แผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป

กรกฎาคม 21, 2009

ครั้งที่แล้วผมได้นำเสนอกรอบการตรวจสอบเรื่องการทุจริต และตั้งใจว่าจะตามด้วยสัญญาเตือนภัยของเหตุการณ์ที่อาจก่อให้เกิดการทุจริต (Red Flag) ได้ อย่างไรก็ดี เพื่อให้ท่านผู้อ่านที่ติดตามเรื่องการตรวจสอบทางด้าน IT และ Non – IT Audit ได้ทราบถึงหัวข้อของแผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป ผมจึงจะขอนำเสนอและอธิบายด้วยแผนภาพ เพื่อให้เกิดความเข้าใจและติดตามได้โดยง่าย

Internal Auditing Standards and Auditors & CEA

Internal Auditing Standards and Auditors & CEA

มาถึงจุดนี้ ท่านผู้อ่านโดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบภายในและผู้บริหารงานตรวจสอบภายในก็ยังไม่เห็นภาพการแบ่งแยก งานการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ที่ชัดเจน ทั้งนี้เพราะการเข้าใจในลักษณะการปฏิบัติงานของหน่วยงานรับตรวจ รวมทั้งขอบเขตและเป้าประสงค์ในการตรวจสอบ เป็นเรื่องจำเป็นที่จะต้องทำความเข้าใจกระบวนการประมวลข้อมูลด้วยคอมพิวเตอร์ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า หากผู้ตรวจสอบได้รับมอบหมายให้ปฏิบัติงานตรวจสอบภายใน ในลักษณะที่เป็น manual ซึ่งไม่ใช่เป็นงานทางด้าน IT Audit ผู้ตรวจสอบก็ยังจำเป็นจะต้องศึกษาความน่าเชื่อถือของข้อมูลและสารสนเทศ ที่ประมวลโดยระบบคอมพิวเตอร์ก่อนวางแผนการตรวจสอบในขั้นตอนต่อไป

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

ในขั้นตอนนี้ สำหรับผู้ตรวจสอบที่ต้องการตรวจสอบภายในที่ไม่เกี่ยวข้องกับทางด้าน IT Audit อาจศึกษาแนวทางการตรวจสอบภายในของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ที่ร่วมกับ ตลาดหลักทรัพย์แห่งประเทศไทย จัดทำหนังสือแนวทางการตรวจสอบภายในขึ้นมา 2 เล่ม ที่ครอบคลุมภาพรวมของการตรวจสอบภายใน กระบวนการตรวจสอบ เทคนิคการตรวจสอบ และการบริหารงานตรวจสอบภายใน ซึ่งจัดทำได้ดีและเข้าใจได้ง่ายที่ผู้ตรวจสอบและผู้บริหารงานตรวจสอบ โดยเฉพาะงานตรวจสอบที่ไม่เกี่ยวข้องกับ IT Audit หรือเกี่ยวข้องในลักษณะเป็นพื้นฐานเบื้องต้น สามารถใช้หนังสือดังกล่าวในการศึกษาเพื่อปฏิบัติงานตรวจสอบภายในได้เป็นอย่างดี

ผมเองจะมุ่งให้คำอธิบายและแนะนำแนวทางการตรวจสอบที่ผสมผสานระหว่าง IT Audit และ Non – IT Audit ที่อาจไม่ได้กล่าวไว้ในหนังสือแนวทางดังกล่าวข้างต้น เพื่อให้เกิดความเข้าใจในอีกมุมมองหนึ่ง

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

เพื่อเป็นการสะท้อนถึงแนวทางดังกล่าว ผมจึงจะขอนำเสนอคำอธิบายในรูปแบบเป็น Slide ที่สามารถพิจารณาในรายละเอียดและสร้างความเข้าใจได้ลึกซึ้ง และเป็นกระบวนการที่ดีมากกว่าคำอธิบายเป็นลายลักษณ์อักษร ยกเว้นในกรณีจำเป็นที่เห็นว่าจะเป็นประโยชน์ต่อท่านผู้บริหารงานตรวจสอบภายใน และผู้ปฏิบัติงานการตรวจสอบภายใน ผมจึงจะยกตัวอย่างและอธิบายในรายละเอียด ซึ่งเป็นลายลักษณ์อักษรมากขึ้น

วันนี้ เราลองมาดูแผนภาพที่แสดงเป็น Slide ต่าง ๆ ให้ท่านได้ดู ซึ่งพยายามที่จะจัดลำดับให้ท่านผู้อ่านได้ติดตามและทำความเข้าใจได้ง่าย ดังที่เสนอในแผนภาพข้างต้นตามลำดับนะครับ

Risk-based Audit Approach and Auditors

Risk-based Audit Approach and Auditors

สำหรับการตรวจสอบการปฏิบัติการ โดยเฉพาะอย่างยิ่งการตรวจสอบที่เกี่ยวกับความเสี่ยงทางด้านผู้บริหาร และพนักงาน (People Risk) กระบวนการดำเนินงาน (Process Risk) และเทคโนโลยี (Technology Risk) ซึ่งเป็นเรื่องที่มีความสำคัญมาก โดยเฉพาะอย่างยิ่ง ธนาคารแห่งประเทศไทย ก็ให้ความสำคัญและให้น้ำหนักของกระบวนการตรวจสอบด้าน Operational Risk ซึ่งจะมีผลอย่างสำคัญต่อ Management Risk ที่มีผลกระทบต่อองค์กรในวงกว้าง และบางกรณีมีผลกระทบไม่เฉพาะหน่วยงานใด หน่วยงานหนึ่ง แต่มีผลกระทบต่อระบบงานและสังคมในภาพใหญ่เลยทีเดียว

Understand the Control Environment and Flow of Transactions

Understand the Control Environment and Flow of Transactions

สำหรับการตรวจสอบและประเมินศัยกภาพการปฏิบัติตาม Compliance ขอให้ท่าน CAE และผู้ตรวจสอบทุกท่าน ได้โปรดอย่าลืมว่า การบริหารเพื่อสร้างคุณค่าเพิ่มในลักษณะของ GRC ซึ่งเป็นกระบวนการขับเคลื่อนระบบบริหารแบบบูรณาการทั่วทั้งองค์กร ที่เรียกว่า Integrity – Driven Performance และเป็น A New Strategy for Success ผ่านกระบวนการ GRC ซึ่งเป็นแนวทางปฏิบัติของการบริหารยุคใหม่ที่เปลี่ยนคำจำกัดความในการบรรลุเป้าหมาย โดยมุ่งเน้น Stakeholders แทน Shareholders และได้เพิ่มการปฏิบัติตามมาตรฐาน และการสร้างจริยธรรมทางธุรกิจในการบริหารอย่างเป็นกระบวนการ ตามที่ผมได้กล่าวไว้ในหัวข้อ GRC ในวันนี้และในวันต่อ ๆ ไปนั้น ขอให้ท่านผู้บริหารงานตรวจสอบได้ลองติดตามดูว่า หากท่านจะวางแผนการตรวจสอบการบริหารงานยุคใหม่ที่ใช้กรอบของ GRC เป็นหลักแล้วละก็ ท่านควรจะวางแผนและปฏิบัติงานตรวจสอบเช่นใดจึงจะเหมาะสมนะครับ

1 ความเห็น | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

GRC เป็นกลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance

กรกฎาคม 21, 2009

Governance ในความหมายของ GRC ได้รวมถึงหลักทางด้านการปฏิรูปการบริหารแบบสอดประสานบูรณาการของ GRC ที่สำคัญมาก ก็คือ

1. การปกป้องและสร้างชื่อเสียง ความไว้วางใจและการสร้างคุณค่าเพิ่มขององค์กร จากการเน้นบริหารทรัพยากรที่ไม่มีตัวตน (Intangible Assets) ที่ยังมีความเข้าใจ การปฏิบัติที่แตกต่างกันมาก

2. การบริหารที่สอดคล้องกับความต้องการ ความคาดหวังใหม่ ๆ ของผู้มีผลประโยชน์ร่วม (Stakeholders) แทนการเน้นผู้ถือหุ้น (Shareholders) ซึ่งเน้นการทำกำไรที่ขาดความยั่งยืน ซึ่งไม่เป็นไปตามหลักการของ Governance

3. การขับเคลื่อนคุณค่าหรือ “Value” และการบริหาร/การจัดการการปฏิบัติงานที่ดี ตามแนวทางการเติบโตอย่างยั่งยืนที่เกี่ยวกับบุคลากร (People) กระบวนการทำงาน (Process) และเทคโนโลยีทางด้านสารสนเทศ (Technology) ที่ต้องเน้นความเป็นรูปธรรมในเรื่องของจรรยาบรรณ (Ethics) ที่เกี่ยวกับ Governance การบริหารความเสี่ยง (Risk Management) และการปฏิบัติตามมาตรฐาน และกฎเกณฑ์ของสังคม ทั้งภายนอกประเทศ ภายในประเทศ และระดับองค์กร

ความหมายของคำว่า Ethics และ Compliance (C) นั้น จำเป็นจะต้องทำความเข้าใจความหมายที่มีการปฏิรูปที่มีความชัดเจนและอาจแตกต่างจากเดิม ซึ่งผมจะอธิบายในตอนต่อ ๆ ไปให้มีความละเอียดและชัดเจนมากยิ่งขึ้นนั้น จะเกี่ยวข้องกับการพิจารณาการตัดสินใจในการบริหารการจัดการว่าผิดหรือถูก ที่อยู่บนพื้นฐานว่า องค์กรมีเป้าหมายหลักที่ Stakeholders หรือ Shareholders เป็นสำคัญ

4. การบริหารองค์กรในภาวะวิกฤติ และการแก้ไขภาวะวิกฤติให้สู่ภาวะปกติโดยเร็ว อันเกิดจากผลกระทบทางลบตามที่กล่าวใน ข้อ 1 – 3 ข้างต้น โดยเน้นชื่อเสียง ความไว้วางใจ การบริหารแบบบูรณาการในการสร้างคุณค่าเพิ่มที่เกิดจากจุดอ่อนหรือการบริหารความเสี่ยงที่ล้มเหลว หรือขาดประสิทธิภาพในการดำเนินการ ไม่เป็นไปตามความคาดหวังของผู้มีผลประโยชน์ร่วม (Stakeholders)

GRC A New Strategy for Success

GRC A New Strategy for Success

นอกจากนี้ องค์กร โดยเฉพาะอย่างยิ่ง คณะกรรมการ ผู้บริหาร ต้องมีความสามารถในการสร้างศักยภาพทางด้าน GRC โดยการขับเคลื่อนองค์กร ปฏิบัติงานได้อย่างสอดคล้องกับความต้องการของผู้กำกับ กฎเกณฑ์ และการเพิ่มความต้องการให้องค์กรปฏิบัติตามมาตรฐานและกฎหมายที่นำมาใช้ใหม่ ๆ และผลกระทบที่เป็นความเสี่ยงทางด้านต่าง ๆ ที่เพิ่มขึ้นขององค์กรได้อย่างเป็นรูปธรรม

การบริหารและการจัดการที่ดีในมุมมองของการบริหารเพื่อการเติบโตอย่างยั่งยืน ตามหลักการของ GRC ซึ่งพิจารณาได้ว่ามีความสำคัญยิ่งนั้น แต่ละองค์กรมีประสบการณ์และมีความสามารถในการรักษาเสถียรภาพที่ดีของการบริหารแบบ GRC ตามแนว Concept ปัจจุบันในความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ได้แตกต่างกัน ทำให้หลายองค์กรทั้งภายในและต่างประเทศ ต่างก็มีปัญหาตามมาได้มากมาย ตั้งแต่การเสียชื่อเสียง ความไม่น่าเชื่อถือที่ลดลงมา ไปจนกระทั่งต้องปิดกิจการหรือล้มละลายไปในที่สุด

Governance built on principles of ethiscs, independence, transparency, integrity and accountability

Governance built on principles of ethiscs, independence, transparency, integrity and accountability

แนวทางใหม่ในการบริหารตามแบบของ GRC ซึ่งเป็นการเน้นการบริหารแบบสอดประสานและเป็นบูรณาการ เพื่อสร้างศักยภาพ ความสามารถ เพิ่มประสิทธิภาพ เพิ่มประสิทธิผลจากการดำเนินงานที่มีกระบวนการทำงานทั้งองค์กรเกี่ยวพันกัน ตั้งแต่มุมมองของวิสัยทัศน์ใหม่ที่เน้นผู้มีผลประโยชน์ร่วม การตั้งวัตถุประสงค์โดยรวมกับองค์กรที่สอดประสานกันในลักษณะ P + P + T คือ People + Process + Technology :
P – การกำหนดและปรับปรุงกลยุทธ์และนโยบาย รวมทั้งวิธีการปฏิบัติงานที่ชัดเจน เป็นรูปธรรม มีการติดตามดูแลการบริหารอย่างใกล้ชิด โดยคณะกรรมการ และผู้บริหาร
P – การปรับปรุงให้กระบวนการบริหารมีคุณภาพดีอยู่เสมอ
T – การบริหารจัดการข้อมูลและสารสนเทศที่เกี่ยวข้องด้านหลัก ๆ คือ Input + Process + Output + Authorization และการปฏิบัติตามมาตรฐานที่เกี่ยวข้องกับ Information Security คือ CIA เป็นสำคัญ

การเชื่อมโยงกระบวนการสร้าง GRC เข้ากับระบบปฏิบัติการ (Performance) เป็นการสร้างคุณค่าเพิ่มอย่างยั่งยืน เพราะองค์กรที่ใช้หลักการของ GRC จะพิจารณาผลประโยชน์ของ Stakeholders แทน Shareholders เป็นสำคัญ อีกทั้งกลยุทธ์ นโยบาย แผนงานไปสู่การปฏิบัติที่เป็นรูปธรรมจากจิตสำนึก (Spiritual) ทั่วทั้งองค์กร เพื่อการขับเคลื่อนคุณค่าและสร้างความเชื่อมั่น พร้อม ๆ กับการสร้างวัฒนธรรม และจริยธรรมที่เหมาะสมให้กับองค์กรเป็นสิ่งที่จำเป็นอย่างยิ่งยวด

โปรดติดตามตอนต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เว็บใหม่ itgthailand.com

กรกฎาคม 21, 2009

เนื่องจาก ผมได้ปรับเปลี่ยนระบบของการเขียนเว็บบล็อก ด้วยการจดทะเบียนเป็นชื่อ itgthailand.com เพื่อให้มีศักยภาพ มีประสิทธิภาพ และมีความสเถียรมากขึ้น

ทุกท่านที่ติดตามเนื้อหา สาระ ข้อมูลความรู้ในหัวข้อต่าง ๆ ของ http://www.itgthailand.wordpress.com แห่งนี้ สามารถเข้าชมและติดตามเนื้อหาตอนต่อ ๆ ไปได้ใน http://www.itgthailand.com หรือคลิก link http://www.itgthailand.com ตั้งแต่วันนี้ (8 กรกฎาคม 2552) เป็นต้นไปครับ

Leave a Comment » | การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn