IT Governance กับ COSO – ERM

พฤษภาคม 12, 2009

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance กับ COSO – ERM

พฤษภาคม 12, 2009

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตและจุดอ่อนในระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง

พฤษภาคม 12, 2009

จากกรณีการทุจริตของ ธอส. ที่เป็นข่าวครึกโครมตลอดสัปดาห์ที่ผ่านมา ได้รับความสนใจจากวงการบริหารและการตรวจสอบของสถาบันการเงิน และผู้ที่เกี่ยวข้องเป็นอย่างมาก ผมจึงขอร่วมออกความเห็นในบางมุมมองที่เห็นว่าน่าจะเป็นประโยชน์ต่อการบริหารความเสี่ยง การควบคุม และการตรวจสอบในเชิงรุกบางประการ ดังนี้

1. ควรมีการทบทวนการควบคุมสภาพแวดล้อมโดยทั่วไป ตามหลักการของ COSO ข้อ 1. บางประการที่เกี่ยวข้องกับโครงสร้างขององค์กร เช่น องค์กรของท่านมีการจัดโครงสร้างที่มีผู้บริหารคนเดียวที่ดูแลสายงาน IT สายงานบัญชี สายงานทางการเงินหรือไม่ ถ้าเป็นเช่นนี้ พิจารณาในเบื้องต้นได้ว่า องค์กรของท่านมีความเสี่ยงเป็นอย่างยิ่ง เพราะผู้บริหารอาจดำเนินการโยกย้ายข้อมูลทางการบัญชีและข้อมูลทางการเงิน รวมทั้งทรัพย์สิน หนี้สิน ตลอดจนรายการและงบการเงินให้เป็นไปตามที่พึงประสงค์ได้โดยง่าย เป็นช่องเปิดของจุดอ่อน (Exposure) ในกระบวนการทำงานระดับบนที่จะสร้างจุดอ่อนในกระบวนการทำงานระดับกลาง และระดับล่างลงไปอย่างสำคัญยิ่ง และแน่นอน เป็นการเปิดโอกาสให้เกิดการทุจริตตามมาได้ในที่สุด… และผมจะอธิบายในเรื่องนี้โดยละเอียดในโอกาสต่อไป

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

2. หากผู้บริหารและผู้ตรวจสอบประเมินตนเองในลักษณะ CSA ปรากฎโครงสร้างขององค์กรตามข้อ 1. ก็สามารถให้ข้อสังเกต รวมทั้งทดสอบจุดอ่อนของกระบวนการทำงานกับกระบวนการบริหาร กระบวนการควบคุมและการตรวจสอบภายในตามฐานความเสี่ยง ตาม Scenario หรือตามจินตนาการของเหตุการณ์ที่อาจจะเกิดขึ้นจากจุดอ่อนของกระบวนการบริหาร ซึ่งตามมาด้วยการทุจริตได้เป็นอย่างดี โดยเริ่มต้นจากข้อมูลและสารสนเทศที่ไม่ถูกต้อง เชื่อถือไม่ได้ มีการบิดเบือนข้อมูลอย่างตั้งใจ และไม่ตั้งใจ ตามระบบที่เปิดของจุดอ่อนทางเทคโนโลยีสารสนเทศ (Technology) ที่จะตามมาด้วยจุดอ่อนของกระบวนการทำงานในรูปแบบต่าง ๆ (Process) และเมื่อมีพนักงานผู้ไม่หวังดี (People) หรือมีผู้ต้องการทุจริตก็จะเป็นสาเหตุหลัก (Root Cause) ของความเสี่ยงที่ตามมาด้วยการทุจริตในรูปแบบต่าง ๆ ได้ในที่สุด

เพราะการทุจริตมีสาเหตุหลัก ๆ เพียง 3 ประการ คือ ก) ระบบงานมีจุดอ่อน ข) มีผู้ที่ต้องการทุจริต และ ค) มีโอกาสที่จะทุจริตได้ เมื่อครบองค์ประกอบทั้ง 3 ประการก็คงเหลือเพียงเวลาที่จะทุจริตเท่านั้น

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

3. ในอดีตสถาบันการเงินหลายแห่งมีประสบการณ์เกี่ยวกับการโอนเงินลอยผ่านระบบ Online หรือฝากเงินโดยไม่มีเงินสดจริง ไปเข้าบัญชีของตนเอง หรือบัญชีอื่น ๆ ที่เปิดเตรียมไว้เพื่อการทุจริตที่สาขาต่าง ๆ ของสถาบันการเงิน และเมื่อมีโอกาสก็คีย์เงินฝากลอย ๆ ผ่านระบบเทอร์มินอลไปเข้าบัญชีที่เปิดเตรียมไว้เพื่อการทุจริตนั้น ได้เงินไปตั้งแต่ 10 ล้าน ถึง 30 ล้านบาทภายในวันเดียว และไปถอนเงินสดตามสาขาที่โอนเงินฝากไปภายในวันเดียวกันนั้น ซึ่งเรื่องนี้มีตัวอย่างที่ผมเคยเขียนไว้ในหนังสือการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 2 จาก 4 เล่ม ซึ่งหากมีโอกาสจะได้นำมาเล่าสู่กันฟังในรายละเอียดต่อไป

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

4. กรณีของธนาคาร ธอส. ซึ่งเป็นข่าวประเด็นร้อน เมื่อ 2 สัปดาห์ที่ผ่านมานี้ ก็เป็นเรื่องที่น่าสนใจที่ผมเข้าใจว่า น่าจะมีลักษณะของการทุจริตที่มีองค์ประกอบในหลักการไม่แตกต่างกันมากนัก แต่จะแตกต่างกันในลักษณะของการทุจริตที่ไม่ได้เกิดจากการคีย์เงินฝากลอย ๆ ตามที่กล่าวในข้อ 3. ดังที่เคยเกิดขึ้นในอดีตของหลายสถาบันการเงินมาแล้ว

กรณีของ ธอส. ตามที่เป็นข่าวน่าจะเกิดจากจุดอ่อนของระบบงานที่เกี่ยวข้องกับการจ่ายดอกเบี้ยผ่านบัญชี Suspense Account ของธนาคารที่ขาดดุลยภาพการควบคุมกระบวนการบริหารความเสี่ยงที่เหมาะสม ซึ่งหากวิเคราะห์ในรายละเอียดประกอบกับการตรวจสอบจริงในภาคปฏิบัติ ตั้งแต่การติดตามดูกระบวนการทำงาน ตั้งแต่ Conseptual Flow ดู Processing Flow ไปจนถึง Data Flow ประกอบกับการวิเคราะห์การควบคุม Activity Flow ร่วมไปกับการติดตามดูระเบียบ คำสั่ง การมอบหมายอำนาจและหน้าที่ในการปฏิบัติงานในแต่ละขั้นตอน ควบคู่กันไปกับระบบการควบคุมในแต่ละกิจกรรมอย่างละเอียด ทั้งการควบคุมทางด้าน Computer Control และ Manual Control และแบบผสมผสาน อีกทั้งควรจะต้องพิจารณาข้อยกเว้นของระบบการควบคุม ระบบการปฏิบัติ ตลอดจนถึงกระบวนการ Override หรือกระบวนการข้ามขั้นตอนการควบคุม เพื่อความสะดวกในการปฏิบัติงาน รวมทั้งสังเกตุการณ์การปฏิบัติงานจริงในการมอบหมายหน้าที่ระหว่างผู้ปฏิบัติงานกับผู้ควบคุม ซึ่งในแต่ละขั้นตอนดังกล่าวนี้ จะมีจุดอ่อนที่มีผลต่อการทุจริตได้ทั้งสิ้น

5. จุดอ่อนที่สำคัญยิ่งของสถาบันการเงินส่วนใหญ่ และองค์กรทั่ว ๆ ไป ก็คือ การขาดนโยบายที่ชัดเจน และเป็นรูปธรรมของคณะกรรมการและผู้บริหารที่เกี่ยวข้อง ในเรื่องกระบวนการควบคุมการจัดการกับความเสี่ยงของบัญชี Suspense Account และหรือบัญชี Sundry Account หรือบัญชีอื่น ๆ ที่สถาบันการเงินหรือองค์กรได้กำหนดไว้เป็นรหัสให้คอมพิวเตอร์เป็นผู้ดำเนินการ โดยขาดกระบวนการติดตาม ขาดกระบวนการบริหาร รวมทั้งการจัดทำรายงานความเคลื่อนไหวของบัญชีเหล่านี้ให้เป็นรูปธรรม สถาบันการเงินหลายแห่งมียอดเงินในบัญชีพัก หรือบัญชีในชื่ออื่นใดก็ตามเป็นยอดเงินที่สูงมาก หากใช้หลักการของการบริหารความเสี่ยงตามกรอบของ COSO – ERM ที่คณะกรรมการและผู้บริหารจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ คือ การกำหนด Risk Appetite และ Risk Tolerance ไว้ให้ชัดเจน อย่างกรณีบัญชี Suspense Account สถาบันการเงินก็ควรกำหนดนโยบายที่ชัดเจน และเป็นรูปธรรมว่า บัญชี Suspense Account นี้จะบันทึกบัญชีประเภทใดบ้าง มีวงเงินรวมและวงเงินแต่ละประเภทของบัญชีที่โอนเข้าบัญชีนี้เป็นเงินเท่าใด จะต้องมีรายละเอียดอะไรประกอบบัญชีแต่ละประเภท แต่ละกลุ่มภายใต้หัวข้อบัญชี Suspense Account หรือบัญชี Sundry Account และใครเป็นผู้ดูแล ใครเป็นผู้รับผิดชอบ โดยกำหนดกระบวนการควบคุมที่ฝังไว้ในระบบงาน (Embed) ซึ่งกระทำโดยการใช้ Code ที่เหมาะสม

6. ตามที่ผมได้กล่าวในข้อ 5. ข้างต้น ยังมีรายละเอียดหลายประการ และตัวอย่างอีกมากที่เป็นจุดรั่วไหลของในหลายองค์กร โดยเฉพาะอย่างยิ่ง ผู้ที่มีความรู้ทางด้านเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายให้เป็นผู้ดูแลที่ขาดความเข้าใจอย่างเป็นกระบวนการในการบริหารความเสี่ยงต่าง ๆ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่มีจุดอ่อนในระดับบน ซึ่งจะก่อให้เกิดความเสี่ยงในระดับรอง ๆ ลงมาอย่างหลีกเลี่ยงไม่ได้

ท่านผู้บริหารครับ ท่านเคยสนใจไหมครับว่า การเปลี่ยนแปลงกฎเกณฑ์ และระเบียบ รวมทั้งคำสั่งต่าง ๆ ที่เกี่ยวข้องกับการควบคุม การให้บริการใหม่ ๆ ผลิตภัณฑ์ใหม่ ๆ กระบวนการทำงานใหม่ ๆ ที่ปกติแล้วจะประกอบด้วย IT และ Non – IT นั้น จำเป็นอย่างยิ่งที่ต้องผ่านคณะกรรมการบริหารความเสี่ยง เพื่อประเมินถึงผลกระทบจากเหตุการณ์ใหม่ ๆ ที่เกิดขึ้น เรื่องนี้มีผู้บริหารระดับสูงของบางองค์กรได้อาศัยช่องว่างของกระบวนการบริหารความเสี่ยง ควบคู่กันไปกับการมีอำนาจควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน ระบบสินเชื่อ โดยการยักย้ายบัญชีสินทรัพย์เข้าไปไว้ในบัญชีพัก หรือ Suspense Account โดยเตรียมคำอธิบายไว้ล่วงหน้าหากมีการสอบถามจากผู้ที่เกี่ยวข้องไว้อย่างรัดกุม และเมื่อไม่มีคำถามจากผู้บริหารระดับสูง ประกอบกับผู้ตรวจสอบภายในยังขาดทักษะในการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งขาด Mind Map และขาดสัญชาตญาณในการตรวจสอบ (Audit Instinct) ในภาพโดยรวมของการตรวจสอบกับจุดอ่อนในกระบวนการจัดการ และระบบงาน รวมทั้งระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้อง ก็จะเกิดความเสียหายได้มากมายจากสินทรัพย์ หรือลูกหนี้ที่ล่องหนไปจากบัญชีขององค์กร โดยมีสาเหตุหลัก ๆ ที่เกิดจาก PPT ซึ่งก็คือ People Risk + Process Risk + Technology Risk ที่ผสมผสานกันไปกับจุดอ่อนของกระบวนการบริหาร Compliance Risk โดยเฉพาะอย่างยิ่งจากความเสี่ยงในระดับสูงสุดขององค์กรก็คือ สภาพแวดล้อมในการควบคุมขององค์กร ซึ่งอยู่ในระดับบนสุดของกระบวนการบริหารความเสี่ยง และจะขอกล่าวซ้ำอีกครั้งหนึ่ง ซึ่งสรุปสั้นได้ตามแผนภาพ ดังนี้

สภาวะแวดล้อมเพื่อการควบคุม

สภาวะแวดล้อมเพื่อการควบคุม

ประเด็นการตรวจสอบจุดอ่อนของระบบงานที่อาจจะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตขึ้นได้นั้น ผู้ที่พบหรือสังเกตรายการทางบัญชีที่ผิดปกติ อันเป็นที่มาของการทุจริตตามข่าว… ทำไมจึงมีที่มาจากองค์กรอื่นที่ไม่ได้เป็นต้นตอของการทุจริต ทำไมองค์กรของเราผู้ได้รับความเสียหายจากการทุจริต ไม่ทราบปัญหาการทุจริตที่เกิดขึ้นแล้ว และที่กำลังจะเกิดขึ้นต่อไป? การบริหารความเสี่ยงเป็นการบริหารเชิงรุก เป็นการป้องกันปัญหาก่อนที่จะเกิดความเสียหาย องค์กรของเราโดยคณะกรรมการมีการกำหนด Risk Appetite ที่เกิดจากการทุจริต รวมทั้ง Risk Appetite ที่มีผลกระทบถึงชื่อเสียง และความไว้วางใจขององค์กรของเราจาก Stakeholders ไว้อย่างไร มีการติดตามการบริหารความเสี่ยง การควบคุมความเสี่ยง การตรวจสอบตามฐานความเสี่ยงในเรื่องนี้ รวมทั้งการรายงานครั้งสุดท้ายเมื่อใด

ภาพโดยรวมของการตรวจสอบการทุจริต

ภาพโดยรวมของการตรวจสอบการทุจริต

สำหรับจุดอ่อนของระบบงานและกระบวนการทำงาน (Process Risk) รวมทั้ง System Risk ที่เกี่ยวข้องกับระบบบัญชีพัก หรือ Suspense Account ที่สัมพันธ์กับจุดอ่อนของวิธีการปฏิบัติ และจุดอ่อนของดุลยภาพการควบคุมความเสี่ยงที่เป็นช่องทางของการทุจริตจะได้นำมาแลกเปลี่ยนความเห็นกันในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตและจุดอ่อนในระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง

พฤษภาคม 12, 2009

จากกรณีการทุจริตของ ธอส. ที่เป็นข่าวครึกโครมตลอดสัปดาห์ที่ผ่านมา ได้รับความสนใจจากวงการบริหารและการตรวจสอบของสถาบันการเงิน และผู้ที่เกี่ยวข้องเป็นอย่างมาก ผมจึงขอร่วมออกความเห็นในบางมุมมองที่เห็นว่าน่าจะเป็นประโยชน์ต่อการบริหารความเสี่ยง การควบคุม และการตรวจสอบในเชิงรุกบางประการ ดังนี้

1. ควรมีการทบทวนการควบคุมสภาพแวดล้อมโดยทั่วไป ตามหลักการของ COSO ข้อ 1. บางประการที่เกี่ยวข้องกับโครงสร้างขององค์กร เช่น องค์กรของท่านมีการจัดโครงสร้างที่มีผู้บริหารคนเดียวที่ดูแลสายงาน IT สายงานบัญชี สายงานทางการเงินหรือไม่ ถ้าเป็นเช่นนี้ พิจารณาในเบื้องต้นได้ว่า องค์กรของท่านมีความเสี่ยงเป็นอย่างยิ่ง เพราะผู้บริหารอาจดำเนินการโยกย้ายข้อมูลทางการบัญชีและข้อมูลทางการเงิน รวมทั้งทรัพย์สิน หนี้สิน ตลอดจนรายการและงบการเงินให้เป็นไปตามที่พึงประสงค์ได้โดยง่าย เป็นช่องเปิดของจุดอ่อน (Exposure) ในกระบวนการทำงานระดับบนที่จะสร้างจุดอ่อนในกระบวนการทำงานระดับกลาง และระดับล่างลงไปอย่างสำคัญยิ่ง และแน่นอน เป็นการเปิดโอกาสให้เกิดการทุจริตตามมาได้ในที่สุด… และผมจะอธิบายในเรื่องนี้โดยละเอียดในโอกาสต่อไป

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

2. หากผู้บริหารและผู้ตรวจสอบประเมินตนเองในลักษณะ CSA ปรากฎโครงสร้างขององค์กรตามข้อ 1. ก็สามารถให้ข้อสังเกต รวมทั้งทดสอบจุดอ่อนของกระบวนการทำงานกับกระบวนการบริหาร กระบวนการควบคุมและการตรวจสอบภายในตามฐานความเสี่ยง ตาม Scenario หรือตามจินตนาการของเหตุการณ์ที่อาจจะเกิดขึ้นจากจุดอ่อนของกระบวนการบริหาร ซึ่งตามมาด้วยการทุจริตได้เป็นอย่างดี โดยเริ่มต้นจากข้อมูลและสารสนเทศที่ไม่ถูกต้อง เชื่อถือไม่ได้ มีการบิดเบือนข้อมูลอย่างตั้งใจ และไม่ตั้งใจ ตามระบบที่เปิดของจุดอ่อนทางเทคโนโลยีสารสนเทศ (Technology) ที่จะตามมาด้วยจุดอ่อนของกระบวนการทำงานในรูปแบบต่าง ๆ (Process) และเมื่อมีพนักงานผู้ไม่หวังดี (People) หรือมีผู้ต้องการทุจริตก็จะเป็นสาเหตุหลัก (Root Cause) ของความเสี่ยงที่ตามมาด้วยการทุจริตในรูปแบบต่าง ๆ ได้ในที่สุด

เพราะการทุจริตมีสาเหตุหลัก ๆ เพียง 3 ประการ คือ ก) ระบบงานมีจุดอ่อน ข) มีผู้ที่ต้องการทุจริต และ ค) มีโอกาสที่จะทุจริตได้ เมื่อครบองค์ประกอบทั้ง 3 ประการก็คงเหลือเพียงเวลาที่จะทุจริตเท่านั้น

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

3. ในอดีตสถาบันการเงินหลายแห่งมีประสบการณ์เกี่ยวกับการโอนเงินลอยผ่านระบบ Online หรือฝากเงินโดยไม่มีเงินสดจริง ไปเข้าบัญชีของตนเอง หรือบัญชีอื่น ๆ ที่เปิดเตรียมไว้เพื่อการทุจริตที่สาขาต่าง ๆ ของสถาบันการเงิน และเมื่อมีโอกาสก็คีย์เงินฝากลอย ๆ ผ่านระบบเทอร์มินอลไปเข้าบัญชีที่เปิดเตรียมไว้เพื่อการทุจริตนั้น ได้เงินไปตั้งแต่ 10 ล้าน ถึง 30 ล้านบาทภายในวันเดียว และไปถอนเงินสดตามสาขาที่โอนเงินฝากไปภายในวันเดียวกันนั้น ซึ่งเรื่องนี้มีตัวอย่างที่ผมเคยเขียนไว้ในหนังสือการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 2 จาก 4 เล่ม ซึ่งหากมีโอกาสจะได้นำมาเล่าสู่กันฟังในรายละเอียดต่อไป

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

4. กรณีของธนาคาร ธอส. ซึ่งเป็นข่าวประเด็นร้อน เมื่อ 2 สัปดาห์ที่ผ่านมานี้ ก็เป็นเรื่องที่น่าสนใจที่ผมเข้าใจว่า น่าจะมีลักษณะของการทุจริตที่มีองค์ประกอบในหลักการไม่แตกต่างกันมากนัก แต่จะแตกต่างกันในลักษณะของการทุจริตที่ไม่ได้เกิดจากการคีย์เงินฝากลอย ๆ ตามที่กล่าวในข้อ 3. ดังที่เคยเกิดขึ้นในอดีตของหลายสถาบันการเงินมาแล้ว

กรณีของ ธอส. ตามที่เป็นข่าวน่าจะเกิดจากจุดอ่อนของระบบงานที่เกี่ยวข้องกับการจ่ายดอกเบี้ยผ่านบัญชี Suspense Account ของธนาคารที่ขาดดุลยภาพการควบคุมกระบวนการบริหารความเสี่ยงที่เหมาะสม ซึ่งหากวิเคราะห์ในรายละเอียดประกอบกับการตรวจสอบจริงในภาคปฏิบัติ ตั้งแต่การติดตามดูกระบวนการทำงาน ตั้งแต่ Conseptual Flow ดู Processing Flow ไปจนถึง Data Flow ประกอบกับการวิเคราะห์การควบคุม Activity Flow ร่วมไปกับการติดตามดูระเบียบ คำสั่ง การมอบหมายอำนาจและหน้าที่ในการปฏิบัติงานในแต่ละขั้นตอน ควบคู่กันไปกับระบบการควบคุมในแต่ละกิจกรรมอย่างละเอียด ทั้งการควบคุมทางด้าน Computer Control และ Manual Control และแบบผสมผสาน อีกทั้งควรจะต้องพิจารณาข้อยกเว้นของระบบการควบคุม ระบบการปฏิบัติ ตลอดจนถึงกระบวนการ Override หรือกระบวนการข้ามขั้นตอนการควบคุม เพื่อความสะดวกในการปฏิบัติงาน รวมทั้งสังเกตุการณ์การปฏิบัติงานจริงในการมอบหมายหน้าที่ระหว่างผู้ปฏิบัติงานกับผู้ควบคุม ซึ่งในแต่ละขั้นตอนดังกล่าวนี้ จะมีจุดอ่อนที่มีผลต่อการทุจริตได้ทั้งสิ้น

5. จุดอ่อนที่สำคัญยิ่งของสถาบันการเงินส่วนใหญ่ และองค์กรทั่ว ๆ ไป ก็คือ การขาดนโยบายที่ชัดเจน และเป็นรูปธรรมของคณะกรรมการและผู้บริหารที่เกี่ยวข้อง ในเรื่องกระบวนการควบคุมการจัดการกับความเสี่ยงของบัญชี Suspense Account และหรือบัญชี Sundry Account หรือบัญชีอื่น ๆ ที่สถาบันการเงินหรือองค์กรได้กำหนดไว้เป็นรหัสให้คอมพิวเตอร์เป็นผู้ดำเนินการ โดยขาดกระบวนการติดตาม ขาดกระบวนการบริหาร รวมทั้งการจัดทำรายงานความเคลื่อนไหวของบัญชีเหล่านี้ให้เป็นรูปธรรม สถาบันการเงินหลายแห่งมียอดเงินในบัญชีพัก หรือบัญชีในชื่ออื่นใดก็ตามเป็นยอดเงินที่สูงมาก หากใช้หลักการของการบริหารความเสี่ยงตามกรอบของ COSO – ERM ที่คณะกรรมการและผู้บริหารจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ คือ การกำหนด Risk Appetite และ Risk Tolerance ไว้ให้ชัดเจน อย่างกรณีบัญชี Suspense Account สถาบันการเงินก็ควรกำหนดนโยบายที่ชัดเจน และเป็นรูปธรรมว่า บัญชี Suspense Account นี้จะบันทึกบัญชีประเภทใดบ้าง มีวงเงินรวมและวงเงินแต่ละประเภทของบัญชีที่โอนเข้าบัญชีนี้เป็นเงินเท่าใด จะต้องมีรายละเอียดอะไรประกอบบัญชีแต่ละประเภท แต่ละกลุ่มภายใต้หัวข้อบัญชี Suspense Account หรือบัญชี Sundry Account และใครเป็นผู้ดูแล ใครเป็นผู้รับผิดชอบ โดยกำหนดกระบวนการควบคุมที่ฝังไว้ในระบบงาน (Embed) ซึ่งกระทำโดยการใช้ Code ที่เหมาะสม

6. ตามที่ผมได้กล่าวในข้อ 5. ข้างต้น ยังมีรายละเอียดหลายประการ และตัวอย่างอีกมากที่เป็นจุดรั่วไหลของในหลายองค์กร โดยเฉพาะอย่างยิ่ง ผู้ที่มีความรู้ทางด้านเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายให้เป็นผู้ดูแลที่ขาดความเข้าใจอย่างเป็นกระบวนการในการบริหารความเสี่ยงต่าง ๆ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่มีจุดอ่อนในระดับบน ซึ่งจะก่อให้เกิดความเสี่ยงในระดับรอง ๆ ลงมาอย่างหลีกเลี่ยงไม่ได้

ท่านผู้บริหารครับ ท่านเคยสนใจไหมครับว่า การเปลี่ยนแปลงกฎเกณฑ์ และระเบียบ รวมทั้งคำสั่งต่าง ๆ ที่เกี่ยวข้องกับการควบคุม การให้บริการใหม่ ๆ ผลิตภัณฑ์ใหม่ ๆ กระบวนการทำงานใหม่ ๆ ที่ปกติแล้วจะประกอบด้วย IT และ Non – IT นั้น จำเป็นอย่างยิ่งที่ต้องผ่านคณะกรรมการบริหารความเสี่ยง เพื่อประเมินถึงผลกระทบจากเหตุการณ์ใหม่ ๆ ที่เกิดขึ้น เรื่องนี้มีผู้บริหารระดับสูงของบางองค์กรได้อาศัยช่องว่างของกระบวนการบริหารความเสี่ยง ควบคู่กันไปกับการมีอำนาจควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน ระบบสินเชื่อ โดยการยักย้ายบัญชีสินทรัพย์เข้าไปไว้ในบัญชีพัก หรือ Suspense Account โดยเตรียมคำอธิบายไว้ล่วงหน้าหากมีการสอบถามจากผู้ที่เกี่ยวข้องไว้อย่างรัดกุม และเมื่อไม่มีคำถามจากผู้บริหารระดับสูง ประกอบกับผู้ตรวจสอบภายในยังขาดทักษะในการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งขาด Mind Map และขาดสัญชาตญาณในการตรวจสอบ (Audit Instinct) ในภาพโดยรวมของการตรวจสอบกับจุดอ่อนในกระบวนการจัดการ และระบบงาน รวมทั้งระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้อง ก็จะเกิดความเสียหายได้มากมายจากสินทรัพย์ หรือลูกหนี้ที่ล่องหนไปจากบัญชีขององค์กร โดยมีสาเหตุหลัก ๆ ที่เกิดจาก PPT ซึ่งก็คือ People Risk + Process Risk + Technology Risk ที่ผสมผสานกันไปกับจุดอ่อนของกระบวนการบริหาร Compliance Risk โดยเฉพาะอย่างยิ่งจากความเสี่ยงในระดับสูงสุดขององค์กรก็คือ สภาพแวดล้อมในการควบคุมขององค์กร ซึ่งอยู่ในระดับบนสุดของกระบวนการบริหารความเสี่ยง และจะขอกล่าวซ้ำอีกครั้งหนึ่ง ซึ่งสรุปสั้นได้ตามแผนภาพ ดังนี้

สภาวะแวดล้อมเพื่อการควบคุม

สภาวะแวดล้อมเพื่อการควบคุม

ประเด็นการตรวจสอบจุดอ่อนของระบบงานที่อาจจะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตขึ้นได้นั้น ผู้ที่พบหรือสังเกตรายการทางบัญชีที่ผิดปกติ อันเป็นที่มาของการทุจริตตามข่าว… ทำไมจึงมีที่มาจากองค์กรอื่นที่ไม่ได้เป็นต้นตอของการทุจริต ทำไมองค์กรของเราผู้ได้รับความเสียหายจากการทุจริต ไม่ทราบปัญหาการทุจริตที่เกิดขึ้นแล้ว และที่กำลังจะเกิดขึ้นต่อไป? การบริหารความเสี่ยงเป็นการบริหารเชิงรุก เป็นการป้องกันปัญหาก่อนที่จะเกิดความเสียหาย องค์กรของเราโดยคณะกรรมการมีการกำหนด Risk Appetite ที่เกิดจากการทุจริต รวมทั้ง Risk Appetite ที่มีผลกระทบถึงชื่อเสียง และความไว้วางใจขององค์กรของเราจาก Stakeholders ไว้อย่างไร มีการติดตามการบริหารความเสี่ยง การควบคุมความเสี่ยง การตรวจสอบตามฐานความเสี่ยงในเรื่องนี้ รวมทั้งการรายงานครั้งสุดท้ายเมื่อใด

ภาพโดยรวมของการตรวจสอบการทุจริต

ภาพโดยรวมของการตรวจสอบการทุจริต

สำหรับจุดอ่อนของระบบงานและกระบวนการทำงาน (Process Risk) รวมทั้ง System Risk ที่เกี่ยวข้องกับระบบบัญชีพัก หรือ Suspense Account ที่สัมพันธ์กับจุดอ่อนของวิธีการปฏิบัติ และจุดอ่อนของดุลยภาพการควบคุมความเสี่ยงที่เป็นช่องทางของการทุจริตจะได้นำมาแลกเปลี่ยนความเห็นกันในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn