แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 29, 2009

สำหรับเนื้อหาที่จะเล่าสู่กันฟังในวันนี้จะเป็นเรื่องของวิธีการและเทคนิคในการระบุเหตุการณ์ ที่จะทำให้ผู้บริหารสามารถแยกแยะ/บ่งชี้เหตุการณ์ที่เป็นปัจจัยเสี่ยง เพื่อพิจารณาและประเมินค่าความเสี่ยงอันอาจส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขั้นต่อไปที่ผมจะนำเสนอในโอกาสหน้าครับ ส่วนโอกาสนี้ไปติดตามวิธีการและเทคนิคในการระบุเหตุการณ์ดังกล่าวกันเลยดีกว่าครับ

วิธีการและเทคนิคในการระบุเหตุการณ์
วิธีการแยกแยะเหตุการณ์ขององค์กรทั่วไป อาจประกอบด้วยเทคนิคกับเครื่องมือสนับสนุนหลาย ๆ เครื่องมือรวมกัน ตัวอย่างเช่น ผู้บริหารอาจใช้การสัมมนาเชิงปฏิบัติการกลุ่มเป็นส่วนหนึ่งของวิธีการแยกแยะเหตุการณ์ด้วยการใช้อุปกรณ์ช่วยที่อาศัยเทคโนโลยีในการช่วยเหลือผู้เข้าร่วม

เทคนิคการแยกแยะเหตุการณ์มองทั้งอดีตและอนาคต เทคนิคซึ่งมุ่งไปที่เหตุการณ์ในอดีตและแนวโน้มในอนาคต พิจารณาเรื่องประวัติเกี่ยวกับการจ่ายเงิน การเปลี่ยนแปลงราคาสินค้าและการสูญเสียเวลา เทคนิคซึ่งมุ่งเน้นไปที่การเปิดเผยอนาคต พิจารณาเรื่องการเปิดเผยการเปลี่ยนแปลงทางประชากร สภาพตลาดใหม่ และการดำเนินงานของคู่แข่ง

เทคนิคการแยกแยะเหตุการณ์จะขึ้นกับกลยุทธ์ของแต่ละองค์กร และแผนงานที่เกี่ยวข้องเป็นสำคัญ ดังนั้น ความเข้าใจในเรื่องการเลือกวิธีการระบุเหตุการณ์และปัจจัยเสี่ยง ผู้ที่เกี่ยวข้องจึงต้องทำความเข้าใจในกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กรเป็นอย่างดี

เทคนิคมีความหลากหลายมีระดับความซับซ้อนที่แตกต่างกัน เทคนิคที่ซับซ้อนกว่าส่วนใหญ่ในกิจกรรมทั่วไปมีความเฉพาะเจาะจงในทางอุตสาหกรรมและการให้บริการ แต่ส่วนใหญ่แล้วมาจากวิธีการปกติ ตัวอย่าง ทั้งการบริหารด้านการเงิน สุขภาพ และความปลอดภัยในอุตสาหกรรมใช้เทคนิคการติดตามเหตุการณ์ที่เสียหาย แม้ว่าเทคนิคเหล่านี้เริ่มต้นด้วยการมุ่งเน้นเหตุการณ์ทางประวัติศาสตร์โดยทั่วไป

เทคนิคการบ่งชี้ความเสี่ยง

เทคนิคการบ่งชี้ความเสี่ยง

วิธีการขั้นพื้นฐานจำนวนมากมองที่เหตุการณ์แฝงที่มีพื้นฐานบนแนวคิดเรื่องพนักงานภายใน ในขณะที่เทคนิคขั้นสูงจำนวนมากกว่าอยู่บนพื้นฐานของแหล่งที่เป็นจริงของเหตุการณ์ที่สังเกตได้ และจากนั้นได้นำข้อมูลเข้ามาสู่รูปแบบที่ซับซ้อน องค์กรที่มีความก้าวหน้ามากขึ้นในเรื่องการบริหารความเสี่ยงจะใช้หลาย ๆ เทคนิครวมกันเพื่อใช้พิจารณาทั้งเหตุการณ์แฝงในอดีตและอนาคต เทคนิคต่าง ๆ มีความหลากหลายในการใช้ภายในองค์กร บางเทคนิคมุ่งเน้นไปที่การวิเคราะห์ข้อมูลที่มีรายละเอียดและสร้างภาพของเหตุการณ์จากล่างขึ้นบน ในขณะที่เทคนิคอื่น ๆ มุ่งเน้นจากบนลงล่าง

ความลึก ความกว้าง เวลา และความมีวินัยในการแยกแยะเหตุการณ์มีความผันแปรท่ามกลางองค์กรต่าง ๆ ผู้บริหารขององค์กร ควรเลือกวิธีการซึ่งเหมาะสมกับวัฒนธรรมความเสี่ยงและมั่นใจว่าองค์กรพัฒนาความจำเป็นในการแยกแยะเหตุการณ์และสนับสนุนเทคนิคและเครื่องมือที่เหมาะสม ในภาพรวมความจำเป็นของวิธีแยกแยะเหตุการณ์มีความทนทานแข็งแรง เพราะก่อตัวมาจากพื้นฐานของการประเมินค่าความเสี่ยงและองค์ประกอบของการตอบสนองต่อความเสี่ยง

เทคนิคการระบุเหตุการณ์มีหลายเทคนิคทั้งเชิงปริมาณ (Quantitative) และเชิงคุณภาพ (Qualitative) เทคนิคเชิงปริมาณและการใช้ข้อมูลเชิงปริมาณอาจให้ผลลัพธ์ที่ชัดเจนและพิสูจน์ความถูกต้องทางสถิติได้ ซึ่งควรใช้กับเหตุการณ์ที่สำคัญและมีความซับซ้อน ในขณะที่เทคนิคเชิงคุณภาพและการใช้ข้อมูลเชิงคุณภาพ เช่น ดุลยพินิจ อาจให้ผลลัพธ์ที่ไม่แน่นอน รวมทั้งการพิจารณาอดีต (Past Event) และเหตุการณ์ในอนาคต (Potential Event)
โดยดูว่าเหตุการณ์ในอดีตเป็นอย่างไรและแนวโน้มในอนาคตเป็นอย่างไร เช่น พิจารณาข้อมูลการไม่ชำระหนี้ การไม่ปฏิบัติตามสัญญาในอดีต การเปลี่ยนแปลงราคาสินค้า หรือการเปลี่ยนแปลงจำนวนประชากร ตลาดใหม่และการแข่งขันของคู่แข่งทางการค้า สามารถที่จะจัดกลุ่มของเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นในอนาคต

อย่างไรก็ตาม การเลือกเทคนิคการระบุเหตุการณ์ไม่จำเป็นต้องใช้วิธีการที่เป็นแบบเดียวกันเสมอไป ขึ้นอยู่กับความจำเป็นที่ต้องการความแม่นยำของข้อมูลและสถานการณ์แวดล้อมอื่น เช่น ความเสี่ยงเกี่ยวกับการลงทุนซื้อหุ้น ควรใช้เทคนิคเชิงคุณภาพ ได้แก่การตัดสินใจโดยใช้ดุลยพินิจที่ระมัดระวังรอบคอบ เป็นต้น

การพึ่งพากันของเหตุการณ์
เหตุการณ์ไม่ได้เกิดขึ้นอย่างลำพัง เหตุการณ์หนึ่งก่อให้เกิดอีกเหตุการณ์หนึ่ง และเหตุการณ์สามารถเกิดขึ้นพร้อมกันได้ ในการแยกแยะเหตุการณ์ ผู้บริหารองค์กร ควรมีความเข้าใจว่าเหตุการณ์ต่าง ๆ สัมพันธ์กันอย่างไร

จากการประเมินค่าความสัมพันธ์ระหว่างกัน เหตุการณ์สามารถกำหนดได้ว่าความพยายามจากการบริหารความเสี่ยงไปในทิศทางใดดีที่สุด ตัวอย่างเช่น การเปลี่ยนแปลงอัตราดอกเบี้ยของธนาคารกลางส่งผลต่ออัตราแลกเปลี่ยนต่างประเทศ รวมทั้งกำไรขาดทุนในการเดินบัญชีของบริษัท การตัดสินใจที่จะตัดทอนเป็นการถ่วงการยกระดับในระบบการกระจายการบริหาร ทำให้เสียเวลาเพิ่มขึ้นและมีค่าใช้จ่ายในการดำเนินการสูงขึ้น เป็นต้น

ตัวอย่างกระบวนทัศน์และแนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์ทางด้านการดำเนินงานที่เกี่ยวเนื่องกันบางประการที่สามารถอธิบายย่อ ๆ ด้วยแผนภาพได้ดังนี้

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ครั้งหน้าไปติดตามการจัดกลุ่มของเหตุการณ์กันต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 29, 2009

สำหรับเนื้อหาที่จะเล่าสู่กันฟังในวันนี้จะเป็นเรื่องของวิธีการและเทคนิคในการระบุเหตุการณ์ ที่จะทำให้ผู้บริหารสามารถแยกแยะ/บ่งชี้เหตุการณ์ที่เป็นปัจจัยเสี่ยง เพื่อพิจารณาและประเมินค่าความเสี่ยงอันอาจส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขั้นต่อไปที่ผมจะนำเสนอในโอกาสหน้าครับ ส่วนโอกาสนี้ไปติดตามวิธีการและเทคนิคในการระบุเหตุการณ์ดังกล่าวกันเลยดีกว่าครับ

วิธีการและเทคนิคในการระบุเหตุการณ์
วิธีการแยกแยะเหตุการณ์ขององค์กรทั่วไป อาจประกอบด้วยเทคนิคกับเครื่องมือสนับสนุนหลาย ๆ เครื่องมือรวมกัน ตัวอย่างเช่น ผู้บริหารอาจใช้การสัมมนาเชิงปฏิบัติการกลุ่มเป็นส่วนหนึ่งของวิธีการแยกแยะเหตุการณ์ด้วยการใช้อุปกรณ์ช่วยที่อาศัยเทคโนโลยีในการช่วยเหลือผู้เข้าร่วม

เทคนิคการแยกแยะเหตุการณ์มองทั้งอดีตและอนาคต เทคนิคซึ่งมุ่งไปที่เหตุการณ์ในอดีตและแนวโน้มในอนาคต พิจารณาเรื่องประวัติเกี่ยวกับการจ่ายเงิน การเปลี่ยนแปลงราคาสินค้าและการสูญเสียเวลา เทคนิคซึ่งมุ่งเน้นไปที่การเปิดเผยอนาคต พิจารณาเรื่องการเปิดเผยการเปลี่ยนแปลงทางประชากร สภาพตลาดใหม่ และการดำเนินงานของคู่แข่ง

เทคนิคการแยกแยะเหตุการณ์จะขึ้นกับกลยุทธ์ของแต่ละองค์กร และแผนงานที่เกี่ยวข้องเป็นสำคัญ ดังนั้น ความเข้าใจในเรื่องการเลือกวิธีการระบุเหตุการณ์และปัจจัยเสี่ยง ผู้ที่เกี่ยวข้องจึงต้องทำความเข้าใจในกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กรเป็นอย่างดี

เทคนิคมีความหลากหลายมีระดับความซับซ้อนที่แตกต่างกัน เทคนิคที่ซับซ้อนกว่าส่วนใหญ่ในกิจกรรมทั่วไปมีความเฉพาะเจาะจงในทางอุตสาหกรรมและการให้บริการ แต่ส่วนใหญ่แล้วมาจากวิธีการปกติ ตัวอย่าง ทั้งการบริหารด้านการเงิน สุขภาพ และความปลอดภัยในอุตสาหกรรมใช้เทคนิคการติดตามเหตุการณ์ที่เสียหาย แม้ว่าเทคนิคเหล่านี้เริ่มต้นด้วยการมุ่งเน้นเหตุการณ์ทางประวัติศาสตร์โดยทั่วไป

เทคนิคการบ่งชี้ความเสี่ยง

เทคนิคการบ่งชี้ความเสี่ยง

วิธีการขั้นพื้นฐานจำนวนมากมองที่เหตุการณ์แฝงที่มีพื้นฐานบนแนวคิดเรื่องพนักงานภายใน ในขณะที่เทคนิคขั้นสูงจำนวนมากกว่าอยู่บนพื้นฐานของแหล่งที่เป็นจริงของเหตุการณ์ที่สังเกตได้ และจากนั้นได้นำข้อมูลเข้ามาสู่รูปแบบที่ซับซ้อน องค์กรที่มีความก้าวหน้ามากขึ้นในเรื่องการบริหารความเสี่ยงจะใช้หลาย ๆ เทคนิครวมกันเพื่อใช้พิจารณาทั้งเหตุการณ์แฝงในอดีตและอนาคต เทคนิคต่าง ๆ มีความหลากหลายในการใช้ภายในองค์กร บางเทคนิคมุ่งเน้นไปที่การวิเคราะห์ข้อมูลที่มีรายละเอียดและสร้างภาพของเหตุการณ์จากล่างขึ้นบน ในขณะที่เทคนิคอื่น ๆ มุ่งเน้นจากบนลงล่าง

ความลึก ความกว้าง เวลา และความมีวินัยในการแยกแยะเหตุการณ์มีความผันแปรท่ามกลางองค์กรต่าง ๆ ผู้บริหารขององค์กร ควรเลือกวิธีการซึ่งเหมาะสมกับวัฒนธรรมความเสี่ยงและมั่นใจว่าองค์กรพัฒนาความจำเป็นในการแยกแยะเหตุการณ์และสนับสนุนเทคนิคและเครื่องมือที่เหมาะสม ในภาพรวมความจำเป็นของวิธีแยกแยะเหตุการณ์มีความทนทานแข็งแรง เพราะก่อตัวมาจากพื้นฐานของการประเมินค่าความเสี่ยงและองค์ประกอบของการตอบสนองต่อความเสี่ยง

เทคนิคการระบุเหตุการณ์มีหลายเทคนิคทั้งเชิงปริมาณ (Quantitative) และเชิงคุณภาพ (Qualitative) เทคนิคเชิงปริมาณและการใช้ข้อมูลเชิงปริมาณอาจให้ผลลัพธ์ที่ชัดเจนและพิสูจน์ความถูกต้องทางสถิติได้ ซึ่งควรใช้กับเหตุการณ์ที่สำคัญและมีความซับซ้อน ในขณะที่เทคนิคเชิงคุณภาพและการใช้ข้อมูลเชิงคุณภาพ เช่น ดุลยพินิจ อาจให้ผลลัพธ์ที่ไม่แน่นอน รวมทั้งการพิจารณาอดีต (Past Event) และเหตุการณ์ในอนาคต (Potential Event)
โดยดูว่าเหตุการณ์ในอดีตเป็นอย่างไรและแนวโน้มในอนาคตเป็นอย่างไร เช่น พิจารณาข้อมูลการไม่ชำระหนี้ การไม่ปฏิบัติตามสัญญาในอดีต การเปลี่ยนแปลงราคาสินค้า หรือการเปลี่ยนแปลงจำนวนประชากร ตลาดใหม่และการแข่งขันของคู่แข่งทางการค้า สามารถที่จะจัดกลุ่มของเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นในอนาคต

อย่างไรก็ตาม การเลือกเทคนิคการระบุเหตุการณ์ไม่จำเป็นต้องใช้วิธีการที่เป็นแบบเดียวกันเสมอไป ขึ้นอยู่กับความจำเป็นที่ต้องการความแม่นยำของข้อมูลและสถานการณ์แวดล้อมอื่น เช่น ความเสี่ยงเกี่ยวกับการลงทุนซื้อหุ้น ควรใช้เทคนิคเชิงคุณภาพ ได้แก่การตัดสินใจโดยใช้ดุลยพินิจที่ระมัดระวังรอบคอบ เป็นต้น

การพึ่งพากันของเหตุการณ์
เหตุการณ์ไม่ได้เกิดขึ้นอย่างลำพัง เหตุการณ์หนึ่งก่อให้เกิดอีกเหตุการณ์หนึ่ง และเหตุการณ์สามารถเกิดขึ้นพร้อมกันได้ ในการแยกแยะเหตุการณ์ ผู้บริหารองค์กร ควรมีความเข้าใจว่าเหตุการณ์ต่าง ๆ สัมพันธ์กันอย่างไร

จากการประเมินค่าความสัมพันธ์ระหว่างกัน เหตุการณ์สามารถกำหนดได้ว่าความพยายามจากการบริหารความเสี่ยงไปในทิศทางใดดีที่สุด ตัวอย่างเช่น การเปลี่ยนแปลงอัตราดอกเบี้ยของธนาคารกลางส่งผลต่ออัตราแลกเปลี่ยนต่างประเทศ รวมทั้งกำไรขาดทุนในการเดินบัญชีของบริษัท การตัดสินใจที่จะตัดทอนเป็นการถ่วงการยกระดับในระบบการกระจายการบริหาร ทำให้เสียเวลาเพิ่มขึ้นและมีค่าใช้จ่ายในการดำเนินการสูงขึ้น เป็นต้น

ตัวอย่างกระบวนทัศน์และแนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์ทางด้านการดำเนินงานที่เกี่ยวเนื่องกันบางประการที่สามารถอธิบายย่อ ๆ ด้วยแผนภาพได้ดังนี้

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ครั้งหน้าไปติดตามการจัดกลุ่มของเหตุการณ์กันต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 21, 2009

ครั้งที่แล้วผมได้นำเสนอภาพเพื่อให้เข้าใจได้อย่างชัดเจนขึ้นถึงการวางแผนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงขององค์กร ซึ่งผู้บริหารองค์กรจะต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ให้เป็นไปในแนวทางเดียวกันกับความเสี่ยงที่ยอมรับได้

วันนี้ผมจะกล่าวถึงการระบุเหตุการณ์ (Event Identification) ที่จะส่งผลต่อการบรรลุวัตถุประสงค์หรือการนำกลยุทธ์ไปปฏิบัติ เพื่อบ่งชี้หรือระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กร

หลังจากที่ผู้บริหารองค์กรได้วางแผนการบริหารความเสี่ยงและกำหนดระดับความเสี่ยงที่องค์กรยอมรับได้แล้ว ซึ่งรายละเอียดของเกณฑ์ความสามารถในการยอมรับความเสี่ยงผมจะได้กล่าวถึงในโอกาสต่อไป ผู้บริหารองค์กรจะต้องระบุเหตุการณ์ที่จะส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ทั้งเหตุการณ์ที่จะส่งผลในด้านบวกและด้านลบต่อองค์กร

ผู้บริหารที่แยกแยะเหตุการณ์ที่แฝงอยู่ได้จะส่งผลต่อความสามารถขององค์กรในการที่จะประสบความสำเร็จในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ เหตุการณ์ที่มีแนวโน้มที่ส่งผลลบทำให้เกิดความเสี่ยง ซึ่งจำเป็นต้องได้รับการประเมินและการตอบสนองจากผู้บริหาร

ส่วนเหตุการณ์ที่มีแนวโน้มที่ส่งผลบวกจะชดเชยผลกระทบทางลบหรือสร้างโอกาสได้ ช่องทางของผู้บริหาร คือ การกลับไปสู่กระบวนการตั้งวัตถุประสงค์และกลยุทธ์ ความหลากหลายของปัจจัยภายในและภายนอกทำให้เกิดเหตุการณ์ขึ้น เมื่อผู้บริหารได้แยกแยะเหตุการณ์ที่ซ่อนอยู่ ผู้บริหารจะพิจารณาองค์กรโดยรวม และพิจารณาบริบทในองค์กรที่กำลังดำเนินการกับระดับความเสี่ยงที่ยอมรับได้

เหตุการณ์
เหตุการณ์ หมายถึง เหตุหรือกรณีที่เกิดขึ้นจากแหล่งภายในหรือภายนอก ที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ซึ่งอาจมีผลทางด้านบวก ด้านลบหรือทั้งสองด้าน

ผู้บริหารจะต้องระลึกไว้ว่าความไม่แน่นอนยังคงอยู่แต่ไม่สามารถรู้ได้ว่าเมื่อไรจะเกิดเหตุการณ์หรือผลลัพธ์เป็นอย่างไร และต้องพิจารณาในเบื้องต้นเกี่ยวกับขอบเขตของเหตุการณ์ซึ่งส่งผลกระทบต่อปัจจัยภายในและภายนอกโดยปราศจากการมุ่งเน้นว่าผลที่ได้รับจะเป็นบวกหรือลบ

ขอบเขตของเหตุการณ์ที่แฝงอยู่มีระดับจากเห็นได้ชัดจนถึงคลุมเครือ และการแฝงมีผลกระทบจากสำคัญไปจนถึงไม่สำคัญ เพื่อหลีกเลี่ยงการมองข้ามเหตุการณ์ที่เกี่ยวข้องกัน การแยกแยะเป็นการกระทำที่ดีที่สุดในการประเมินค่าความเป็นไปได้ของการเกิดเหตุการณ์ ซึ่งจะอธิบายในหัวข้อของการประเมินค่าความเสี่ยงต่อไป

อย่างไรก็ตามข้อจำกัดยังคงมีอยู่และเป็นการยากที่จะแยกแยะเหตุการณ์ที่แฝงอยู่ แต่แม้ว่าเหตุการณ์ที่แฝงอยู่กับความเป็นไปได้ที่จะเกิดขึ้นไม่มาก ก็ไม่ควรจะถูกเพิกเฉยในขั้นตอนการแยกแยะเหตุการณ์ หากผลที่แฝงอยู่บนความสำเร็จของวัตถุประสงค์ที่สำคัญที่จะนำไปสู่เป้าหมายที่กำหนดไว้

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การบ่งชี้/ระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กรทั่วไป
1. ชี้/ระบุปัจจัยเสี่ยงที่อาจไม่บรรลุเป้าประสงค์ในแต่ละกิจกรรมและแต่ละขั้นตอนหลัก ๆ ซึ่งอาจจะเกิดจากปัจจัยภายในและปัจจัยภายนอก ซึ่งก่อให้เกิดเป็นความไม่แน่นอนต่อการบรรลุวัตถุประสงค์ที่นำไปสู่วิสัยทัศน์ขององค์กรในกรอบเวลาที่กำหนด

2. ระบุเหตุการณ์ที่อาจทำให้แผนงานไม่อาจบรรลุกิจกรรมและขั้นตอนตามเวลาที่กำหนดได้ เช่น ความสามารถของบุคลากร ประสิทธิภาพในการดำเนินงาน ระบบงานไม่เอื้ออำนวย และสภาพแวดล้อมที่ไม่เหมาะสมในการขับเคลื่อนแผนงานให้ไปสู่ความสำเร็จได้

การระบุความเสี่ยงของแผนงาน/โครงการในกรอบวัตถุประสงค์หลัก 4 ด้าน
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk)
3. ความเสี่ยงด้านการเงิน (Financial Risk)
4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
ซึ่งความเสี่ยงทั้ง 4 ด้านข้างต้นนี้ ผมเคยได้พูดถึงในครั้งที่ผ่าน ๆ มาแล้ว

ในครั้งหน้าผมจะมาเล่าถึงเทคนิคและวิธีการในการระบุเหตุการณ์ ซึ่งเป็นเรื่องสำคัญที่ผู้บริหารองค์กรควรจะได้ติดตามต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 21, 2009

ครั้งที่แล้วผมได้นำเสนอภาพเพื่อให้เข้าใจได้อย่างชัดเจนขึ้นถึงการวางแผนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงขององค์กร ซึ่งผู้บริหารองค์กรจะต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ให้เป็นไปในแนวทางเดียวกันกับความเสี่ยงที่ยอมรับได้

วันนี้ผมจะกล่าวถึงการระบุเหตุการณ์ (Event Identification) ที่จะส่งผลต่อการบรรลุวัตถุประสงค์หรือการนำกลยุทธ์ไปปฏิบัติ เพื่อบ่งชี้หรือระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กร

หลังจากที่ผู้บริหารองค์กรได้วางแผนการบริหารความเสี่ยงและกำหนดระดับความเสี่ยงที่องค์กรยอมรับได้แล้ว ซึ่งรายละเอียดของเกณฑ์ความสามารถในการยอมรับความเสี่ยงผมจะได้กล่าวถึงในโอกาสต่อไป ผู้บริหารองค์กรจะต้องระบุเหตุการณ์ที่จะส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ทั้งเหตุการณ์ที่จะส่งผลในด้านบวกและด้านลบต่อองค์กร

ผู้บริหารที่แยกแยะเหตุการณ์ที่แฝงอยู่ได้จะส่งผลต่อความสามารถขององค์กรในการที่จะประสบความสำเร็จในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ เหตุการณ์ที่มีแนวโน้มที่ส่งผลลบทำให้เกิดความเสี่ยง ซึ่งจำเป็นต้องได้รับการประเมินและการตอบสนองจากผู้บริหาร

ส่วนเหตุการณ์ที่มีแนวโน้มที่ส่งผลบวกจะชดเชยผลกระทบทางลบหรือสร้างโอกาสได้ ช่องทางของผู้บริหาร คือ การกลับไปสู่กระบวนการตั้งวัตถุประสงค์และกลยุทธ์ ความหลากหลายของปัจจัยภายในและภายนอกทำให้เกิดเหตุการณ์ขึ้น เมื่อผู้บริหารได้แยกแยะเหตุการณ์ที่ซ่อนอยู่ ผู้บริหารจะพิจารณาองค์กรโดยรวม และพิจารณาบริบทในองค์กรที่กำลังดำเนินการกับระดับความเสี่ยงที่ยอมรับได้

เหตุการณ์
เหตุการณ์ หมายถึง เหตุหรือกรณีที่เกิดขึ้นจากแหล่งภายในหรือภายนอก ที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ซึ่งอาจมีผลทางด้านบวก ด้านลบหรือทั้งสองด้าน

ผู้บริหารจะต้องระลึกไว้ว่าความไม่แน่นอนยังคงอยู่แต่ไม่สามารถรู้ได้ว่าเมื่อไรจะเกิดเหตุการณ์หรือผลลัพธ์เป็นอย่างไร และต้องพิจารณาในเบื้องต้นเกี่ยวกับขอบเขตของเหตุการณ์ซึ่งส่งผลกระทบต่อปัจจัยภายในและภายนอกโดยปราศจากการมุ่งเน้นว่าผลที่ได้รับจะเป็นบวกหรือลบ

ขอบเขตของเหตุการณ์ที่แฝงอยู่มีระดับจากเห็นได้ชัดจนถึงคลุมเครือ และการแฝงมีผลกระทบจากสำคัญไปจนถึงไม่สำคัญ เพื่อหลีกเลี่ยงการมองข้ามเหตุการณ์ที่เกี่ยวข้องกัน การแยกแยะเป็นการกระทำที่ดีที่สุดในการประเมินค่าความเป็นไปได้ของการเกิดเหตุการณ์ ซึ่งจะอธิบายในหัวข้อของการประเมินค่าความเสี่ยงต่อไป

อย่างไรก็ตามข้อจำกัดยังคงมีอยู่และเป็นการยากที่จะแยกแยะเหตุการณ์ที่แฝงอยู่ แต่แม้ว่าเหตุการณ์ที่แฝงอยู่กับความเป็นไปได้ที่จะเกิดขึ้นไม่มาก ก็ไม่ควรจะถูกเพิกเฉยในขั้นตอนการแยกแยะเหตุการณ์ หากผลที่แฝงอยู่บนความสำเร็จของวัตถุประสงค์ที่สำคัญที่จะนำไปสู่เป้าหมายที่กำหนดไว้

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การบ่งชี้/ระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กรทั่วไป
1. ชี้/ระบุปัจจัยเสี่ยงที่อาจไม่บรรลุเป้าประสงค์ในแต่ละกิจกรรมและแต่ละขั้นตอนหลัก ๆ ซึ่งอาจจะเกิดจากปัจจัยภายในและปัจจัยภายนอก ซึ่งก่อให้เกิดเป็นความไม่แน่นอนต่อการบรรลุวัตถุประสงค์ที่นำไปสู่วิสัยทัศน์ขององค์กรในกรอบเวลาที่กำหนด

2. ระบุเหตุการณ์ที่อาจทำให้แผนงานไม่อาจบรรลุกิจกรรมและขั้นตอนตามเวลาที่กำหนดได้ เช่น ความสามารถของบุคลากร ประสิทธิภาพในการดำเนินงาน ระบบงานไม่เอื้ออำนวย และสภาพแวดล้อมที่ไม่เหมาะสมในการขับเคลื่อนแผนงานให้ไปสู่ความสำเร็จได้

การระบุความเสี่ยงของแผนงาน/โครงการในกรอบวัตถุประสงค์หลัก 4 ด้าน
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk)
3. ความเสี่ยงด้านการเงิน (Financial Risk)
4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
ซึ่งความเสี่ยงทั้ง 4 ด้านข้างต้นนี้ ผมเคยได้พูดถึงในครั้งที่ผ่าน ๆ มาแล้ว

ในครั้งหน้าผมจะมาเล่าถึงเทคนิคและวิธีการในการระบุเหตุการณ์ ซึ่งเป็นเรื่องสำคัญที่ผู้บริหารองค์กรควรจะได้ติดตามต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์

มิถุนายน 18, 2009

วันนี้ผมตั้งใจจะมาเล่าเรื่องสัญญาเตือนภัยที่อาจก่อให้เกิดการทุจริตหรือคิดมิชอบในองค์กร (Red Flags) ที่ใช้คอมพิวเตอร์ ถึงแม้องค์กรใดมีคอมพิวเตอร์ใช้เพียงเครื่องเดียว ก็พิจารณาได้ว่าองค์กรนั้นได้ใช้คอมพิวเตอร์แล้ว

เนื่องจากองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะสถาบันการเงินหลายแห่งมีการทุจริตทางด้านคอมพิวเตอร์ที่เปิดเผยแล้วจำนวนหลายธนาคาร และอาจมีบางธนาคารที่ยังไม่พบการทุจริตที่กำลังเกิดขึ้นอยู่แล้วก็ได้ และรวมทั้งระบบ Core Banking หรือ CBS มีจุดอ่อนเป็นอย่างยิ่งในกระบวนการปฏิบัติงาน หรือเรียกว่า Business Process ที่มีผลกระทบสำคัญต่อ Business Objective ในมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ก็เป็นสาเหตุสำคัญประการหนึ่งในการทุจริต และข้อสำคัญก็คือ เกิดปัญหาจาก NPL อันมีสาเหตุสำคัญมาจาก CBS ได้อย่างน่าสนใจ

ผมจะได้นำเสนอ CBS ที่มีผลกระทบต่อ NPL และ NPA และการทุจริตได้ในที่สุด ในมุมมองที่หลากหลายต่อไป แต่เนื่องจากในช่วงเวลานี้ ผมเข้าใจว่า ทางผู้กำกับจากธนาคารแห่งประเทศไทย ในฐานะ Regulators และสถาบันการเงินต่าง ๆ ซึ่งเป็น Operators กำลังหน้าดำคร่ำเครียดกับการตรวจสอบและติดตามสาเหตุของการทุจริตอย่างขะมักขเม้น ผมจึงขอร่วมออกความเห็นในการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์บางมุมมอง ดังต่อไปนี้

ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทในโลกธุรกิจและชีวิตประจำวันในแทบจะทุกองค์กร รวมทั้งมีความสำคัญยิ่งต่อการกำหนดยุทธศาสตร์ในการบริหารงาน การแข่งขันในทุกระดับและเพิ่มศักยภาพที่ต้องการการให้บริการที่พึงพอใจต่อผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งระดับในและระหว่างประเทศ

กลยุทธ์ใหม่กับการพัฒนาระบบงานเทคโนโลยีสารสนเทศขององค์กรและจุดอ่อนที่ก่อให้เกิดการทุจริต
การพัฒนาระบบงานต่าง ๆ ขององค์กรส่วนใหญ่จะมีเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้องด้วยเสมอ ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ ซึ่งการมีการใช้เทคโนโลยีสารสนเทศได้เปลี่ยนโครงสร้างการดำเนินการและการปฏิบัติงานในระดับหลักๆ ขององค์กรซึ่งทวีความซับซ้อนในการปฏิบัติงานตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งในกระบวนการดังกล่าว มี IT Governance เป็นส่วนหนึ่งขององค์รวมในการบริหารความเสี่ยง การควบคุม และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk –Based Audit) อยู่ด้วย

ความสำเร็จในการดำเนินงานไปสู่เป้าหมายและวัตถุประสงค์หลักขององค์กรอย่างยั่งยืนนั้น ย่อมต้องการแนวความคิดในรูปแบบใหม่ที่ต้องอาศัยการปรับปรุงและพัฒนาองค์กรให้เหมาะสมกับสภาพแวดล้อมใหม่ของโลกแห่งการเปลี่ยนแปลงและความก้าวหน้าทางเทคโนโลยีสารสนเทศที่อาจจะเป็นปัญหาจากระบบงานมีจุดอ่อนและเป็นปัจจัยหนึ่งที่จะเกิดความเสียหายกับองค์กรจากการทุจริตได้

บรรยากาศในการบริหารความเสี่ยงที่เกี่ยวกับสภาพแวดล้อมของการควบคุมทั่วไป
เป็นทัศนคติและการดำเนินการขององค์กรและฝ่ายบริหารที่ควรชี้บ่งหรือแสดงให้เห็นถึงความสำคัญของการควบคุมภายใน

บรรยากาศในการควบคุมภายใน ซึ่งเป็นกระบวนการหนึ่งขององค์ประกอบการควบคุมภายในพื้นฐานนี้ก่อให้เกิดระเบียบวินัยและโครงสร้างที่เหมาะสมที่จะเอื้ออำนวยให้องค์กรสามารถบรรลุวัตถุประสงค์หลักของระบบงานการตรวจสอบภายในทั้งทางด้าน IT และด้านทั่วไป ซึ่งประกอบไปด้วยวัตถุประสงค์ในการตรวจสอบประสิทธิภาพ ประสิทธิผลการปฏิบัติงาน วัตถุประสงค์ในการตรวจสอบการปฏิบัติตามกฎหมาย นโยบาย ระเบียบ กฏเกณฑ์ ประกาศ คำสั่งต่างๆ ที่เกี่ยวข้อง และวัตถุประสงค์ในการตรวจสอบความถูกต้องของรายงานทางการเงิน และรวมถึงการตรวจสอบเฉพาะกิจ เช่น การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ด้วย เป็นต้น

บรรยากาศในการควบคุมทั่วๆ ไปขององค์กรภายใต้การกำกับดูแลกิจการที่ดีโดยรวมคือ
1) ความน่าเชื่อถือได้และความมีจรรยาบรรณระดับต่าง ๆ ขององค์กร โดยเฉพาะผู้บริหารระดับสูง
2) แนวความคิดของหลักการเชิงกลยุทธ และวิธีการปฏิบัติงานของคณะกรรมการและฝ่ายบริหาร
3) โครงสร้างขององค์กร
4) การมอบหมายอำนาจและความรับผิดชอบในการทำงาน
5) นโยบายและวิธีปฏิบัติในการจัดหาพนักงาน
6) ความสามารถของพนักงานและการสรรหาพนักงานระดับต่าง ๆ
7) กระบวนการควบคุม ซึ่งหมายถึง นโยบายวิธีการดำเนินงานและการลงมือปฏิบัติที่อยู่ในกรอบของการควบคุมและการจัดการความเสี่ยงระดับต่างๆ เพื่อให้มั่นใจว่าความเสี่ยงต่าง ๆ รวมทั้งการทุจริตที่อาจเกิดขึ้นในองค์กร ได้ถูกจำกัดให้อยู่ในระดับที่องค์กรยอมรับได้

โปรดติดตามการตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้ต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์

มิถุนายน 18, 2009

วันนี้ผมตั้งใจจะมาเล่าเรื่องสัญญาเตือนภัยที่อาจก่อให้เกิดการทุจริตหรือคิดมิชอบในองค์กร (Red Flags) ที่ใช้คอมพิวเตอร์ ถึงแม้องค์กรใดมีคอมพิวเตอร์ใช้เพียงเครื่องเดียว ก็พิจารณาได้ว่าองค์กรนั้นได้ใช้คอมพิวเตอร์แล้ว

เนื่องจากองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะสถาบันการเงินหลายแห่งมีการทุจริตทางด้านคอมพิวเตอร์ที่เปิดเผยแล้วจำนวนหลายธนาคาร และอาจมีบางธนาคารที่ยังไม่พบการทุจริตที่กำลังเกิดขึ้นอยู่แล้วก็ได้ และรวมทั้งระบบ Core Banking หรือ CBS มีจุดอ่อนเป็นอย่างยิ่งในกระบวนการปฏิบัติงาน หรือเรียกว่า Business Process ที่มีผลกระทบสำคัญต่อ Business Objective ในมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ก็เป็นสาเหตุสำคัญประการหนึ่งในการทุจริต และข้อสำคัญก็คือ เกิดปัญหาจาก NPL อันมีสาเหตุสำคัญมาจาก CBS ได้อย่างน่าสนใจ

ผมจะได้นำเสนอ CBS ที่มีผลกระทบต่อ NPL และ NPA และการทุจริตได้ในที่สุด ในมุมมองที่หลากหลายต่อไป แต่เนื่องจากในช่วงเวลานี้ ผมเข้าใจว่า ทางผู้กำกับจากธนาคารแห่งประเทศไทย ในฐานะ Regulators และสถาบันการเงินต่าง ๆ ซึ่งเป็น Operators กำลังหน้าดำคร่ำเครียดกับการตรวจสอบและติดตามสาเหตุของการทุจริตอย่างขะมักขเม้น ผมจึงขอร่วมออกความเห็นในการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์บางมุมมอง ดังต่อไปนี้

ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทในโลกธุรกิจและชีวิตประจำวันในแทบจะทุกองค์กร รวมทั้งมีความสำคัญยิ่งต่อการกำหนดยุทธศาสตร์ในการบริหารงาน การแข่งขันในทุกระดับและเพิ่มศักยภาพที่ต้องการการให้บริการที่พึงพอใจต่อผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งระดับในและระหว่างประเทศ

กลยุทธ์ใหม่กับการพัฒนาระบบงานเทคโนโลยีสารสนเทศขององค์กรและจุดอ่อนที่ก่อให้เกิดการทุจริต
การพัฒนาระบบงานต่าง ๆ ขององค์กรส่วนใหญ่จะมีเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้องด้วยเสมอ ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ ซึ่งการมีการใช้เทคโนโลยีสารสนเทศได้เปลี่ยนโครงสร้างการดำเนินการและการปฏิบัติงานในระดับหลักๆ ขององค์กรซึ่งทวีความซับซ้อนในการปฏิบัติงานตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งในกระบวนการดังกล่าว มี IT Governance เป็นส่วนหนึ่งขององค์รวมในการบริหารความเสี่ยง การควบคุม และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk –Based Audit) อยู่ด้วย

ความสำเร็จในการดำเนินงานไปสู่เป้าหมายและวัตถุประสงค์หลักขององค์กรอย่างยั่งยืนนั้น ย่อมต้องการแนวความคิดในรูปแบบใหม่ที่ต้องอาศัยการปรับปรุงและพัฒนาองค์กรให้เหมาะสมกับสภาพแวดล้อมใหม่ของโลกแห่งการเปลี่ยนแปลงและความก้าวหน้าทางเทคโนโลยีสารสนเทศที่อาจจะเป็นปัญหาจากระบบงานมีจุดอ่อนและเป็นปัจจัยหนึ่งที่จะเกิดความเสียหายกับองค์กรจากการทุจริตได้

บรรยากาศในการบริหารความเสี่ยงที่เกี่ยวกับสภาพแวดล้อมของการควบคุมทั่วไป
เป็นทัศนคติและการดำเนินการขององค์กรและฝ่ายบริหารที่ควรชี้บ่งหรือแสดงให้เห็นถึงความสำคัญของการควบคุมภายใน

บรรยากาศในการควบคุมภายใน ซึ่งเป็นกระบวนการหนึ่งขององค์ประกอบการควบคุมภายในพื้นฐานนี้ก่อให้เกิดระเบียบวินัยและโครงสร้างที่เหมาะสมที่จะเอื้ออำนวยให้องค์กรสามารถบรรลุวัตถุประสงค์หลักของระบบงานการตรวจสอบภายในทั้งทางด้าน IT และด้านทั่วไป ซึ่งประกอบไปด้วยวัตถุประสงค์ในการตรวจสอบประสิทธิภาพ ประสิทธิผลการปฏิบัติงาน วัตถุประสงค์ในการตรวจสอบการปฏิบัติตามกฎหมาย นโยบาย ระเบียบ กฏเกณฑ์ ประกาศ คำสั่งต่างๆ ที่เกี่ยวข้อง และวัตถุประสงค์ในการตรวจสอบความถูกต้องของรายงานทางการเงิน และรวมถึงการตรวจสอบเฉพาะกิจ เช่น การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ด้วย เป็นต้น

บรรยากาศในการควบคุมทั่วๆ ไปขององค์กรภายใต้การกำกับดูแลกิจการที่ดีโดยรวมคือ
1) ความน่าเชื่อถือได้และความมีจรรยาบรรณระดับต่าง ๆ ขององค์กร โดยเฉพาะผู้บริหารระดับสูง
2) แนวความคิดของหลักการเชิงกลยุทธ และวิธีการปฏิบัติงานของคณะกรรมการและฝ่ายบริหาร
3) โครงสร้างขององค์กร
4) การมอบหมายอำนาจและความรับผิดชอบในการทำงาน
5) นโยบายและวิธีปฏิบัติในการจัดหาพนักงาน
6) ความสามารถของพนักงานและการสรรหาพนักงานระดับต่าง ๆ
7) กระบวนการควบคุม ซึ่งหมายถึง นโยบายวิธีการดำเนินงานและการลงมือปฏิบัติที่อยู่ในกรอบของการควบคุมและการจัดการความเสี่ยงระดับต่างๆ เพื่อให้มั่นใจว่าความเสี่ยงต่าง ๆ รวมทั้งการทุจริตที่อาจเกิดขึ้นในองค์กร ได้ถูกจำกัดให้อยู่ในระดับที่องค์กรยอมรับได้

โปรดติดตามการตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้ต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Standard Performance Measurement and IT Governance เพื่อการวัดความสำเร็จเชิงกลยุทธ์ ตามหลักการ Balance Scorecard

มิถุนายน 18, 2009

วันนี้ผมจะมาเล่าเรื่องที่คิดว่าน่าสนใจสำหรับผู้บริหาร ผู้ตรวจสอบทางด้าน IT และ Non – IT ในอีกมุมมองหนึ่งที่เกี่ยวข้องกับ IT Governance ที่ใช้ขับเคลื่อน Business ตามหลักการบริหาร 4 มุมมองที่นิยมใช้กันอย่างแพร่หลาย ทั้งนี้ ตามที่ผมให้คำอธิบายความหมายของคำว่า IT Governance มาแล้วว่า ITG ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงและการจัดการด้าน IT เพื่อขับเคลื่อนกลยุทธ์ของโดยรวมองค์กร โดยมีผลตอบแทนที่เหมาะสมยอมรับได้ วัดและประเมินคุณค่าได้ทั้งในปัจจุบันและในอนาคต จาก Performance Measurement ที่พิจารณาจากสินทรัพย์ที่ไม่มีตัวตน หรือ Intangble Asset และสินทรัพย์ที่มีตัวตน หรือ Tangble Asset ในระดับองค์กร

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การมีตัวชี้วัดหรือ KPI ที่เหมาะสมในการวัดคุณภาพการจัดการทางด้าน IT Management และ IT Governance ตามหลัก Balance Scorecard จะช่วยให้ผู้บริหาร และผู้ปฏิบัติงานในระดับต่าง ๆ ขององค์กรมั่นใจและประเมินตนเองได้ว่า องค์กรของตนมีศักยภาพและมีคุณภาพที่เกี่ยวข้องกับประสิทธิภาพและประสิทธิผลในการบริหารจัดการด้านเทคโนโลยีสารสนเทศเพียงใด ซึ่งจะมีประโยชน์อย่างยิ่งในการปรับปรุงตนเองหรือกระบวนการทำงานให้เหมาะสม เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนตามหลักการของการกำกับดูแลกิจการที่ดี หรือ Corporate Governance ต่อไป

เกณฑ์ที่ใช้วัดอาจพิจารณาได้ดังต่อไปนี้

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

เกณฑ์การวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management หรือการบริหารจัดการสารสนเทศ

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

ขอให้ท่านติดตาม Performance Measurement ในอีก 2 ด้านที่สำคัญตามหลักการ Balance Scorecard คือ การวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT กับการวัดผลการดำเนินงานด้านการจัดการ IT

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Standard Performance Measurement and IT Governance เพื่อการวัดความสำเร็จเชิงกลยุทธ์ ตามหลักการ Balance Scorecard

มิถุนายน 18, 2009

วันนี้ผมจะมาเล่าเรื่องที่คิดว่าน่าสนใจสำหรับผู้บริหาร ผู้ตรวจสอบทางด้าน IT และ Non – IT ในอีกมุมมองหนึ่งที่เกี่ยวข้องกับ IT Governance ที่ใช้ขับเคลื่อน Business ตามหลักการบริหาร 4 มุมมองที่นิยมใช้กันอย่างแพร่หลาย ทั้งนี้ ตามที่ผมให้คำอธิบายความหมายของคำว่า IT Governance มาแล้วว่า ITG ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงและการจัดการด้าน IT เพื่อขับเคลื่อนกลยุทธ์ของโดยรวมองค์กร โดยมีผลตอบแทนที่เหมาะสมยอมรับได้ วัดและประเมินคุณค่าได้ทั้งในปัจจุบันและในอนาคต จาก Performance Measurement ที่พิจารณาจากสินทรัพย์ที่ไม่มีตัวตน หรือ Intangble Asset และสินทรัพย์ที่มีตัวตน หรือ Tangble Asset ในระดับองค์กร

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การมีตัวชี้วัดหรือ KPI ที่เหมาะสมในการวัดคุณภาพการจัดการทางด้าน IT Management และ IT Governance ตามหลัก Balance Scorecard จะช่วยให้ผู้บริหาร และผู้ปฏิบัติงานในระดับต่าง ๆ ขององค์กรมั่นใจและประเมินตนเองได้ว่า องค์กรของตนมีศักยภาพและมีคุณภาพที่เกี่ยวข้องกับประสิทธิภาพและประสิทธิผลในการบริหารจัดการด้านเทคโนโลยีสารสนเทศเพียงใด ซึ่งจะมีประโยชน์อย่างยิ่งในการปรับปรุงตนเองหรือกระบวนการทำงานให้เหมาะสม เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนตามหลักการของการกำกับดูแลกิจการที่ดี หรือ Corporate Governance ต่อไป

เกณฑ์ที่ใช้วัดอาจพิจารณาได้ดังต่อไปนี้

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

เกณฑ์การวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management หรือการบริหารจัดการสารสนเทศ

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

ขอให้ท่านติดตาม Performance Measurement ในอีก 2 ด้านที่สำคัญตามหลักการ Balance Scorecard คือ การวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT กับการวัดผลการดำเนินงานด้านการจัดการ IT

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว