ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 20, 2009

หลังจากที่ผมได้นำเสนอเรื่องของ Healthcare IT Security ของคุณหมอสุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมากในปัจจุบันนี้ รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ ไปแล้วนั้น

วันนี้ ผมจะเล่าสู่กันฟังถึงเรื่องการนำ IT Governance เข้ามาสู่การประเมินศักยภาพการบริหารความเสี่ยงของรัฐวิสาหกิจ โดย สคร. ก. การคลัง เพราะ ITG เป็นส่วนหนึ่งของ CG หรือ Corporate Governance ที่แยกกันไม่ได้ และมีองค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อน CG และ ITG อย่างสำคัญ ก็คือ การบริหารความเสี่ยงตามกรอบของ COSO – ERM ซึ่งผมได้นำ Slide มาเสนอแล้วในครั้งที่ผ่านมา

Translating Vision and Strategy to Performance Measurement

Translating Vision and Strategy to Performance Measurement

เกณฑ์การประเมินการบริหารความเสี่ยง ระดับที่ 5 : การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4

2. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ
2.1 แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร
2.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด
2.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

3. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
3.1 คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจาก การลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น
3.2 คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

4. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร หรือ

การที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทบาทของ Non-IT Auditors & IT Auditors กับ การทุจริต และการประสานงานการตรวจสอบร่วมกันอย่างเป็นระบบ

พ.ค. 20, 2009

ITG & IT Audit + Fraud InvestigationITG & IT Audit + Fraud Investigation

วันนี้ผมขอคุยกันในเรื่องที่ยังเป็น Hot issue อยู่ในวงการสถาบันการเงิน การตรวจสอบ การประชุมของคณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ++ ในหลายๆองค์กร ถึงเรื่องการทุจริตที่ ธอส และผลที่ติดตามมา ในหลายๆแง่มุม และเช้าวันนี้เช่นกัน ผมได้ดูทีวีพบข่าวเกี่ยวกับเรื่องการทุจริตบัญชีเงินฝากของลูกค้าหลายรายที่ธนาคารธนชาต สาขาอุบลราชธานี เป็นเงินเบื้องต้นประมาณ 20 ล้านบาท ก็เลยนำข้อคิดในเรื่องเกี่ยวกับบทบาทของ Non – IT Auditors กับ IT Auditors รวมทั้งการประสานงานบางมุมมองมาเล่าสู่กันฟัง ดังนี้ครับ

ITG & IT Audit + Fraud Investigation and IT Understanding

ITG & IT Audit + Fraud Investigation and IT Understanding

ส่วนใหญ่ มักตั้งเป็นคำถาม และคำถามๆ ที่มีข้อมูลและข้อเท็จจริงค่อนข้างจำกัด รวมทั้งตัวผมเองด้วยนะครับ เรื่องนี้คงได้พูดคุยและวิจารณ์กันได้หลายแง่มุมไปอีกนานทีเดียว เก็บไว้ค่อยๆคุยกันอย่างสร้างสรรเพื่อสร้างคุณค่าเพิ่มต่อกัน และแน่นอนครับว่าเรื่องนี้จะเป็น Lesson-Learned ที่ดี ในหลายมุมมอง ทั้งด้านการตรวจสอบ IT & Non-IT ++ โดยเฉพาะอย่างยิ่งมุมมองของ การบริหารความเสี่ยงระดับองค์กร หรือ COSO-Enterprise Risk Management

วันนี้ เรามาคุยกันในหัวข้อที่ว่า Non-IT Auditors
จะตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้อย่างไร ? จะมีกระบวนการตรวจสอบ ที่เริ่มจาก การกำหนดขอบเขต และการวางแผนการตรวจสอบกันอย่างไร ? ในมุมมองของการตรวจสอบแบบค้นหาการทุจริต การติดตามการทุจริต การหาหลักฐานการตรวจสอบการทุจริต การจัดทำรายงาน++

บางท่านเริ่มคำถามว่า เราจะตรวจสอบได้อย่างไรในเมื่อกระบวนการทำงาของระบบงานได้รับการประมวลผลด้วย IT Process+Technology+Manual ระดับหนึ้ง
และคำถามอีกมากมาย++

โปรดดูภาพข้างต้น และโปรดใช้ดุลยพินิจของท่าน ผสมผสานกับหลักการตรวจสอบตามฐานความเสี่ยงทั้งทางด้าน IT & Non-IT++รวมทั้งมาตรฐานการตรวจสอบที่เกี่ยวข้อง++ ท่านจะได้รับคำตอบที่น่าสนใจอย่างยิ่ง ของจุดอ่อน และส่วนที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตที่คาดไม่ถึงครับ

ไว้คุยกันในตอนต่อๆไปนะครับ ผมเพียงให้ท่านที่สนใจพิจารณาว่า ความเข้าใจในการประมวลผลข้อมูล การใช้ข้อมูลและสารสนเทศเพื่อการกำกับ เพือการบริหาร เพื่อการตรวจสอบ นั้นมีความสำคัญเพียงใด โดยเฉพาะจาก Lesson-Learned ทั้งในประเทศและต่างประเทศครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทบาทของ Non-IT Auditors & IT Auditors กับ การทุจริต และการประสานงานการตรวจสอบร่วมกันอย่างเป็นระบบ

พ.ค. 20, 2009

ITG & IT Audit + Fraud InvestigationITG & IT Audit + Fraud Investigation

วันนี้ผมขอคุยกันในเรื่องที่ยังเป็น Hot issue อยู่ในวงการสถาบันการเงิน การตรวจสอบ การประชุมของคณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ++ ในหลายๆองค์กร ถึงเรื่องการทุจริตที่ ธอส และผลที่ติดตามมา ในหลายๆแง่มุม และเช้าวันนี้เช่นกัน ผมได้ดูทีวีพบข่าวเกี่ยวกับเรื่องการทุจริตบัญชีเงินฝากของลูกค้าหลายรายที่ธนาคารธนชาต สาขาอุบลราชธานี เป็นเงินเบื้องต้นประมาณ 20 ล้านบาท ก็เลยนำข้อคิดในเรื่องเกี่ยวกับบทบาทของ Non – IT Auditors กับ IT Auditors รวมทั้งการประสานงานบางมุมมองมาเล่าสู่กันฟัง ดังนี้ครับ

ITG & IT Audit + Fraud Investigation and IT Understanding

ITG & IT Audit + Fraud Investigation and IT Understanding

ส่วนใหญ่ มักตั้งเป็นคำถาม และคำถามๆ ที่มีข้อมูลและข้อเท็จจริงค่อนข้างจำกัด รวมทั้งตัวผมเองด้วยนะครับ เรื่องนี้คงได้พูดคุยและวิจารณ์กันได้หลายแง่มุมไปอีกนานทีเดียว เก็บไว้ค่อยๆคุยกันอย่างสร้างสรรเพื่อสร้างคุณค่าเพิ่มต่อกัน และแน่นอนครับว่าเรื่องนี้จะเป็น Lesson-Learned ที่ดี ในหลายมุมมอง ทั้งด้านการตรวจสอบ IT & Non-IT ++ โดยเฉพาะอย่างยิ่งมุมมองของ การบริหารความเสี่ยงระดับองค์กร หรือ COSO-Enterprise Risk Management

วันนี้ เรามาคุยกันในหัวข้อที่ว่า Non-IT Auditors
จะตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้อย่างไร ? จะมีกระบวนการตรวจสอบ ที่เริ่มจาก การกำหนดขอบเขต และการวางแผนการตรวจสอบกันอย่างไร ? ในมุมมองของการตรวจสอบแบบค้นหาการทุจริต การติดตามการทุจริต การหาหลักฐานการตรวจสอบการทุจริต การจัดทำรายงาน++

บางท่านเริ่มคำถามว่า เราจะตรวจสอบได้อย่างไรในเมื่อกระบวนการทำงาของระบบงานได้รับการประมวลผลด้วย IT Process+Technology+Manual ระดับหนึ้ง
และคำถามอีกมากมาย++

โปรดดูภาพข้างต้น และโปรดใช้ดุลยพินิจของท่าน ผสมผสานกับหลักการตรวจสอบตามฐานความเสี่ยงทั้งทางด้าน IT & Non-IT++รวมทั้งมาตรฐานการตรวจสอบที่เกี่ยวข้อง++ ท่านจะได้รับคำตอบที่น่าสนใจอย่างยิ่ง ของจุดอ่อน และส่วนที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตที่คาดไม่ถึงครับ

ไว้คุยกันในตอนต่อๆไปนะครับ ผมเพียงให้ท่านที่สนใจพิจารณาว่า ความเข้าใจในการประมวลผลข้อมูล การใช้ข้อมูลและสารสนเทศเพื่อการกำกับ เพือการบริหาร เพื่อการตรวจสอบ นั้นมีความสำคัญเพียงใด โดยเฉพาะจาก Lesson-Learned ทั้งในประเทศและต่างประเทศครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 20, 2009

หลังจากที่ผมได้กล่าวถึงแนวความคิด และภาพรวมของการบริหารจัดการความเสี่ยง ก็เพื่อให้ท่านผู้อ่านได้ทำความเข้าใจถึงความเป็นมาเป็นไป และความสำคัญของการบริหารจัดการกับความเสี่ยง ซึ่งได้นำเสนอไปในครั้งที่ผ่าน ๆ มา แล้ว

จากนี้ไป ผมจะขอเข้าสู่เนื้อหาหลักที่สำคัญของการบริหารความเสี่ยงทั่วทั้งองค์กร นั่นก็คือกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ซึ่งจะได้นำเสนอในรายละเอียดอย่างเป็นกระบวนการ เป็นขั้นเป็นตอนในโอกาสต่อ ๆ ไปครับ

ความมีประสิทธิผลในการบริหารความเสี่ยงทั่วทั้งองค์กร
ในขณะที่ ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร เป็นกระบวนการ ดังนั้นความมีประสิทธิผลของ ERM จึงขึ้นอยู่กับเงื่อนไขในแต่ละช่วงเวลา และขึ้นอยู่กับผลของการประเมินจากองค์ประกอบ 8 ประการ

การทำ ERM จะบรรลุผลสำเร็จต้องพิจารณาองค์ประกอบทั้ง 8 ประการ และมีการระบุหน้าที่ที่เกี่ยวข้อง แต่ไม่ได้หมายความว่าจะต้องระบุหน้าที่ในแต่ละองค์ประกอบหรือแม่แต่ในระดับเดียวกัน และอาจมีการสับเปลี่ยนระหว่างองค์ประกอบต่าง ๆ เนื่องจากเทคนิคด้าน ERM สามารถแก้ปัญหาในวัตถุประสงค์ที่หลากหลาย การตอบสนองความเสี่ยงจะมีระดับที่แตกต่างกันขึ้นอยู่กับการกำหนดความเสี่ยง

แนวคิดที่กล่าวถึงในที่นี้สามารถประยุกต์ใช้ได้ทั่วทั้งองค์กร แต่สำหรับองค์กรที่มีขนาดเล็กกว่า วิธีการสำหรับแต่ละองค์ประกอบควรมีลักษณะที่เป็นทางการและมีความเป็นโครงสร้างให้น้อยที่สุด

การควบคุมภายใน
การควบคุมภายในก็เป็นอีกส่วนประกอบหนึ่งที่สำคัญของ ERM โดยกรอบแนวคิด ERM เน้นในเรื่องการควบคุมภายใน การจัดรูปแบบแนวคิดที่เข้มแข็งมากขึ้นและเป็นเครื่องมือในการบริหาร การควบคุมภายในถูกให้ความหมายและให้คำอธิบายในกรอบแนวคิดเชิงบูรณาการเรื่องการควบคุมภายใน

การควบคุมภายในได้รับการออกแบบเพื่อให้ความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร เพื่อให้เกิดประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ความน่าเชื่อถือของรายงานทางการเงิน และการปฏิบัติตามกฎ ระเบียบที่เกี่ยวข้อง

เนื่องจาก ERM เป็นส่วนหนึ่งของกระบวนการบริหาร องค์ประกอบของกรอบแนวคิด ERM ได้ถูกอธิบายในเนื้อหาที่ว่าฝ่ายบริหารจะสามารถดำเนินธุรกิจไปได้อย่างไร สิ่งที่คณะกรรมการและผู้บริหารจัดการเกี่ยวกับการบริหารองค์กรไม่ใช่ ERM ในทุกเรื่อง แต่ ERM เป็นส่วนหนึ่งของกิจกรรมด้านการบริหารทั่วไป ซึ่งอธิบายโดยย่อได้ดังนี้

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

จากตารางต่อไปนี้เป็นการแสดงรายการของสิ่งที่ฝ่ายบริหารปฏิบัติและสิ่งที่เป็นส่วนหนึ่งของ การบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

ครั้งหน้า ผมจะพูดถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงอันดับแรก จาก ERM ทั้ง 8 ประการ ตามหลักเกณฑ์ของ COSO ใหม่ครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 20, 2009

หลังจากที่ผมได้กล่าวถึงแนวความคิด และภาพรวมของการบริหารจัดการความเสี่ยง ก็เพื่อให้ท่านผู้อ่านได้ทำความเข้าใจถึงความเป็นมาเป็นไป และความสำคัญของการบริหารจัดการกับความเสี่ยง ซึ่งได้นำเสนอไปในครั้งที่ผ่าน ๆ มา แล้ว

จากนี้ไป ผมจะขอเข้าสู่เนื้อหาหลักที่สำคัญของการบริหารความเสี่ยงทั่วทั้งองค์กร นั่นก็คือกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ทั้ง 8 ประการ ตามเกณฑ์ของ COSO ใหม่ ซึ่งจะได้นำเสนอในรายละเอียดอย่างเป็นกระบวนการ เป็นขั้นเป็นตอนในโอกาสต่อ ๆ ไปครับ

ความมีประสิทธิผลในการบริหารความเสี่ยงทั่วทั้งองค์กร
ในขณะที่ ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร เป็นกระบวนการ ดังนั้นความมีประสิทธิผลของ ERM จึงขึ้นอยู่กับเงื่อนไขในแต่ละช่วงเวลา และขึ้นอยู่กับผลของการประเมินจากองค์ประกอบ 8 ประการ

การทำ ERM จะบรรลุผลสำเร็จต้องพิจารณาองค์ประกอบทั้ง 8 ประการ และมีการระบุหน้าที่ที่เกี่ยวข้อง แต่ไม่ได้หมายความว่าจะต้องระบุหน้าที่ในแต่ละองค์ประกอบหรือแม่แต่ในระดับเดียวกัน และอาจมีการสับเปลี่ยนระหว่างองค์ประกอบต่าง ๆ เนื่องจากเทคนิคด้าน ERM สามารถแก้ปัญหาในวัตถุประสงค์ที่หลากหลาย การตอบสนองความเสี่ยงจะมีระดับที่แตกต่างกันขึ้นอยู่กับการกำหนดความเสี่ยง

แนวคิดที่กล่าวถึงในที่นี้สามารถประยุกต์ใช้ได้ทั่วทั้งองค์กร แต่สำหรับองค์กรที่มีขนาดเล็กกว่า วิธีการสำหรับแต่ละองค์ประกอบควรมีลักษณะที่เป็นทางการและมีความเป็นโครงสร้างให้น้อยที่สุด

การควบคุมภายใน
การควบคุมภายในก็เป็นอีกส่วนประกอบหนึ่งที่สำคัญของ ERM โดยกรอบแนวคิด ERM เน้นในเรื่องการควบคุมภายใน การจัดรูปแบบแนวคิดที่เข้มแข็งมากขึ้นและเป็นเครื่องมือในการบริหาร การควบคุมภายในถูกให้ความหมายและให้คำอธิบายในกรอบแนวคิดเชิงบูรณาการเรื่องการควบคุมภายใน

การควบคุมภายในได้รับการออกแบบเพื่อให้ความมั่นใจในการบรรลุวัตถุประสงค์ขององค์กร เพื่อให้เกิดประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ความน่าเชื่อถือของรายงานทางการเงิน และการปฏิบัติตามกฎ ระเบียบที่เกี่ยวข้อง

เนื่องจาก ERM เป็นส่วนหนึ่งของกระบวนการบริหาร องค์ประกอบของกรอบแนวคิด ERM ได้ถูกอธิบายในเนื้อหาที่ว่าฝ่ายบริหารจะสามารถดำเนินธุรกิจไปได้อย่างไร สิ่งที่คณะกรรมการและผู้บริหารจัดการเกี่ยวกับการบริหารองค์กรไม่ใช่ ERM ในทุกเรื่อง แต่ ERM เป็นส่วนหนึ่งของกิจกรรมด้านการบริหารทั่วไป ซึ่งอธิบายโดยย่อได้ดังนี้

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

การบริหารความเสี่ยงขององค์กร เพื่อให้มีการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร

จากตารางต่อไปนี้เป็นการแสดงรายการของสิ่งที่ฝ่ายบริหารปฏิบัติและสิ่งที่เป็นส่วนหนึ่งของ การบริหารความเสี่ยงทั่วทั้งองค์กร หรือ ERM

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

กิจกรรมด้านการบริหารความเสี่ยงและกิจกรรมด้านการบริหารทั่วไปที่ผู้บริหารต้องปฏิบัติ

ครั้งหน้า ผมจะพูดถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) ซึ่งเป็นหนึ่งในกระบวนการบริหารความเสี่ยงอันดับแรก จาก ERM ทั้ง 8 ประการ ตามหลักเกณฑ์ของ COSO ใหม่ครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 15, 2009
Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 15, 2009
Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตในจุดอ่อนระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง (ต่อ)

พ.ค. 15, 2009

จนถึงปัจจุบัน ผู้กำกับหน่วยงานของ ธอส. ที่เกี่ยวข้องกับการทุจริตและเกิดผลเสียหายประมาณ 400 ล้านบาท ยังเป็นที่สนใจของบุคคลที่เกี่ยวข้องว่า หน่วยงานของรัฐแห่งนี้มีการบริหารงานที่ดี โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง อันเป็นที่ยอมรับได้ระดับหนึ่งนั้น เกิดการทุจริตเช่นนี้ขึ้นได้อย่างไร เหตุใดผู้ทุจริตจึงสามารถกระทำการทุจริตได้โดยใช้เวลาอันยาวนาน และผู้บริหาร ผู้ตรวจสอบ รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยงไม่สามารถ Mornitor หรือติดตามความเสี่ยงที่เกิดจาก Operation Risk ที่เกี่ยวข้องกับ People, Process และ Technology รวมทั้ง Compliance Risk ที่เกี่ยวข้องกับการปฏิบัติตามระเบียบและกฎเกณฑ์ของหน่วยงานและผู้กำกับที่เกี่ยวข้อง

Value Creation for Effectiveness & Efficiency of Operations

Value Creation for Effectiveness & Efficiency of Operations

สำหรับส่วนตัวของผม ผมยังมีความเข้าใจและมั่นใจว่า ธอส. ยังมีกระบวนการบริหารและการจัดการที่ดีอยู่ เพียงยังอาจปรับปรุงกระบวนการบริหารความเสี่ยงบางมุมมอง โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับกระบวนการทบทวนการบริหาร การควบคุมความเสี่ยงของระบบงานที่เกี่ยวข้องกับ Business Process ไปสู่ Business Objective ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ที่รวมทั้งเรื่อง ISO 27001 และ COBIT ตามหลักการของ IT Governance ที่มีผลเกี่ยวข้องกับ Corporate Governance ซึ่งเชื่อมโยงกับการบริหารความเสี่ยงตามหลักการของ COSO – ERM การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

วันนี้ ผมจึงขอออกความเห็นเบื้องต้นที่ยังขาดข้อมูลและข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้นอยู่มาก แต่จะขออธิบายภาพโดยรวม ถึงสิ่งที่หน่วยงานที่เกี่ยวข้องอาจใช้ประสบการณ์เกี่ยวกับกระบวนการบริหารความเสี่ยง การควบคุมความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ การวิเคราะห์ Business Process การวิเคราะห์ Business Model บางประการ ดังนี้

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

ผมขอให้ข้อสังเกตผ่านแผนภาพเป็นสำคัญ แทนการใช้คำอธิบายที่อาจจะน่าเบื่อสำหรับบางท่าน ขอให้ท่านที่สนใจอ่านและทบทวนกระบวนการดำเนินการตามภาพข้างต้น แล้วซักถามผู้ที่เกี่ยวข้องอย่างเป็นระบบและเป็นกระบวนการตามขั้นตอนที่เหมาะสมให้เป็นไปตามแนวทางของ COSO – ERM คำตอบที่ได้รับในประเด็นที่น่าสนใจนำกลับมาตั้งคำถามใหม่ เพื่อให้คำตอบตรงกับเป้าประสงค์ของผู้ถาม ซึ่งต้องมีความรอบรู้และมีประสบการณ์บริหารอย่างเป็นกระบวนการที่แท้จริง ทั้งทางด้าน IT และ Non – IT

ครั้งต่อไป ผมจะพยายามสร้าง Scenario เพื่อซักถามเป็นตุ๊กตาต้นแบบ เพื่อก้าวเข้าไปหาหรือเพื่อการวิเคราะห์ต้นเหตุหรือสาเหตุ (Root Cause) ของจุดอ่อนของกระบวนการทำงาน (Business Process) รวมไปถึงเทคโนโลยี (Technology) ที่เกี่ยวข้องและแน่นอนว่า จะสัมพันธ์กับบุคลากร (People) ที่จะมีรายการสัมพันธ์กัน เชื่อมโยงกันในกระบวนการที่เป็นจุดอ่อนที่เกิดขึ้น รวมไปถึงการก้าวไปสู่ผู้ที่น่าจะเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นได้

Functional Perspectives & Competency to drive IT Security + Successful Business

Functional Perspectives & Competency to drive IT Security + Successful Business

ก่อนจะจบการให้ข้อสังเกตในวันนี้ ผมใคร่ขอจะกล่าวสั้น ๆ เพียงว่า ศักยภาพของผู้ตรวจสอบ ผู้บริหารความเสี่ยงในระดับต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจถึงเรื่อง Risk Convergence ซึ่งส่วนใหญ่จะเกี่ยวข้องกับทางด้าน IT Governance และ IT Management เพื่อลดความเสี่ยงในการบริหารและการตรวจสอบ (Risk Management & Audit Risk) ที่เกี่ยวข้องกับ
– Poor Security & Reporting
– Poor Management Control ที่เกี่ยวข้องกับการบริหารองค์ประกอบของสารสนเทศที่ดี 7 ประการ ตามที่เคยกล่าวไปแล้ว รวมทั้งรายงานที่เกี่ยวข้อง
– Poor Financial Transparency โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับ IT Investments รวมทั้งการกำกับและการบริหารที่ผิดทิศทาง ไม่เป็นไปตามหลักการของกระบวนการบริหารทางด้าน ITG – COBIT และ IT Security ที่ดี
– Fraud ซึ่งเป็นการทุจริตส่วนใหญ่ที่เกิดขึ้นภายในองค์กร โดยบุคลากรขององค์กรนั้นเองเป็นสำคัญ ที่ไม่เข้าใจ Business Process ในการก้าวไปสู่ Business Objective ที่เกี่ยวข้องกับ Internal Control ซึ่งสัมพันธ์กับ Risk Management และ Internal Audit – Risk – Based และ Audit Instinct หรือสัญชาตญาณในการตรวจสอบ หรือศัยกภาพในการตรวจสอบ ที่จะครอบคลุมและผสมผสานระหว่าง IT Audit และ Non – IT Audit โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบทางด้าน Non – IT ที่อาจจะไม่สนใจผลกระทบหรือ Impact ของ IT Risk ต่อ Business Risk ซึ่งมีผลอย่างสำคัญถึงกระบวนการตรวจสอบและการวางแผนการตรวจสอบ ซึ่งมีเรื่องที่ต้องทำความเข้าใจกันค่อนข้างมาก

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

นี่เป็นเหตุผลสำคัญที่ผมยังไม่แยกภาคการตรวจสอบ IT Audit กับ Non – IT Audit อย่างชัดเจนในช่วงนี้ ทั้งนี้ผมต้องการที่จะให้ผู้บริหารที่เกี่ยวข้องต่อการกำกับและการตรวจสอบทั้ง 2 ด้าน เห็นความสัมพันธ์และความเชื่อมโยง รวมทั้งผลกระทบของ IT Risk ที่มีต่อกระบวนการตรวจสอบโดยรวม

ซึ่งผมจะได้กล่าวในรายละเอียดในช่วงต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »