรื่องเข้าแฟ้มไว้เป็นหลักฐานสำหรับ Contribution Report จะถูกส่งไปยังแผนก Contribution Reporting Section

รายงาน Contribution Report ที่ส่งมาให้ VSRS โดยปกติจะแสดงเฉพาะสมาชิกรายที่มีการเปลี่ยนแปลงหรือเพิ่มขึ้นใหม่เท่านั้น (Exception Basis) ส่วนรายที่มิได้รายงานถือว่าคงเดิม ดังนั้นการบันทึกข้อมูลเข้าเก็บไว้ใน MCA master file จะยึดถือจำนวนเงินที่นำส่งครั้งก่อนเป็นหลัก แล้วปรับปรุงด้วยส่วนที่เปลี่ยนแปลง หรือเพิ่มเติมตามรายงานที่ฝากนายจ้างส่งมาให้ก่อน ที่จะสั่งให้คอมพิวเตอร์ Update บัญชีสมาชิกด้วยจำนวนเงินที่กล่าว VSRS จะให้คอมพิวเตอร์พิมพ์รายงานจำนวนเงินนำส่งรวมของนาจ้างแต่ละรายแล้วส่งไปให้แผนก Contribution Reporting Section เพื่อเปรียบเทียบกับจำนวนเงินในใบนำส่งเช็ค (Check Transmittal Form) เมื่อ Update เรียบร้อยแล้ว คอมพิวเตอร์จะออกรายงานส่งให้แผนก Contribution Reporting Section 3 ฉบับ คือ Posting Sheet Report, Possible Duplicate Accords Report และ Missing Membership Data Report

– Posting Sheet Report คือ รายงานที่แสดงจำนวนเงินรวมที่ Update ในบัญชีสมาชิก VSRS ของนายจ้างแต่ละราย หลังจากบันทึกจำนวนรวมดังกล่าวไว้ใน Control Book แล้วก็จะทิ้ง Posting Sheet Report ไป

– Possible Duplicate Accords Report คือ รายงานที่แสดงบัญชีสมาชิกที่มีชื่อและหมายเลขประกันสังคม (Social Security Number) รายงานนี้เป็นประโยชน์ในการค้นหาหมายเลขประกันสังคมที่นายจ้างรายงานมาผิดพลาด

– Missing Membership Data Report คือรายงานที่แสดงรายชื่อของสมาชิกที่ไม่มีบัญชีใน MCA Master File ทั้งนี้เนื่องจากนายจ้างไม่กรอกและส่งแบบฟอร์ม VSRS Membership Form (VSRS – 1) มาให้จึงทำให้ VSRS ระบุชื่อ อายุ เพศ วันที่เป็นสมาชิก และผู้รับผลประโยชน์ ส่งไปให้ VSRS เพื่อเปิดบัญชีสมาชิกใหม่ให้ VSRS จะเก็บ VSRS – 1 เรียงเข้าแฟ้มไว้ในห้องเก็บของ (Storeroom) ซึ่งมิได้ควบคุมการเข้าและออกในแผนก Membership and Office Service Section

สมาชิกที่ยังคงดำรงสภาพพนักงานอยู่ (Active Member) จะได้รับใบแจ้งยอดคงเหลือในบัญชี (Accord Statements) ปีละครั้งโดยมี VSRS จะส่งตรงไปให้นายจ้าง เพื่อแจกจ่ายให้พนักงานซึ่งเป็นสมาชิกต่อไป

เรื่องราวเกี่ยวกับการทุจริตกรณีนี้ยังมีต่อไปอีกค่อนข้างยาว เพราะมีการสอบสวน รวมทั้งการหาข้อมูลเพื่อสาวไปถึงจุดอ่อนและผู้ร่วมการทุจริต เพื่อหาแนวทางป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต

ก็คล้าย ๆ กับกรณีการทุจริตของธนาคาร Socgen เมื่อปี 2550 นะครับ เพราะผู้ทุจริตก็มาจากผู้เชี่ยวชาญทางด้าน IT เป็นผู้พัฒนาโปรแกรมที่เกี่ยวข้องกับระบบงานการทุจริต ซึ่งต่อมาด้วยความผิดพลาดของทางธนาคารที่ออกนโยบายเกี่ยวกับการคัดเลือกพนักงาน และการให้รางวัลที่มีผลตอบแทนจากกำไรในการดำเนินงาน ซึ่งตามมาด้วยช่องว่าง (Exposure) ที่ก่อให้เกิดการทุจริตตามมา เรื่องนี้สาเหตุหลักของการทุจริตก็คือ ความผิดพลาดทางด้านนโยบายของธนาคาร ซึ่งเป็น Root Cause ที่แท้จริง ซึ่งมีผลกระทบตามมาเป็นลูกโซ่ และจบลงด้วยการทุจริต หากมีโอกาสผมจะได้มาวิเคราะห์ในกรณี Socgen ในมุมมองของการบริหารและผู้ตรวจสอบต่อไป

สำหรับกรณีของ ธอส. หรือธนาคารธนชาต เอาไว้คุยกันวันหลังนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองเกี่ยวกับการสอบสวนและการตรวจสอบการทุจริตด้าน IT และ Non – IT

พ.ค. 26, 2009

ผมตั้งใจที่จะออกความเห็นในเรื่องที่เกี่ยวข้องกับความร่วมมือของผู้ตรวจสอบ ระหว่าง IT Auditor กับ Non – IT Auditor กับการทุจริตว่า ผู้ตรวจสอบทั้ง 2 ประเภทนี้ ควรจะมีความร่วมมือกันอย่างไร โดยเฉพาะอย่างยิ่ง เรื่องที่เป็นข่าวการทุจริตของ ธอส. เป็นเงินประมาณ 500 ล้านบาท กับธนาคารธนชาต เป็นเงินประมาณ 20 ล้านบาท นั้น

ผมใคร่ขอสรุปในเบื้องต้นว่า ในองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง องค์กรที่เกี่ยวข้องกับสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ตลาดหลักทรัพย์ บริษัทการบิน ระบบความมั่นคงทางการทหาร ++ จำเป็นอย่างยิ่งที่ IT Auditor จะต้องมีบทบาทที่เป็นลักษณะของจุดเริ่มต้นของกระบวนการตรวจสอบ เพื่อรวบรวมหลักฐานจากกระบวนการดำเนินงาน อันเกิดจากการกระทำการทุจริต ซึ่งส่วนใหญ่จะมาจาก Operation Risk ประกอบไปด้วย People Risk, Process Risk, Technology Risk ตามที่กล่าวมาแล้ว

หลังจากได้ข้อมูลและหลักฐานที่จำเป็นครบถ้วนและเหมาะสมแล้ว IT Auditor ก็จะผ่านงานไปยัง Non – IT Auditor เพื่อดำเนินการต่อไป ทั้งนี้ เพราะกระบวนการประมวลผลข้อมูลและหลักฐานในการตรวจสอบ รวมทั้งร่องรอยในการตรวจสอบ (Audit Trail หรืออาจเรียกว่า Management Trail ก็ได้) อยู่ในรูปแบบที่ต้องใช้เทคโนโลยีเป็นอย่างมาก

นี่คือหลักการเบื้องต้นของการตรวจสอบ หรือการวางแผนการตรวจสอบ ไม่ว่าจะมีวัตถุประสงค์ใดก็ตาม ต้องเริ่มจาก การทำความเข้าใจในลักษณะงาน กระบวนการทำงาน Business Process ไปถึง Business Objective ในแต่ละ Activities รวมทั้ง การควบคุมภายในของแต่ละกิจกรรมที่เกี่ยวข้องกับการประมวลผลที่มีความสัมพันธ์อย่างสอดคล้องกันในการก้าวไปสู่วัตถุประสงค์ขององค์กร ซึ่งแน่นอนว่าจะเกี่ยวข้องกับ People + Process + Technology หรือ PPT และตัวอย่างของ ธอส. และธนาคารธนชาต รวมทั้งกรณีศึกษาของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System ซึ่งเทียบเท่ากับ กบข. ซึ่งเป็นกองทุนบริหารบำเน็จบำนาญของข้าราชการของไทยในปัจจุบัน

รายละเอียดเรื่องนี้สามารถประยุกต์ทำความเข้าใจได้จากเรื่องราวของการทุจริตที่ประเทศสหรัฐอเมริกา กรณีการจ่ายคืนเงินฝากของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System

ขอให้ท่านที่สนใจโปรดอ่านและใคร่ครวญถึงจุดอ่อนที่เกิดขึ้นในกระบวนการทำงาน ที่มีส่วนผสมผสานกันระหว่างงานด้าน IT และ Non – IT และช่วยวิเคราะห์ในใจถึงจุดอ่อนในกิจกรรม ในขั้นตอน ของกระบวนการทำงานซึ่งเปิดจุดอ่อนที่ทำให้เกิดการทุจริตได้ จากเรื่องราวที่เป็นจริงในอดีตต่อไปนี้

ความเป็นมาขององค์กรที่เกิดการทุจริต
The Virginia Supplemental Retirement System คือ องค์กรที่ทำหน้าที่เป็นกองทุนเลี่ยงชีพร่วม (Consolidated Tension System) พนังงานลูกจ้างของรัฐใน The Commonwealth of Virginia ส่วนใหญ่เป็นพนักงานลูกจ้างของส่วนราชการท้องถิ่น โรงเรียน รัฐบาล คณะกรรมการศึกษาโรงเรียน และหน่วยงานของรัฐอื่นๆ ประมาณ 700 แห่ง มีบัญชีเงินฝากของพนักงานทั้งที่ยังทำงานอยู่และออกจากงานแล้วกว่า 235,000 บัญชี มีสินทรัพย์รวม 1,300 ล้านเหรียญสหรัฐ ส่วนใหญ่เป็นหุ้นและพันธบัตร ซึ่งเท่ากับ VSRS เป็นธนาคารที่ใหญ่ที่สุดแห่งหนึ่งใน Virginia

รัฐเป็นผู้ดำเนินการกองทุนร่วมนี้ โดยมอบหมายให้คณะกรรมการ 7 คน เป็นผู้บริหารงาน ประกอบด้วยเจ้าหน้าที่ส่วนกลาง ตัวแทนจากคณะกรรมการโรงเรียนส่วนราชการท้องถิ่น และ State Executive Branch และบุคคลภายนอกอีก 3 คน รวมเป็น 7 คน คณะกรรมการเหล่านนี้ไม่มีความรู้เกี่ยวกับการบัญชี หรือการประมวลผลด้วยคอมพิวเตอร์ แต่อย่างไรก็ตาม ก่อนหน้าปี พ.ศ. 2520 สองคนในคณะกรรมการชุดนี้เป็นผู้สอบบัญชีรับอนุญาต

ถึงแม้จะผ่านมาเป็นเวลาถึง 32 ปี แต่ก็เป็นการทุจริตที่ Classic มากที่อาจจะเกิดขึ้นได้อีก โดยเฉพาะอย่างยิ่งประเทศที่มีการบริหารความเสี่ยงทางด้าน IT ไม่เหมาะสม และไม่ได้ดุลยภาพกับความสามารถของผู้ตรวจสอบในหลายองค์กร

คณะกรรมการมีหน้าที่รับผิดชอบเกี่ยวกับการบริหารงานประจำวัน ในปี 2520 ซึ่งเป็นปีที่มีการตรวจสอบ VSRS แบ่งองค์กรออกเป็น 4 แผนกใหญ่ ๆ (ตามรูปภาพที่ 1) ดังนี้

VIRGINIA SUPPLEMENTAL RETIREMENT SYSTEM (VSRS)

Computer Fraud and Forensic Audit

Computer Fraud and Forensic Audit

1. แผนก Investments มีหน้าที่ซื้อขายหุ้นและพันธบัตร แผนกนี้ไม่มีส่วนเกี่ยวข้องในการทุจริต
2. แผนก Operations มีหน้าที่รับผิดชอบหน่วยงานหลายหน่วย รวมทั้งหน่วยงานที่ให้บริการแก่สมาชิกกองทุน (Member and Offices Services) ซึ่งเป็นหน่วยงานต้นตอของการเกิดทุจริต
3. แผนก Data Processing มีผู้จัดการแผนกซึ่งทำหน้าที่ ทั้งวิเคราะห์ระบบงาน และเขียนโปรแกรม จนกระทั่งปี พ.ศ. 2520 จึงจ้างนักโปรแกรมผู้ช่วยมาหนึ่งคน นอกจากนั้นผู้จัดการแผนกยังต้องบังคับบัญชาพนักงานระดับเสมียนอีก 15 คน ซึ่งทำหน้าที่ Retirement Contribution Reporting, Remote Job Entire และ Data Control
4. แผนก Finance มีหัวหน้าแผนกและพนักงานบัญชีอีก 5 คน รับผิดชอบในการบันทึกรายการในบัญชีย่อยและบัญชีคุมยอดทั่วไป (Subsidiary and General Ledger)
VSRS ส่งข้อมูลเข้าไปประมวลผลในคอมพิวเตอร์โดยผ่านเครื่องรับส่งที่ตั้งอยู่ในสถานที่ทำงาน (RJE Station) ซึ่งห่างจากศูนย์กลางคอมพิวเตอร์ IBM 370/158 ประมาณ 2 ไมล์ และศูนย์คอมพิวเตอร์แห่งนี้ยังให้บริการแก่องค์การของรับอื่นอีก 28 แห่ง

เหตุการณ์ที่ก่อให้เกิดการทุจริต
เนื่องจากปริมาณธุรกิจของ VSRS เพิ่มขึ้นมากในช่วงระยะเวลา 10 ปี ทำให้ไม่สามารถบันทึกบัญชีด้วยมือต่อไปอีก VSRS จึงตัดสินใจที่จะนำคอมพิวเตอร์มาใช้ โดยมอบหมายให้องค์การของรัฐที่เรียกว่า Department of Automated Data Processing (ADP) เป็นผู้พัฒนาระบบ งานประมวลผลด้วยคอมพิวเตอร์ ADP เป็นหน่วยงานที่มีหน้าที่พัฒนาระบบงาน เขียนโปรแกรม และประมวลผลให้องค์กรของรัฐ ที่ไม่มีหน่วยงานคอมพิวเตอร์เป็นของตัวเอง

Fraud Audit Process and IT Auditor & Non - IT Auditor

Fraud Audit Process and IT Auditor & Non - IT Auditor

ในปี 2515 หลังจากที่พยายามพัฒนาระบบงานมาแล้ว 5 ปี ทั้ง VSRS และ ADP มีความเห็นพ้องตรงกันว่า โครงการที่ทำอยู่นี้ล้มเหลวโดยสิ้นเชิง ทั้งนี้เนื่องมาจากขาดการบริหารโครงการที่ดี และ VSRS มีความเห็นไม่ตรงกันกับ ADP เกี่ยวกับความต้องการชองระบบงาน (System Requirements) อย่างไรก็ตาม VSRS เริ่มใช้คอมพิวเตอร์เมื่อวันที่ 1 กรกฎาคม 2515 ทั้ง ๆ ที่ตรวจพบว่ายังมีข้อบกพร่องที่สำคัญ ๆ ในระบบอีก 26 แห่ง และเนื่องจาก VSRS ไม่มีพนักงานหรือผู้เชี่ยวชาญ ที่ดำเนินงานตามระบบงานใหม่นี้ได้ จึงต้องจ้างพนักงานของ ADP 3 คน ซึ่งรับผิดชอบโครงการนี้มาทำหน้าที่เป็นรองผู้อำนวยการ ผู้จัดการฝ่าย Operation และผู้จัดการฝ่ายประมวลผลของ VSRS โดยมอบหมายให้แต่ละคนรับผิดชอบเกี่ยวกับการอแก้ไขข้อบกพร่องและใช้ระบบงานใหม่นี้

บทบาทของผู้สอบบัญชี
VSRS ไม่มีหน่วยงานที่ทำหน้าที่ตรวจสอบภายในของตนเอง แต่อย่างไรก็ตามผู้สอบบัญชีรับอนุญาตจากรัฐ (Auditor of Public Accounts – ATA) ซึ่งมีหน้าที่ตรวจสอบฐานะการเงินขององค์การของรัฐใน Virginia ทำหน้าที่เป็นผู้ตรวจสอบการเงินของ VSRS แต่เนื่องจาก ATA ขาดกำลังจ้าหน้าที่ผู้ตรวจสอบจึงไม่สามารถตรวจสอบ VSRS อย่างสม่ำเสมอได้ ดังนั้นจึงทำการตรวจสอบในปีการเงินสิ้นสุด 30 มิถุนายน 2512 และ 2515 เท่านั้น

คณะผู้ตรวจสอบที่เข้าทำการตรวจสอบ VSRS ในปีการเงินสิ้นสุด 30 มิถุนายน 2520 พบว่าการตรวจสอบของปี 2515 ยังไม่สมบูรณ์การตรวจสอบเบื้องต้น (Preliminary work) ซึ่งเริ่มตั้งแต่เดือนมีนาคม 2520 ได้แก่ การตรวจสอบระบบการควบคุมทางด้านการบัญชี ทางด้านการประมวลผลด้วยคอมพิวเตอร์ (EDP) ผู้ตรวจสอบจะตรวจสอบและจัดทำงบการเงินสำหรับปีสิ้นสุด 30 มิถุนายน 2516,2517, 2518, 2519 และ 2520 แต่ไม่มีการตรวจสอบทางด้าน EDP ในระยะ 5 ปีที่ผ่านมาและไม่เคยแม้แต่จะตรวจสอบระบบการควบคุมภายในอย่างกว้าง ๆ เกี่ยวกับระบบงานด้านคอมพิวเตอร์ ซึ่งอาจเป็นสาเหตุหนึ่งที่ทำให้การตรวจสอบด้านการเงิน (Financial Examination) ได้ผลไม่สมบูรณ์และอาจตรวจพบกรณีการทุจริตที่เกิดขึ้นได้

การตรวจสอบเบื้องต้น (Preliminary Audit Review)
ผู้ตรวจสอบเข้าร่วมประชุมกับฝ่ายบริหารของ VSRS เพื่อชี้แจงเกี่ยวกับวิธีการตรวจสอบโดยทั่ว ๆ ไปและขอบเขตของการตรวจสอบผู้ที่ไม่ได้เข้าร่วมประชุมคือรองผู้อำนวยการ VSRS ซึ่งลาออกและย้ายไปอยู่ที่รัฐอื่น เรื่องที่สำคัญ ๆ ได้แก่
1. การสอบถามพนักงานของ VSRS และการศึกษาระบบงานจาก System Documentation
2. การจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems)

ระบบงานคอมพิวเตอร์ที่สำคัญ ๆ แบ่งออกเป็น 4 ระบบ คือ
1. Member Contribution Accord (MCA) System
2. Refund System
3. Retirement Annuitant Payroll System (RAPS)
4. Investment Portfolio According System

1. Member Contribution Accords (MCA) System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการนำส่งเงินของสมาชิก VSRS ซึ่งมีบัญชีอยู่ในแฟ้มข้อมูลทั้งสิ้น 315,000 บัญชี การค้นหาและเก็บข้อมูลในบัญชีใช้ระบบ ISAM (Indexed Sequential Access Method) ลักษณะของข้อมูลที่บรรจุอยู่ใน MCA Master File ปรากฏอยู่ในรูปภาพที่ 2

ในแต่ละปีจะมีรายการ (Transaction) เข้ามาในระบบงาน MCA มากกว่า 3,000,000 รายการ หรือเป็นจำนวนเงินที่รับเข้ามามากกว่า 100 ล้านเหรียญสหรัฐ การส่งเงินของสมาชิกแต่ละรายการกระทำโดยผ่านทางนายจ้าง นายจ้างจะหักเงินเดือนพนักงานซึ่งเป็นสมาชิกของ VSRS และนำส่งเช็ค ใบนำส่งเช็ค และรายชื่อสมาชิก และจำนวนเงินแต่ละราย (Contribution Report) ให้ VSRS

เมื่อ VSRS ได้รับเอกสารที่กล่าวเรียบร้อยแล้ว จะส่งเช็คและใบนำส่งเช็คไปให้แผนกบัญชี แผนกบัญชีจะออกใบรับฝากเงิน (Deposit Certificate) ให้ และนำเช็คไปฝากเข้าธนาคาร จากนั้นจะบันทึกรายการในสมุดบัญชีเงินสดรับ (Cash Receipts Ledger) และทำใบนำส่งเช็คไปเก็บเรื่องเข้าแฟ้มไว้เป็นหลักฐานสำหรับ Contribution Report จะถูกส่งไปยังแผนก Contribution Reporting Section

รายงาน Contribution Report ที่ส่งมาให้ VSRS โดยปกติจะแสดงเฉพาะสมาชิกรายที่มีการเปลี่ยนแปลงหรือเพิ่มขึ้นใหม่เท่านั้น (Exception Basis) ส่วนรายที่มิได้รายงานถือว่าคงเดิม ดังนั้นการบันทึกข้อมูลเข้าเก็บไว้ใน MCA master file จะยึดถือจำนวนเงินที่นำส่งครั้งก่อนเป็นหลัก แล้วปรับปรุงด้วยส่วนที่เปลี่ยนแปลง หรือเพิ่มเติมตามรายงานที่ฝากนายจ้างส่งมาให้ก่อน ที่จะสั่งให้คอมพิวเตอร์ Update บัญชีสมาชิกด้วยจำนวนเงินที่กล่าว VSRS จะให้คอมพิวเตอร์พิมพ์รายงานจำนวนเงินนำส่งรวมของนาจ้างแต่ละรายแล้วส่งไปให้แผนก Contribution Reporting Section เพื่อเปรียบเทียบกับจำนวนเงินในใบนำส่งเช็ค (Check Transmittal Form) เมื่อ Update เรียบร้อยแล้ว คอมพิวเตอร์จะออกรายงานส่งให้แผนก Contribution Reporting Section 3 ฉบับ คือ Posting Sheet Report, Possible Duplicate Accords Report และ Missing Membership Data Report

– Posting Sheet Report คือ รายงานที่แสดงจำนวนเงินรวมที่ Update ในบัญชีสมาชิก VSRS ของนายจ้างแต่ละราย หลังจากบันทึกจำนวนรวมดังกล่าวไว้ใน Control Book แล้วก็จะทิ้ง Posting Sheet Report ไป

– Possible Duplicate Accords Report คือ รายงานที่แสดงบัญชีสมาชิกที่มีชื่อและหมายเลขประกันสังคม (Social Security Number) รายงานนี้เป็นประโยชน์ในการค้นหาหมายเลขประกันสังคมที่นายจ้างรายงานมาผิดพลาด

– Missing Membership Data Report คือรายงานที่แสดงรายชื่อของสมาชิกที่ไม่มีบัญชีใน MCA Master File ทั้งนี้เนื่องจากนายจ้างไม่กรอกและส่งแบบฟอร์ม VSRS Membership Form (VSRS – 1) มาให้จึงทำให้ VSRS ระบุชื่อ อายุ เพศ วันที่เป็นสมาชิก และผู้รับผลประโยชน์ ส่งไปให้ VSRS เพื่อเปิดบัญชีสมาชิกใหม่ให้ VSRS จะเก็บ VSRS – 1 เรียงเข้าแฟ้มไว้ในห้องเก็บของ (Storeroom) ซึ่งมิได้ควบคุมการเข้าและออกในแผนก Membership and Office Service Section

สมาชิกที่ยังคงดำรงสภาพพนักงานอยู่ (Active Member) จะได้รับใบแจ้งยอดคงเหลือในบัญชี (Accord Statements) ปีละครั้งโดยมี VSRS จะส่งตรงไปให้นายจ้าง เพื่อแจกจ่ายให้พนักงานซึ่งเป็นสมาชิกต่อไป

เรื่องราวเกี่ยวกับการทุจริตกรณีนี้ยังมีต่อไปอีกค่อนข้างยาว เพราะมีการสอบสวน รวมทั้งการหาข้อมูลเพื่อสาวไปถึงจุดอ่อนและผู้ร่วมการทุจริต เพื่อหาแนวทางป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต

ก็คล้าย ๆ กับกรณีการทุจริตของธนาคาร Socgen เมื่อปี 2550 นะครับ เพราะผู้ทุจริตก็มาจากผู้เชี่ยวชาญทางด้าน IT เป็นผู้พัฒนาโปรแกรมที่เกี่ยวข้องกับระบบงานการทุจริต ซึ่งต่อมาด้วยความผิดพลาดของทางธนาคารที่ออกนโยบายเกี่ยวกับการคัดเลือกพนักงาน และการให้รางวัลที่มีผลตอบแทนจากกำไรในการดำเนินงาน ซึ่งตามมาด้วยช่องว่าง (Exposure) ที่ก่อให้เกิดการทุจริตตามมา เรื่องนี้สาเหตุหลักของการทุจริตก็คือ ความผิดพลาดทางด้านนโยบายของธนาคาร ซึ่งเป็น Root Cause ที่แท้จริง ซึ่งมีผลกระทบตามมาเป็นลูกโซ่ และจบลงด้วยการทุจริต หากมีโอกาสผมจะได้มาวิเคราะห์ในกรณี Socgen ในมุมมองของการบริหารและผู้ตรวจสอบต่อไป

สำหรับกรณีของ ธอส. หรือธนาคารธนชาต เอาไว้คุยกันวันหลังนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/คู่มือการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 25, 2009

วันนี้ ผมจะเล่าสู่กันฟังถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ดังที่ผมเคยกล่าวไว้ในครั้งก่อน ๆ แล้วว่าเป็นปัจจัยสำคัญหลักของ ERM – Enterprise Risk Management โดยเฉพาะอย่างยิ่ง กระบวนการบริหารความเสี่ยงและการควบคุมภายใน ในเรื่องของสภาพแวดล้อมภายในองค์กร (Internal Environment) ที่เป็นกระบวนการที่ให้ความสำคัญเป็นอันดับแรก

ผมอยากให้ท่านผู้บริหาร หรือท่านผู้อ่าน เห็นภาพของกระบวนการบริหารความเสี่ยงทั้ง 8 ประการที่กล่าวถึงนี้ว่า มีแนวทางในการบริหารความเสี่ยงและสามารถจะนำไปปฏิบัติได้อย่างไร ก่อนที่จะกล่าวถึงในรายละเอียดต่อไปครับ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

แนวทางการบริหารความเสี่ยงแบบบูรณาการ

สภาพแวดล้อมภายในองค์กร (Internal Environment)
ภาพแวดล้อมภายในองค์กรเป็นพื้นฐานสำหรับองค์ประกอบอื่น ๆ ของ ERM เพื่อใช้ในการกำหนดหลักเกณฑ์และโครงสร้าง สภาพแวดล้อมภายในมีผลต่อการประเมินและการดำเนินการในการกำหนดกลยุทธ์และวัตถุประสงค์ขององค์กร การกำหนดกิจกรรมทางธุรกิจ และการกระบุความเสี่ยง มีอิทธิพลต่อการออกแบบและการกำหนดหน้าที่ของกิจกรรม ในการควบคุมระบบข้อมูลข่าวสารและการสื่อสาร และกิจกรรมการติดตามดูแล ในทางตรงข้ามสภาพแวดล้อมภายในนั้นก็ได้รับอิทธิพลมาจากประวัติและวัฒนธรรมในอดีตขององค์กร

สภาพแวดล้อมภายในประกอบด้วยองค์ประกอบต่าง ๆ หลายประการ เช่น ค่านิยมทางจริยธรรม ศักยภาพและการพัฒนาของบุคลากร รูปแบบการจัดการของฝ่ายบริหารและวิธีการมอบหมายอำนาจหน้าที่และความรับผิดชอบ คณะกรรมการบริหารเองก็เป็นส่วนหนึ่งของการควบคุมภายในและมีความสำคัญเป็นอย่างมากในการกำหนดสภาพแวดล้อมการควบคุมภายใน แม้ว่าทุกองค์ประกอบจะมีความสำคัญแต่ในองค์กรที่แตกต่างกันก็จะให้ความสำคัญที่แตกต่างกันกันออกไป

สภาพแวดล้อมภายในองค์กร หมายถึงปัจจัยต่าง ๆ ซึ่งผู้บริหารต้องมีการกำหนดร่วมกันกับพนักงานในองค์กร ส่งผลให้มีการสร้างจิตสำนึก การตระหนักและรับรู้เรื่องความเสี่ยงและการควบคุมแก่พนักงานทุกคนในองค์กร และเป็นพื้นฐานที่สำคัญต่อส่วนประกอบของ ERM

สภาพแวดล้อมภายในองค์กรพิจารณาได้ดังนี้
1. ปรัชญาการบริหารความเสี่ยงขององค์กร
ปรัชญาการบริหารความเสี่ยงขององค์กร เป็นปรัชญาที่คนในองค์กรมีความเข้าใจตระหนักถึงและสามารถนำมาใช้ในการจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ ปรัชญาที่ว่าความเชื่อเกี่ยวกับความเสี่ยงและการเลือกวิธีจัดการกับความเสี่ยงขององค์กรทั่วไป จะสะท้อนให้เห็นค่านิยมที่องค์กรแสวงหาจาก ERM และมีอิทธิพลต่อวิธีการจัดการกับองค์ประกอบต่าง ๆ ของความเสี่ยงขององค์กร ทั้งนี้ ปรัชญาการบริหารความเสี่ยงขององค์กรทั่วไป จะต้องสะท้อนให้เห็นถึงนโยบายขององค์กรและมีการสื่อสารให้พนักงานทุกระดับเข้าใจและนำไปสู่การปฏิบัติได้จริง

2. ความเสี่ยงที่ยอมรับได้
ระดับหรือมูลค่าของความเสี่ยงที่องค์กรยอมรับ ฝ่ายบริหารและผู้ที่เกี่ยวข้องจะพิจารณาความเสี่ยงในเชิงคุณภาพในแต่ละประเภทว่าสูง ปานกลาง หรือต่ำ หรืออาจใช้วิธีการเชิงปริมาณเพื่อสะท้อนและสร้างความสมดุลของวัตถุประสงค์เพื่อการเติบโต ผลตอบแทนและความเสี่ยง

ความเสี่ยงที่ยอมรับได้จะต้องเกี่ยวเนื่องกับกลยุทธ์ขององค์กรโดยตรง โดยการนำไปใช้ในการกำหนดกลยุทธ์ ผลตอบแทนที่ต้องการได้รับจากกลยุทธ์ กลยุทธ์ที่ต่างกันจะทำให้องค์กรมีความเสี่ยงที่ต่างกัน ERM จึงถูกนำมาประยุกต์ใช้ในการกำหนดกลยุทธ์ ช่วยผู้บริหารในการเลือกกลยุทธ์เพื่อให้องค์กรมีความเสี่ยงที่ยอมรับได้

3. ความเสี่ยงทางด้านวัฒนธรรม
วัฒนธรรมด้านความเสี่ยงคือทัศนคติร่วมกันขององค์กร คุณค่าและแนวทางการปฏิบัติขององค์กรว่าองค์กรมีการพิจารณาความเสี่ยงแบบไหน ผู้บริหารองค์กรจะเป็นผู้ปรับให้วัฒนธรรมทางด้านความเสี่ยงขององค์กรไปในทิศทางเดียวกับปรัชญาการบริหารความเสี่ยงขององค์กรและความเสี่ยงที่ยอมรับได้

4. วัฒนธรรมย่อยด้านความเสี่ยง
แต่ละหน่วยธุรกิจหรือแต่ละหน่วยงานขององค์กร ความหมายต่างกัน สายงาน/ฝ่ายงานตามหน้าที่ และส่วนต่าง ๆ จะมีลักษณะงาน รวมทั้งวัฒนธรรมการบริหารความเสี่ยงที่แตกต่างกัน ผู้อำนวยการ/ผู้จัดการจึงต้องมีการเตรียมตัวในการเผชิญกับความเสี่ยงมากขึ้น เช่น สายงานหนึ่งอาจเน้นไปยังยอดขายโดยไม่ได้ระวังในเรื่องการปฏิบัติตามกฎเกณฑ์

ส่วนค่านิยมร่วมกันของสายงานอื่นอาจต้องการให้เน้นความสนใจเพื่อให้เกิดความแน่ใจว่ามีการการปฏิบัติตามหลักเกณฑ์ที่เกี่ยวข้อง วัฒนธรรมย่อย ๆ ที่แตกต่างกันนี้อาจส่งผลต่อองค์กรได้ แต่ถ้าสายงานเหล่านี้ทำงานร่วมกัน ส่งเสริมซึ่งกันและกัน วัฒนธรรมที่แตกต่างกันอาจสะท้อนออกมาเป็นความเสี่ยงที่องค์กรยอมรับได้และปรัชญาขององค์กร สำหรับองค์กรทั่วไป สายงานและฝ่ายงานต่าง ๆ ก็มีคุณลักษณะในการบรรลุเป้าหมายและการจัดการกับความเสี่ยงที่ต้องแตกต่างกันด้วย ดังนั้น ความเข้าใจในการบริหารความเสี่ยงในภาพรวมทั้งองค์กร และของแต่ละหน่วยงาน ซึ่งจะถ่ายทอดไปสู่แผนงานและโครงการต่าง ๆ เพื่อก้าวไปสู่เป้าประสงค์ และวิสัยทัศน์ จึงแตกต่างกัน

5. ความตระหนักถึงความเสี่ยงที่แท้จริง
องค์กรทั่วไปที่มีประวัติที่ไม่เคยได้รับความสูญเสียและไม่มีความเสี่ยงที่มีนัยสำคัญที่สังเกตเห็นได้ อาจเชื่อว่าจะมีโอกาสเกิดขึ้น ในขณะที่องค์กรอาจมีพนักงานที่มีความสามารถ มีกระบวนการที่มีประสิทธิผลและเทคโนโลยีที่น่าเชื่อถือได้ มีความหลากหลายของสภาพแวดล้อมภายในและภายนอก ซึ่งสิ่งต่าง ๆ เหล่านี้สามารถเปลี่ยนแปลงได้อย่างรวดเร็ว ฝ่ายบริหารควรตระหนักว่าการดำเนินการที่ดีนั้นย่อมเกิดความอ่อนแอได้ ความอ่อนแอในมิติต่าง ๆ เป็นเรื่องของความเสี่ยง ซึ่งทำให้การบรรลุเป้าหมายอาจเบี่ยงเบนไปได้

6. คณะกรรมการบริหาร
คณะกรรมการบริหารขององค์กร เป็นส่วนหนึ่งของสภาพแวดล้อมภายในที่สำคัญยิ่งและมีอิทธิพลต่อองค์ประกอบของสภาพแวดล้อมภายในอื่น ๆ อย่างมีนัยสำคัญ คณะกรรมการมีความเป็นอิสระจากฝ่ายบริหาร ประสบการณ์และภูมิความรู้ของพนักงาน ขอบเขตขององค์ประกอบและการพิจารณากิจกรรม และความเหมาะสมของการปฏิบัติการ

การบริหารความเสี่ยงขององค์กร ที่ได้ผลไม่อาจเกิดขึ้นได้หากคณะกรรมการบริหารและผู้บริหาร และพนักงานทุกคน มีความเข้าใจที่แตกต่างกันในเรื่องการบริหารเชิงรุกหรือการบริหารความเสี่ยงในภาพโดยรวมทั้งองค์กร

ปัจจุบันสำนักงานตรวจเงินแผ่นดิน (สตง.) และกระทรวงการคลังและหน่วยงานของรัฐ ได้กำหนดเกณฑ์ประเมินผลการบริหารความเสี่ยง IT Governance และการควบคุมภายใน รวมทั้งการตรวจสอบภายในตามฐานความเสี่ยงอย่างเป็นระบบ สำหรับรายงานการบริหารความเสี่ยงของ สตง. มีภาพโดยย่อของการรายงานดังนี้

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ตัวอย่าง การรายงานการบริหารความเสี่ยงและการควบคุมภายใน โดยใช้แนวทาง CSA ของ สตง.

ภาพสรุปโดยรวมในมุมมองของการวัดประสิทธิภาพการบริหารความเสี่ยงของกระทรวงการคลัง ดังนี้

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

การวัดระดับการบริหารความเสี่ยง ตามเกณฑ์ของกระทรวงการคลัง

องค์ประกอบของการพิจารณาการบริหารความเสี่ยงในเรื่องของสภาพแวดล้อมภายในองค์กร ยังมีอีกหลายหัวข้อที่ท่านผู้บริหารต้องพิจารณา ผมจะนำเสนอในโอกาสต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 20, 2009

หลังจากที่ผมได้นำเสนอเรื่องของ Healthcare IT Security ของคุณหมอสุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมากในปัจจุบันนี้ รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ ไปแล้วนั้น

วันนี้ ผมจะเล่าสู่กันฟังถึงเรื่องการนำ IT Governance เข้ามาสู่การประเมินศักยภาพการบริหารความเสี่ยงของรัฐวิสาหกิจ โดย สคร. ก. การคลัง เพราะ ITG เป็นส่วนหนึ่งของ CG หรือ Corporate Governance ที่แยกกันไม่ได้ และมีองค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อน CG และ ITG อย่างสำคัญ ก็คือ การบริหารความเสี่ยงตามกรอบของ COSO – ERM ซึ่งผมได้นำ Slide มาเสนอแล้วในครั้งที่ผ่านมา

Translating Vision and Strategy to Performance Measurement

Translating Vision and Strategy to Performance Measurement

เกณฑ์การประเมินการบริหารความเสี่ยง ระดับที่ 5 : การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4

2. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ
2.1 แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร
2.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด
2.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

3. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
3.1 คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจาก การลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น
3.2 คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

4. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร หรือ

การที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว