Information Technology Governance

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

This entry was posted on วันอังคารที่ 12 พฤษภาคม 2009 at 4:59 am and is filed under CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.