แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 8, 2009

ช่วงนี้อากาศเย็นเพราะฝนตกบ่อย ผมอยู่นอกบ้านอากาศเย็นถึงกับหนาว ๆ อยู่บ้าง พอกลับเข้ามาในบ้านก็รู้สึกอบอุ่นขึ้นมาหน่อย หลายท่านก็ต้องระวังจะไม่สบายตามฝนฟ้าอากาศด้วยนะครับ สำหรับวันนี้ผมจะมาเล่าต่อถึงการจัดกลุ่มของเหตุการณ์จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน

การจัดกลุ่มเหตุการณ์
การจัดเหตุการณ์แฝงให้เป็นกลุ่มอาจเป็นสิ่งที่มีประโยชน์ การรวบรวมเหตุการณ์ระหว่างองค์กรและภายในส่วนงานต่าง ๆ ขององค์กรนั้น ผู้บริหารจะพัฒนาความเข้าใจของความสัมพันธ์กันระหว่างเหตุการณ์ได้รับข้อมูลเพิ่มขึ้น เพื่อใช้เป็นพื้นฐานในการประเมินค่าความเสี่ยงในการจัดกลุ่มเหตุการณ์แฝงที่เหมือนกัน ผู้บริหารจะสามารถกำหนดโอกาสและความเสี่ยงได้ดียิ่งขึ้น
การแบ่งกลุ่มเหตุการณ์ทำให้ผู้บริหารได้พิจารณาถึงความสมบูรณ์ของความพยายามที่จะแยกแยะเหตุการณ์ จากการตรวจสอบเหตุการณ์แฝงในกลุ่มนี้ ผู้บริหารสามารถวัดได้ว่ามีการแยกแยะความสำคัญของเหตุการณ์แฝงซึ่งสัมพันธ์กับการผิดพลาดของกิจกรรมต่าง ๆ ที่เกี่ยวข้องได้หรือไม่

ยิ่งไปกว่านั้น การจัดกลุ่มเหตุการณ์สามารถเสริมภาพเหตุการณ์ ประวัติขององค์กรต่าง ๆ บางองค์กรได้พัฒนาการแบ่งกลุ่มเหตุการณ์บนพื้นฐานของการจัดกลุ่มของวัตถุประสงค์การใช้ระดับขั้น ซึ่งเริ่มต้นด้วยวัตถุประสงค์ระดับสูงและลดหลั่นลงมาสู่วัตถุประสงค์ซึ่งเกี่ยวข้องกับหน่วยงานขององค์กร หรือการดำเนินธุรกิจ

ผู้บริหารต้องตระหนักว่ายังมีเหตุการณ์ที่มีความไม่แน่นอน ซึ่งไม่สามารถคาดการณ์ว่าจะเกิดอะไร เมื่อไร หรือส่งผลอย่างไร การกำหนดเหตุการณ์นี้คือผู้บริหารต้องพิจารณาปัจจัยทั้งภายนอกภายในที่มีผลทำให้เกิดเหตุการณ์ดังกล่าวขึ้น

ปัจจัยภายนอก รวมถึงสภาวะเศรษฐกิจ ธุรกิจ สภาพแวดล้อมทางธรรมชาติ การเมือง สังคมและเทคโนโลยีใหม่ ๆ ปัจจัยภายใน เช่นสาธารณูปโภคขั้นพื้นฐาน (Infrastructure) บุคลากร กระบวนการทำงาน หรือเทคโนโลยี

เหตุการณ์ที่มีความเป็นไปได้ว่าจะเกิดขึ้นมีผลกระทบได้ทั้งแง่บวกและแง่ลบ เหตุการณ์ที่มีผลกระทบในแง่บวกแสดงถึงโอกาส โอกาสสามารถนำไปกำหนดกลยุทธ์หรือกระบวนการในการกำหนดเป้าหมายหรือวัตถุประสงค์ขององค์กร เหตุการณ์ที่มีผลกระทบในแง่ลบแสดงถึงความเสี่ยงที่เกิดขึ้น ซึ่งฝ่ายจัดการต้องทำการประเมินและตอบสนองกับเหตุการณ์นั้น ความเสี่ยงที่ถูกกำหนดนั้นเป็นเหตุการณ์ที่เกิดขึ้นและมีผลกระทบต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายนอก เช่น
– ภาวะการเปลี่ยนแปลงของเทคโนโลยี
– ลูกค้าเปลี่ยนทัศนคติหรือความพึงพอใจต่อสินค้าหรือบริการ
– ภาวะการแข่งขันทางการตลาดทั้งสินค้าและบริการ
– กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
– สภาวะทางเศรษฐกิจ การค้า ความร่วมมือระหว่างประเทศ และสภาวะแวดล้อมภายนอกอื่น

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายในและระบบงาน เช่น
– ศักยภาพของบุคลากร กระบวนการบริหาร โครงสร้าง และการบริหารแผนงานขององค์กร
– ปริมาณและความซับซ้อนของรายการค้า การบริการ ผู้มีผลประโยชน์ร่วม และสาขางานที่เกี่ยวข้อง
– คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เพื่อการรายงาน เพื่อการบริหาร
– คุณภาพและความสามารถของพนักงาน ความขัดแย้งชิงดีชิงเด่นภายในองค์กร และนโยบายเกี่ยวกับการบริหารบุคลากรขององค์กร
– คุณภาพและการเปลี่ยนแปลง ฝ่ายบริหาร วิธีการบริหาร ระบบและวิธีการปฏิบัติงาน
– การคัดเลือกคณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ไม่เหมาะสม ทำให้ได้ผู้ที่ไม่มีคุณภาพมากำกับดูแลงาน
– ความเพียงพอและประสิทธิผลการควบคุม

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

วิธีการจำแนกเหตุการณ์จากพื้นฐานของปัจจัยภายนอกและปัจจัยภายใน
ปัจจัยภายใน พิจารณาจาก
โครงสร้างพื้นฐาน
– สินทรัพย์ที่มีอยู่
– ความสามารถของสินทรัพย์
– การเข้าถึงทุน
– ความซับซ้อน
– การรวมกัน/การหามาได้

บุคลากร
– ความสามารถของพนักงาน
– สุขภาพและความปลอดภัย
– การตัดสินคุณค่า
– การปฏิบัติที่ปลอดภัย
– การดำเนินการขาย

กระบวนการ
– ความสามารถ
– การออกแบบ
– การดำเนินการ
– ผู้ขาย/การพึ่งพา

เทคโนโลยี
– ข้อมูล
– ข้อมูลและการได้มาซึ่งระบบ
– ความสามารถ
– ระบบ

ปัจจัยภายนอก พิจารณาจาก
เศรษฐกิจ
– การหาทุน
– เครดิต
– การลื่นไหลของตลาด การหาทุน กระแสเงินสด
– ตลาด ราคาตลาด อัตราดอกเบี้ย การว่างงาน อัตราแลกเปลี่ยน

ธุรกิจ
– ยี่ห้อ/ชื่อสินค้า
– การแข่งขัน
– พฤติกรรมผู้บริโภค
– คู่แข่ง
– ความลำเอียง
– มาตรฐานอุตสาหกรรม
– โครงสร้างความเป็นเจ้าของ
– สาธารณะ
– ความเกี่ยวข้องของผลิตภัณฑ์

เทคนิค
– การค้าอิเล็กทรอนิคส์
– ข้อมูลภายนอก
– การกระจายเทคโนโลยี

สภาพแวดล้อมทางธรรมชาติ
– พลังงาน
– ภัยธรรมชาติ
– การพัฒนาอย่างต่อเนื่อง
– การขนส่ง
– น้ำ
– ไฟ

การเมือง
– การเปลี่ยนรัฐบาล
– กฎหมาย
– นโยบายสาธารณะ
– กฎระเบียบ

สังคม
– ความเป็นประชากรขององค์กร
– ความเป็นส่วนตัว

ความเสี่ยงที่เด่นชัดและโอกาส
เหตุการณ์อาจทำให้เกิดผลทางด้านลบ ทางด้านบวก หรือทั้งสองด้าน เหตุการณ์ซึ่งส่งผลทางด้านลบเป็นเสมือนความเสี่ยง ซึ่งต้องการการประเมินค่าและตอบสนองจากผู้บริหาร ดังนั้น ความเสี่ยงคือความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นและส่งผลอย่างเป็นปฏิปักษ์ต่อความสำเร็จของวัตถุประสงค์

ส่วนเหตุการณ์ซึ่งส่งผลทางบวกเป็นเสมือนโอกาสหรือการโต้ตอบผลลบของความเสี่ยง เหตุการณ์ที่เป็นเสมือนโอกาสจะถูกส่งกลับไปสู่กลยุทธ์ของผู้บริหารหรือในขั้นตอนการตั้งวัตถุประสงค์ เพื่อให้การกระทำสามารถก่อตัวเพื่อครอบงำโอกาส เหตุการณ์ที่โต้ตอบผลลบของความเสี่ยงจะถูกพิจารณา ในการประเมินค่าความเสี่ยงและการตอบสนองของผู้บริหาร

องค์ประกอบสำคัญของการระบุเหตุการณ์

องค์ประกอบสำคัญของการระบุเหตุการณ์

ครั้งหน้าผมจะกล่าวถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ในกระบวนการขั้นถัดไปคือ การประเมินความเสี่ยง ซึ่งเป็นขั้นตอนที่ผู้บริหารองค์กรทั้งหลายไม่ควรพลาดครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความมั่นคง ความปลอดภัยระดับประเทศกับการบริหารความเสี่ยงที่ยอมรับได้ (Risk Appetite)

กรกฎาคม 8, 2009

ทุกท่านที่ได้อ่านข่าวต่าง ๆ ที่เกี่ยวกับประเทศเพื่อนบ้าน เช่น ประเทศทางทิศตะวันตกของไทย ได้ย้ายเมืองหลวงไปอยู่ในสถานที่ห่างไกล ซึ่งตามข่าวอ้างว่าเพื่อความปลอดภัยจากการถูกโจมตี และอื่น รวมทั้งมีข่าวเมื่อประมาณ 2 สัปดาห์ที่ผ่านมาว่า ประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ลับเป็นร้อย ๆ อุโมงค์ ในแต่ละอุโมงค์มีขนาดใหญ่ที่สามารถให้รถบรรทุกทหาร 2 คันวิ่งสวนกันได้ และมีระดับความสูงเพียงพอที่อาจจะใช้เป็นที่เก็บจรวดและยุทโธปกรณ์ขนาดใหญ่ได้ การสร้างอุโมงค์นี้มีหลายสิบอุโมงค์ที่สร้างลอดช่องเขาที่เรียบชายแดนไทยไปทางตอนใต้++

ตามข่าวประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ที่ว่านี้ตั้งแต่ปี 2539 โดยได้รับความร่วมมือจากต่างประเทศที่ปัจจุบันมีอาวุธนิวเคลียร์ไว้ในความครอบครองแล้ว นอกเหนือจากการทดลองขีปนาวุธที่สามารถยิงไกลได้ถึงรัฐอลาสก้า ประเทศสหรัฐอเมริกา เป็นระยะทางประมาณ 8,000 ไมล์ ที่เป็นข่าวครึกโครมกันไปทั่วโลก+++

และจากข่าวที่เรือบรรทุกผลิตภัณฑ์ขนาดหนักที่กำลังมุ่งหน้าไปทางประเทศเพื่อนบ้านแห่งนี้ ได้ถูกระบุจากข่าวต่างประเทศว่า อาจบรรทุกยุทโธปกรณ์ขนาดหนัก ซึ่งก็ได้ดำเนินการมานานพอสมควรแล้วนั้น ทางกองทัพไทย กระทรวงกลาโหม หน่วยงานความมั่นคงต่าง ๆ ของไทย ทั้งทหารและพลเรือน มีกระบวนการบริหารความเสี่ยงที่เต็มรูปแบบและพร้อมรับมือกับสถานะการณ์ต่าง ๆ เหตุการณ์ต่าง ๆ ที่อาจเกิดขึ้นและเป็นไปในทางลบ ถึงลบมาก ซึ่งอาจจะเรียกได้ว่าหากเกิดเหตุการณ์ขึ้นจริง ผลกระทบที่เกิดขึ้นอาจเกินกว่าที่ประเทศไทยยอมรับได้หรือไม่

การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ อันเกิดจากความเสียหายที่จะต้องสร้างสถานะการณ์จำลอง ควบคู่กันไปกับการวิเคราะห์ความเสี่ยง โดยใช้เทคนิค What if… ? เพื่อหาคำตอบ และตามด้วยคำถามจากคำตอบนั้นสลับกันไป ก็น่าจะได้การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Apptite) ซึ่งเป็นเรื่องของความมั่นคงระดับประเทศและเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด พร้อมทั้งการกำหนดยุทธศาสตร์ และนโยบาย รวมทั้งแผนการปฏิบัติการ โดยกำหนดเจ้าภาพ/หน่วยงานที่รับผิดชอบ ตามระดับความเสี่ยง ซึ่งสากลกำหนดไว้ที่ 5 ระดับ และมีการซักซ้อมกันอย่างเหมาะสม+++

เนื่องจากผมมิได้อยู่ในวงการทหาร แต่มีความห่วงใยและกังวลใจในฐานะที่เป็นประชาชนคนไทยคนหนึ่งที่ต้องการเห็นความพร้อมรับมือในทุกรูปแบบ ในทุกสถานการณ์ และทุกเหตุการณ์ในอนาคตที่อาจเกิดขึ้นได้ เพราะการป้องกันเชิงรุก คือการบริหารความเสี่ยงอย่างเป็นระบบย่อมดีกว่าการป้องกันเชิงรับที่ขาดยุทธศาสตร์การดำเนินงานที่เหมาะสมในระดับชาติ

หากมีโอกาสผมจะใคร่ขอออกความเห็นในการสร้างสถานการณ์จำลองตามเทคนิค What if.. ? เพื่อประเมินความพร้อมต่อระบบความมั่นคงของชาติในแง่มุมต่าง ๆ เพราะเรื่องนี้ผู้ที่มีความพร้อมกว่าเท่านั้นจะเป็นผู้ที่ได้เปรียบในรูปแบบต่าง ๆ ซึ่งจะเกิดดุลยภาพทางด้านความมั่นคงของประเทศ และระดับภูมิภาคได้อย่างมั่นใจ

หากมีคำถามว่า หน่วยงานราชการ หน่วยงานความมั่นคง หน่วยงานทางด้านสังคม หน่วยงานทางเศรษฐกิจและการเงิน มีความเข้าใจและมีการเรียนการสอนในระดับสูงถึงการบริหารความเสี่ยงอย่างเป็นกระบวนการหรือไม่ ส่วนใหญ่ก็จะได้คำตอบว่า “เรามีการบริหารความเสี่ยงกันอยู่แล้ว โดยยกตัวอย่างประกอบ เช่นอย่างนั้น เช่นอย่างนี้ อยู่เสมอ ๆ” แต่โดยแท้ที่จริงหน่วยงานภาครัฐหลายหน่วยงานยังขาดการเรียนการสอนกระบวนการบริหารความเสี่ยงอย่างครบถ้วนและเป็นกระบวนการที่แท้จริง แต่มีการบริหารความเสี่ยงเป็นเรื่อง ๆ เป็นส่วน ๆ โดยขาดการบริหารความเสี่ยงในระดับประเทศที่มีการประสานงานในระหว่างหน่วยงานความมั่นคง และหน่วยงานต่าง ๆ ในลักษณะที่เป็นบูรณาการอย่างแท้จริง

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

ในโอกาสต่อ ๆ ไป ผมจะใช้หลักการประเมินความพร้อมด้านความมั่นคงในแง่มุมต่าง ๆ โดยจำลองสถานการณ์ที่เป็นไปได้ เพื่อประเมินยุทธศาสตร์และแนวทางการดำเนินการตามสถานการณ์ที่ไม่อาจยอมรับได้ว่า หน่วยงานนั้น ๆ มีความพร้อมเพียงใดที่จะจัดการกับสถานการณ์ที่เกิดขึ้น มีหน่วยงานใดเป็นเจ้าภาพ และเป็นผู้ตัดสินใจ เป็นผู้สั่งการ หรือต้องจัดให้มีการประชุมโดยใช้เวลาอีกหลายชั่วโมงในการดำเนินการกับเหตุการณ์ที่อาจสร้างความเสียหายที่ไม่อาจยอมรับได้ ซึ่งเหตุการณ์เหล่านี้จะต้องมีแนวการปฏิบัติที่เหมาะสมและเป็นรูปธรรมอย่างจริงจัง

เราจะกลับมาคุยกันในมุมมองของความมั่นคงทางด้านตะวันตกในภายหลังนะครับ

คราวนี้เราลองหันมามองทางทิศตะวันออกของไทยกันบ้าง เช่นเดียวกับที่ได้เกริ่นทางด้านความมั่นคง ความปลอดภัยระดับชาติกับการประเมินความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ ตามที่กล่าวไปแล้ว+++ เรามาตั้งคำถามง่าย ๆ ว่า…

“ทำไมประเทศเล็ก ๆ ที่มีกำลังน้อยกว่าเราในทุกรูปแบบ จึงสามารถข่มขู่หรือใช้วาจาในลักษณะไม่เคารพศักดิ์ศรี ไม่ให้ความเกรงใจประเทศที่ใหญ่กว่าอย่างประเทศไทยเราได้” และ

“ทำไมเราจึงยอมให้มีการสร้างวัด หรือสร้างอาคารในเนื้อที่ของประเทศไทย และมีชาวต่างชาติที่อาจเป็นทหารในรูปแบบของประชาชนมาอยู่ในอาณาเขตของประเทศไทย ซึ่งต่อมาได้กลายเป็นกรณีพิพาทระหว่างประเทศ จนกระทั่งกำลังทหารทั้ง 2 ฝ่าย เผชิญหน้าในลักษณะใกล้ชิดกันอย่างยิ่ง (เก็บตกจากเนื้อข่าวต่าง ๆ)

สำหรับความเห็นส่วนตัวของผม เหตุการณ์ดังกล่าวข้างต้นไม่น่ายอมรับได้ในสภาวะแวดล้อมที่เกิดขึ้นแบบนี้ เพราะเป็นความเสี่ยงทั้ง 2 ฝ่าย ถ้าหากขาดความอดทนซึ่งกันและกัน ซึ่งเป็นเรื่องที่น่าจะหลีกเลี่ยงได้ ถ้ามีการบริหารความเสี่ยง มีการป้องกันหรือควบคุม และมีการจัดการอย่างเป็นระบบภายใต้กรอบความเสี่ยงที่ยอมรับได้ตั้งแต่แรก ๆ ซึ่งเป็นไปตามหลักการบริหารความเสี่ยงสากล ที่ใช้แนวทางของ COSO – Enterprise Risk Management เป็นต้น”

ผลที่ตามมา ถ้าหากมีการบริหารความเสี่ยงในเชิงบูรณาการและมีการสอดประสานงานกันอย่างใกล้ชิด และเป็นระบบก็น่าจะลดความตึงเครียดและความเข้าใจผิดที่อาจจะเกิดขึ้นได้เป็นอย่างดี

ลองหันไปดูทางทิศใต้ของประเทศไทย เป็นความยากอย่างยิ่งในการออกความเห็นของผมในสถานการณ์ที่อ่อนไหวมาก ๆ ในปัจจุบัน++ อย่างไรก็ดี หากผู้บริหารระดับประเทศใช้หลักการของ COSO – ERM พร้อมกับการวางกลยุทธ์และนโยบายที่เหมาะสม โดยมองอนาคตและเหตุการณ์ที่อาจควบคุมได้อย่างเป็นระบบ ทั้งเชิงรุกและเชิงรับ ก็อาจมีแนวทางบางประการที่แตกต่างจากที่เป็นอยู่ก็ได้นะครับ

วันนี้ ผมได้นำหลักการบริหารความเสี่ยงของประเทศที่ใช้หลักการบริหารความเสี่ยงขององค์กรมาอธิบายในระดับหนึ่ง ซึ่งผมเข้าใจว่าน่าจะได้ประโยชน์พอสมควร โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เป็นความมั่นคงของประเทศ น่าจะเป็นเรื่องที่ต้องช่วยกันคิด ช่วยกันออกความเห็น ในระดับประชาชน และท้องถิ่น เช่นเดียวกับการควบคุมภายในตามฐานความเสี่ยงเป็นหน้าที่ของบุคคลทุกคนภายในองค์กรนั้น ตั้งแต่คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงาน โดยมีความรับผิดชอบที่แตกต่างกันออกไป

เป็นเรื่องแปลกแต่จริงก็คือ สำนักงานตรวจเงินแผ่นดินได้มีการสำรวจความรู้ ความเข้าใจในเรื่องการควบคุมภายใน ตามฐานความเสี่ยงทั่วประเทศมาแล้ว ผลที่ออกมาเป็นเรื่องที่น่าใจหายอย่างยิ่ง เพราะผู้บริหารระดับสูง ผู้บริหารระดับกลาง ต่างก็เข้าใจไม่ถูกต้องตามหลักการของ COSO – ERM กันเป็นส่วนใหญ่ ถึงร้อยละประมาณ 80% ของการสำรวจในหน่วยงาน 500 กว่าแห่ง ซึ่งให้เห็นแสดงว่าควรจะมีการร่วมด้วยช่วยกันในเรื่องของกระบวนการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในอย่างเป็นระบบ

ท่านที่อ่านมาถึงตอนนี้ อาจจะมีความเข้าใจที่แตกต่างกันบ้างในบางมุมมอง เพราะผมยังไม่ได้ลงในรายละเอียดต่าง ๆ เช่น การอธิบายถึงคำว่า กระบวนการบริหารความเสี่ยงหมายถึงอะไร และทำไมจึงต้องมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Appetite) และระดับความเบี่ยงเบนที่อาจเกิดขึ้น (Risk Tolerance) มิฉะนั้น การวางยุทธศาสตร์ นโยบาย การกำหนดเป้าหมาย อาจไม่เป็นไปตามพันธกิจ และวิสัยทัศน์ของประเทศทางด้านความมั่นคงที่ต้องถ่ายทอดไปยังแผนการปฏิบัติที่เป็นรูปธรรม และการประสานงานอย่างบูรณาการก็จะเกิดขึ้นอย่างไม่สมบูรณ์ ซึ่งเป็นที่มาของประสิทธิภาพและประสิทธิผลทางด้านความมั่นคง รวมทั้งการบริหารจัดการในเรื่องต่าง ๆ ที่เกี่ยวข้อง

นี่คือที่มาของความเป็นห่วงใยของประชาชนคนหนึ่ง ที่พยายามจะนำหลักการทางวิชาการมาประยุกต์ใช้ในการบริหารและการจัดการในทุกองค์กร เพื่อก้าวสู่กระบวนการจัดการทางด้านความมั่นคงและความปลอดภัยของประเทศชาติอันเป็นที่รักยิ่งของเราทุกคน

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความมั่นคง ความปลอดภัยระดับประเทศกับการบริหารความเสี่ยงที่ยอมรับได้ (Risk Appetite)

กรกฎาคม 8, 2009

ทุกท่านที่ได้อ่านข่าวต่าง ๆ ที่เกี่ยวกับประเทศเพื่อนบ้าน เช่น ประเทศทางทิศตะวันตกของไทย ได้ย้ายเมืองหลวงไปอยู่ในสถานที่ห่างไกล ซึ่งตามข่าวอ้างว่าเพื่อความปลอดภัยจากการถูกโจมตี และอื่น รวมทั้งมีข่าวเมื่อประมาณ 2 สัปดาห์ที่ผ่านมาว่า ประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ลับเป็นร้อย ๆ อุโมงค์ ในแต่ละอุโมงค์มีขนาดใหญ่ที่สามารถให้รถบรรทุกทหาร 2 คันวิ่งสวนกันได้ และมีระดับความสูงเพียงพอที่อาจจะใช้เป็นที่เก็บจรวดและยุทโธปกรณ์ขนาดใหญ่ได้ การสร้างอุโมงค์นี้มีหลายสิบอุโมงค์ที่สร้างลอดช่องเขาที่เรียบชายแดนไทยไปทางตอนใต้++

ตามข่าวประเทศเพื่อนบ้านนี้ได้สร้างอุโมงค์ที่ว่านี้ตั้งแต่ปี 2539 โดยได้รับความร่วมมือจากต่างประเทศที่ปัจจุบันมีอาวุธนิวเคลียร์ไว้ในความครอบครองแล้ว นอกเหนือจากการทดลองขีปนาวุธที่สามารถยิงไกลได้ถึงรัฐอลาสก้า ประเทศสหรัฐอเมริกา เป็นระยะทางประมาณ 8,000 ไมล์ ที่เป็นข่าวครึกโครมกันไปทั่วโลก+++

และจากข่าวที่เรือบรรทุกผลิตภัณฑ์ขนาดหนักที่กำลังมุ่งหน้าไปทางประเทศเพื่อนบ้านแห่งนี้ ได้ถูกระบุจากข่าวต่างประเทศว่า อาจบรรทุกยุทโธปกรณ์ขนาดหนัก ซึ่งก็ได้ดำเนินการมานานพอสมควรแล้วนั้น ทางกองทัพไทย กระทรวงกลาโหม หน่วยงานความมั่นคงต่าง ๆ ของไทย ทั้งทหารและพลเรือน มีกระบวนการบริหารความเสี่ยงที่เต็มรูปแบบและพร้อมรับมือกับสถานะการณ์ต่าง ๆ เหตุการณ์ต่าง ๆ ที่อาจเกิดขึ้นและเป็นไปในทางลบ ถึงลบมาก ซึ่งอาจจะเรียกได้ว่าหากเกิดเหตุการณ์ขึ้นจริง ผลกระทบที่เกิดขึ้นอาจเกินกว่าที่ประเทศไทยยอมรับได้หรือไม่

การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ อันเกิดจากความเสียหายที่จะต้องสร้างสถานะการณ์จำลอง ควบคู่กันไปกับการวิเคราะห์ความเสี่ยง โดยใช้เทคนิค What if… ? เพื่อหาคำตอบ และตามด้วยคำถามจากคำตอบนั้นสลับกันไป ก็น่าจะได้การกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Apptite) ซึ่งเป็นเรื่องของความมั่นคงระดับประเทศและเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด พร้อมทั้งการกำหนดยุทธศาสตร์ และนโยบาย รวมทั้งแผนการปฏิบัติการ โดยกำหนดเจ้าภาพ/หน่วยงานที่รับผิดชอบ ตามระดับความเสี่ยง ซึ่งสากลกำหนดไว้ที่ 5 ระดับ และมีการซักซ้อมกันอย่างเหมาะสม+++

เนื่องจากผมมิได้อยู่ในวงการทหาร แต่มีความห่วงใยและกังวลใจในฐานะที่เป็นประชาชนคนไทยคนหนึ่งที่ต้องการเห็นความพร้อมรับมือในทุกรูปแบบ ในทุกสถานการณ์ และทุกเหตุการณ์ในอนาคตที่อาจเกิดขึ้นได้ เพราะการป้องกันเชิงรุก คือการบริหารความเสี่ยงอย่างเป็นระบบย่อมดีกว่าการป้องกันเชิงรับที่ขาดยุทธศาสตร์การดำเนินงานที่เหมาะสมในระดับชาติ

หากมีโอกาสผมจะใคร่ขอออกความเห็นในการสร้างสถานการณ์จำลองตามเทคนิค What if.. ? เพื่อประเมินความพร้อมต่อระบบความมั่นคงของชาติในแง่มุมต่าง ๆ เพราะเรื่องนี้ผู้ที่มีความพร้อมกว่าเท่านั้นจะเป็นผู้ที่ได้เปรียบในรูปแบบต่าง ๆ ซึ่งจะเกิดดุลยภาพทางด้านความมั่นคงของประเทศ และระดับภูมิภาคได้อย่างมั่นใจ

หากมีคำถามว่า หน่วยงานราชการ หน่วยงานความมั่นคง หน่วยงานทางด้านสังคม หน่วยงานทางเศรษฐกิจและการเงิน มีความเข้าใจและมีการเรียนการสอนในระดับสูงถึงการบริหารความเสี่ยงอย่างเป็นกระบวนการหรือไม่ ส่วนใหญ่ก็จะได้คำตอบว่า “เรามีการบริหารความเสี่ยงกันอยู่แล้ว โดยยกตัวอย่างประกอบ เช่นอย่างนั้น เช่นอย่างนี้ อยู่เสมอ ๆ” แต่โดยแท้ที่จริงหน่วยงานภาครัฐหลายหน่วยงานยังขาดการเรียนการสอนกระบวนการบริหารความเสี่ยงอย่างครบถ้วนและเป็นกระบวนการที่แท้จริง แต่มีการบริหารความเสี่ยงเป็นเรื่อง ๆ เป็นส่วน ๆ โดยขาดการบริหารความเสี่ยงในระดับประเทศที่มีการประสานงานในระหว่างหน่วยงานความมั่นคง และหน่วยงานต่าง ๆ ในลักษณะที่เป็นบูรณาการอย่างแท้จริง

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

การกำหนดระดับความเสี่ยงของประเทศที่ยอมรับได้ (Risk Appetite) เป็นเรื่องสำคัญยิ่ง และต้องดำเนินการก่อนที่จะมีการกำหนดยุทธศาสตร์ ยูทธวิธี นโยบาย และแนวทางจัดการที่เหมาะสม

ในโอกาสต่อ ๆ ไป ผมจะใช้หลักการประเมินความพร้อมด้านความมั่นคงในแง่มุมต่าง ๆ โดยจำลองสถานการณ์ที่เป็นไปได้ เพื่อประเมินยุทธศาสตร์และแนวทางการดำเนินการตามสถานการณ์ที่ไม่อาจยอมรับได้ว่า หน่วยงานนั้น ๆ มีความพร้อมเพียงใดที่จะจัดการกับสถานการณ์ที่เกิดขึ้น มีหน่วยงานใดเป็นเจ้าภาพ และเป็นผู้ตัดสินใจ เป็นผู้สั่งการ หรือต้องจัดให้มีการประชุมโดยใช้เวลาอีกหลายชั่วโมงในการดำเนินการกับเหตุการณ์ที่อาจสร้างความเสียหายที่ไม่อาจยอมรับได้ ซึ่งเหตุการณ์เหล่านี้จะต้องมีแนวการปฏิบัติที่เหมาะสมและเป็นรูปธรรมอย่างจริงจัง

เราจะกลับมาคุยกันในมุมมองของความมั่นคงทางด้านตะวันตกในภายหลังนะครับ

คราวนี้เราลองหันมามองทางทิศตะวันออกของไทยกันบ้าง เช่นเดียวกับที่ได้เกริ่นทางด้านความมั่นคง ความปลอดภัยระดับชาติกับการประเมินความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ ตามที่กล่าวไปแล้ว+++ เรามาตั้งคำถามง่าย ๆ ว่า…

“ทำไมประเทศเล็ก ๆ ที่มีกำลังน้อยกว่าเราในทุกรูปแบบ จึงสามารถข่มขู่หรือใช้วาจาในลักษณะไม่เคารพศักดิ์ศรี ไม่ให้ความเกรงใจประเทศที่ใหญ่กว่าอย่างประเทศไทยเราได้” และ

“ทำไมเราจึงยอมให้มีการสร้างวัด หรือสร้างอาคารในเนื้อที่ของประเทศไทย และมีชาวต่างชาติที่อาจเป็นทหารในรูปแบบของประชาชนมาอยู่ในอาณาเขตของประเทศไทย ซึ่งต่อมาได้กลายเป็นกรณีพิพาทระหว่างประเทศ จนกระทั่งกำลังทหารทั้ง 2 ฝ่าย เผชิญหน้าในลักษณะใกล้ชิดกันอย่างยิ่ง (เก็บตกจากเนื้อข่าวต่าง ๆ)

สำหรับความเห็นส่วนตัวของผม เหตุการณ์ดังกล่าวข้างต้นไม่น่ายอมรับได้ในสภาวะแวดล้อมที่เกิดขึ้นแบบนี้ เพราะเป็นความเสี่ยงทั้ง 2 ฝ่าย ถ้าหากขาดความอดทนซึ่งกันและกัน ซึ่งเป็นเรื่องที่น่าจะหลีกเลี่ยงได้ ถ้ามีการบริหารความเสี่ยง มีการป้องกันหรือควบคุม และมีการจัดการอย่างเป็นระบบภายใต้กรอบความเสี่ยงที่ยอมรับได้ตั้งแต่แรก ๆ ซึ่งเป็นไปตามหลักการบริหารความเสี่ยงสากล ที่ใช้แนวทางของ COSO – Enterprise Risk Management เป็นต้น”

ผลที่ตามมา ถ้าหากมีการบริหารความเสี่ยงในเชิงบูรณาการและมีการสอดประสานงานกันอย่างใกล้ชิด และเป็นระบบก็น่าจะลดความตึงเครียดและความเข้าใจผิดที่อาจจะเกิดขึ้นได้เป็นอย่างดี

ลองหันไปดูทางทิศใต้ของประเทศไทย เป็นความยากอย่างยิ่งในการออกความเห็นของผมในสถานการณ์ที่อ่อนไหวมาก ๆ ในปัจจุบัน++ อย่างไรก็ดี หากผู้บริหารระดับประเทศใช้หลักการของ COSO – ERM พร้อมกับการวางกลยุทธ์และนโยบายที่เหมาะสม โดยมองอนาคตและเหตุการณ์ที่อาจควบคุมได้อย่างเป็นระบบ ทั้งเชิงรุกและเชิงรับ ก็อาจมีแนวทางบางประการที่แตกต่างจากที่เป็นอยู่ก็ได้นะครับ

วันนี้ ผมได้นำหลักการบริหารความเสี่ยงของประเทศที่ใช้หลักการบริหารความเสี่ยงขององค์กรมาอธิบายในระดับหนึ่ง ซึ่งผมเข้าใจว่าน่าจะได้ประโยชน์พอสมควร โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เป็นความมั่นคงของประเทศ น่าจะเป็นเรื่องที่ต้องช่วยกันคิด ช่วยกันออกความเห็น ในระดับประชาชน และท้องถิ่น เช่นเดียวกับการควบคุมภายในตามฐานความเสี่ยงเป็นหน้าที่ของบุคคลทุกคนภายในองค์กรนั้น ตั้งแต่คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงาน โดยมีความรับผิดชอบที่แตกต่างกันออกไป

เป็นเรื่องแปลกแต่จริงก็คือ สำนักงานตรวจเงินแผ่นดินได้มีการสำรวจความรู้ ความเข้าใจในเรื่องการควบคุมภายใน ตามฐานความเสี่ยงทั่วประเทศมาแล้ว ผลที่ออกมาเป็นเรื่องที่น่าใจหายอย่างยิ่ง เพราะผู้บริหารระดับสูง ผู้บริหารระดับกลาง ต่างก็เข้าใจไม่ถูกต้องตามหลักการของ COSO – ERM กันเป็นส่วนใหญ่ ถึงร้อยละประมาณ 80% ของการสำรวจในหน่วยงาน 500 กว่าแห่ง ซึ่งให้เห็นแสดงว่าควรจะมีการร่วมด้วยช่วยกันในเรื่องของกระบวนการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในอย่างเป็นระบบ

ท่านที่อ่านมาถึงตอนนี้ อาจจะมีความเข้าใจที่แตกต่างกันบ้างในบางมุมมอง เพราะผมยังไม่ได้ลงในรายละเอียดต่าง ๆ เช่น การอธิบายถึงคำว่า กระบวนการบริหารความเสี่ยงหมายถึงอะไร และทำไมจึงต้องมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ (Risk Appetite) และระดับความเบี่ยงเบนที่อาจเกิดขึ้น (Risk Tolerance) มิฉะนั้น การวางยุทธศาสตร์ นโยบาย การกำหนดเป้าหมาย อาจไม่เป็นไปตามพันธกิจ และวิสัยทัศน์ของประเทศทางด้านความมั่นคงที่ต้องถ่ายทอดไปยังแผนการปฏิบัติที่เป็นรูปธรรม และการประสานงานอย่างบูรณาการก็จะเกิดขึ้นอย่างไม่สมบูรณ์ ซึ่งเป็นที่มาของประสิทธิภาพและประสิทธิผลทางด้านความมั่นคง รวมทั้งการบริหารจัดการในเรื่องต่าง ๆ ที่เกี่ยวข้อง

นี่คือที่มาของความเป็นห่วงใยของประชาชนคนหนึ่ง ที่พยายามจะนำหลักการทางวิชาการมาประยุกต์ใช้ในการบริหารและการจัดการในทุกองค์กร เพื่อก้าวสู่กระบวนการจัดการทางด้านความมั่นคงและความปลอดภัยของประเทศชาติอันเป็นที่รักยิ่งของเราทุกคน

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 8, 2009

ช่วงนี้อากาศเย็นเพราะฝนตกบ่อย ผมอยู่นอกบ้านอากาศเย็นถึงกับหนาว ๆ อยู่บ้าง พอกลับเข้ามาในบ้านก็รู้สึกอบอุ่นขึ้นมาหน่อย หลายท่านก็ต้องระวังจะไม่สบายตามฝนฟ้าอากาศด้วยนะครับ สำหรับวันนี้ผมจะมาเล่าต่อถึงการจัดกลุ่มของเหตุการณ์จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน

การจัดกลุ่มเหตุการณ์
การจัดเหตุการณ์แฝงให้เป็นกลุ่มอาจเป็นสิ่งที่มีประโยชน์ การรวบรวมเหตุการณ์ระหว่างองค์กรและภายในส่วนงานต่าง ๆ ขององค์กรนั้น ผู้บริหารจะพัฒนาความเข้าใจของความสัมพันธ์กันระหว่างเหตุการณ์ได้รับข้อมูลเพิ่มขึ้น เพื่อใช้เป็นพื้นฐานในการประเมินค่าความเสี่ยงในการจัดกลุ่มเหตุการณ์แฝงที่เหมือนกัน ผู้บริหารจะสามารถกำหนดโอกาสและความเสี่ยงได้ดียิ่งขึ้น
การแบ่งกลุ่มเหตุการณ์ทำให้ผู้บริหารได้พิจารณาถึงความสมบูรณ์ของความพยายามที่จะแยกแยะเหตุการณ์ จากการตรวจสอบเหตุการณ์แฝงในกลุ่มนี้ ผู้บริหารสามารถวัดได้ว่ามีการแยกแยะความสำคัญของเหตุการณ์แฝงซึ่งสัมพันธ์กับการผิดพลาดของกิจกรรมต่าง ๆ ที่เกี่ยวข้องได้หรือไม่

ยิ่งไปกว่านั้น การจัดกลุ่มเหตุการณ์สามารถเสริมภาพเหตุการณ์ ประวัติขององค์กรต่าง ๆ บางองค์กรได้พัฒนาการแบ่งกลุ่มเหตุการณ์บนพื้นฐานของการจัดกลุ่มของวัตถุประสงค์การใช้ระดับขั้น ซึ่งเริ่มต้นด้วยวัตถุประสงค์ระดับสูงและลดหลั่นลงมาสู่วัตถุประสงค์ซึ่งเกี่ยวข้องกับหน่วยงานขององค์กร หรือการดำเนินธุรกิจ

ผู้บริหารต้องตระหนักว่ายังมีเหตุการณ์ที่มีความไม่แน่นอน ซึ่งไม่สามารถคาดการณ์ว่าจะเกิดอะไร เมื่อไร หรือส่งผลอย่างไร การกำหนดเหตุการณ์นี้คือผู้บริหารต้องพิจารณาปัจจัยทั้งภายนอกภายในที่มีผลทำให้เกิดเหตุการณ์ดังกล่าวขึ้น

ปัจจัยภายนอก รวมถึงสภาวะเศรษฐกิจ ธุรกิจ สภาพแวดล้อมทางธรรมชาติ การเมือง สังคมและเทคโนโลยีใหม่ ๆ ปัจจัยภายใน เช่นสาธารณูปโภคขั้นพื้นฐาน (Infrastructure) บุคลากร กระบวนการทำงาน หรือเทคโนโลยี

เหตุการณ์ที่มีความเป็นไปได้ว่าจะเกิดขึ้นมีผลกระทบได้ทั้งแง่บวกและแง่ลบ เหตุการณ์ที่มีผลกระทบในแง่บวกแสดงถึงโอกาส โอกาสสามารถนำไปกำหนดกลยุทธ์หรือกระบวนการในการกำหนดเป้าหมายหรือวัตถุประสงค์ขององค์กร เหตุการณ์ที่มีผลกระทบในแง่ลบแสดงถึงความเสี่ยงที่เกิดขึ้น ซึ่งฝ่ายจัดการต้องทำการประเมินและตอบสนองกับเหตุการณ์นั้น ความเสี่ยงที่ถูกกำหนดนั้นเป็นเหตุการณ์ที่เกิดขึ้นและมีผลกระทบต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายนอก เช่น
– ภาวะการเปลี่ยนแปลงของเทคโนโลยี
– ลูกค้าเปลี่ยนทัศนคติหรือความพึงพอใจต่อสินค้าหรือบริการ
– ภาวะการแข่งขันทางการตลาดทั้งสินค้าและบริการ
– กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
– สภาวะทางเศรษฐกิจ การค้า ความร่วมมือระหว่างประเทศ และสภาวะแวดล้อมภายนอกอื่น

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายในและระบบงาน เช่น
– ศักยภาพของบุคลากร กระบวนการบริหาร โครงสร้าง และการบริหารแผนงานขององค์กร
– ปริมาณและความซับซ้อนของรายการค้า การบริการ ผู้มีผลประโยชน์ร่วม และสาขางานที่เกี่ยวข้อง
– คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เพื่อการรายงาน เพื่อการบริหาร
– คุณภาพและความสามารถของพนักงาน ความขัดแย้งชิงดีชิงเด่นภายในองค์กร และนโยบายเกี่ยวกับการบริหารบุคลากรขององค์กร
– คุณภาพและการเปลี่ยนแปลง ฝ่ายบริหาร วิธีการบริหาร ระบบและวิธีการปฏิบัติงาน
– การคัดเลือกคณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ไม่เหมาะสม ทำให้ได้ผู้ที่ไม่มีคุณภาพมากำกับดูแลงาน
– ความเพียงพอและประสิทธิผลการควบคุม

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

วิธีการจำแนกเหตุการณ์จากพื้นฐานของปัจจัยภายนอกและปัจจัยภายใน
ปัจจัยภายใน พิจารณาจาก
โครงสร้างพื้นฐาน
– สินทรัพย์ที่มีอยู่
– ความสามารถของสินทรัพย์
– การเข้าถึงทุน
– ความซับซ้อน
– การรวมกัน/การหามาได้

บุคลากร
– ความสามารถของพนักงาน
– สุขภาพและความปลอดภัย
– การตัดสินคุณค่า
– การปฏิบัติที่ปลอดภัย
– การดำเนินการขาย

กระบวนการ
– ความสามารถ
– การออกแบบ
– การดำเนินการ
– ผู้ขาย/การพึ่งพา

เทคโนโลยี
– ข้อมูล
– ข้อมูลและการได้มาซึ่งระบบ
– ความสามารถ
– ระบบ

ปัจจัยภายนอก พิจารณาจาก
เศรษฐกิจ
– การหาทุน
– เครดิต
– การลื่นไหลของตลาด การหาทุน กระแสเงินสด
– ตลาด ราคาตลาด อัตราดอกเบี้ย การว่างงาน อัตราแลกเปลี่ยน

ธุรกิจ
– ยี่ห้อ/ชื่อสินค้า
– การแข่งขัน
– พฤติกรรมผู้บริโภค
– คู่แข่ง
– ความลำเอียง
– มาตรฐานอุตสาหกรรม
– โครงสร้างความเป็นเจ้าของ
– สาธารณะ
– ความเกี่ยวข้องของผลิตภัณฑ์

เทคนิค
– การค้าอิเล็กทรอนิคส์
– ข้อมูลภายนอก
– การกระจายเทคโนโลยี

สภาพแวดล้อมทางธรรมชาติ
– พลังงาน
– ภัยธรรมชาติ
– การพัฒนาอย่างต่อเนื่อง
– การขนส่ง
– น้ำ
– ไฟ

การเมือง
– การเปลี่ยนรัฐบาล
– กฎหมาย
– นโยบายสาธารณะ
– กฎระเบียบ

สังคม
– ความเป็นประชากรขององค์กร
– ความเป็นส่วนตัว

ความเสี่ยงที่เด่นชัดและโอกาส
เหตุการณ์อาจทำให้เกิดผลทางด้านลบ ทางด้านบวก หรือทั้งสองด้าน เหตุการณ์ซึ่งส่งผลทางด้านลบเป็นเสมือนความเสี่ยง ซึ่งต้องการการประเมินค่าและตอบสนองจากผู้บริหาร ดังนั้น ความเสี่ยงคือความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นและส่งผลอย่างเป็นปฏิปักษ์ต่อความสำเร็จของวัตถุประสงค์

ส่วนเหตุการณ์ซึ่งส่งผลทางบวกเป็นเสมือนโอกาสหรือการโต้ตอบผลลบของความเสี่ยง เหตุการณ์ที่เป็นเสมือนโอกาสจะถูกส่งกลับไปสู่กลยุทธ์ของผู้บริหารหรือในขั้นตอนการตั้งวัตถุประสงค์ เพื่อให้การกระทำสามารถก่อตัวเพื่อครอบงำโอกาส เหตุการณ์ที่โต้ตอบผลลบของความเสี่ยงจะถูกพิจารณา ในการประเมินค่าความเสี่ยงและการตอบสนองของผู้บริหาร

องค์ประกอบสำคัญของการระบุเหตุการณ์

องค์ประกอบสำคัญของการระบุเหตุการณ์

ครั้งหน้าผมจะกล่าวถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ในกระบวนการขั้นถัดไปคือ การประเมินความเสี่ยง ซึ่งเป็นขั้นตอนที่ผู้บริหารองค์กรทั้งหลายไม่ควรพลาดครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรกฎาคม 6, 2009

ช่วงนี้อากาศเย็นเพราะฝนตกบ่อย ผมอยู่นอกบ้านอากาศเย็นถึงกับหนาว ๆ อยู่บ้าง พอกลับเข้ามาในบ้านก็รู้สึกอบอุ่นขึ้นมาหน่อย หลายท่านก็ต้องระวังจะไม่สบายตามฝนฟ้าอากาศด้วยนะครับ สำหรับวันนี้ผมจะมาเล่าต่อถึงการจัดกลุ่มของเหตุการณ์จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน

การจัดกลุ่มเหตุการณ์
การจัดเหตุการณ์แฝงให้เป็นกลุ่มอาจเป็นสิ่งที่มีประโยชน์ การรวบรวมเหตุการณ์ระหว่างองค์กรและภายในส่วนงานต่าง ๆ ขององค์กรนั้น ผู้บริหารจะพัฒนาความเข้าใจของความสัมพันธ์กันระหว่างเหตุการณ์ได้รับข้อมูลเพิ่มขึ้น เพื่อใช้เป็นพื้นฐานในการประเมินค่าความเสี่ยงในการจัดกลุ่มเหตุการณ์แฝงที่เหมือนกัน ผู้บริหารจะสามารถกำหนดโอกาสและความเสี่ยงได้ดียิ่งขึ้น
การแบ่งกลุ่มเหตุการณ์ทำให้ผู้บริหารได้พิจารณาถึงความสมบูรณ์ของความพยายามที่จะแยกแยะเหตุการณ์ จากการตรวจสอบเหตุการณ์แฝงในกลุ่มนี้ ผู้บริหารสามารถวัดได้ว่ามีการแยกแยะความสำคัญของเหตุการณ์แฝงซึ่งสัมพันธ์กับการผิดพลาดของกิจกรรมต่าง ๆ ที่เกี่ยวข้องได้หรือไม่

ยิ่งไปกว่านั้น การจัดกลุ่มเหตุการณ์สามารถเสริมภาพเหตุการณ์ ประวัติขององค์กรต่าง ๆ บางองค์กรได้พัฒนาการแบ่งกลุ่มเหตุการณ์บนพื้นฐานของการจัดกลุ่มของวัตถุประสงค์การใช้ระดับขั้น ซึ่งเริ่มต้นด้วยวัตถุประสงค์ระดับสูงและลดหลั่นลงมาสู่วัตถุประสงค์ซึ่งเกี่ยวข้องกับหน่วยงานขององค์กร หรือการดำเนินธุรกิจ

ผู้บริหารต้องตระหนักว่ายังมีเหตุการณ์ที่มีความไม่แน่นอน ซึ่งไม่สามารถคาดการณ์ว่าจะเกิดอะไร เมื่อไร หรือส่งผลอย่างไร การกำหนดเหตุการณ์นี้คือผู้บริหารต้องพิจารณาปัจจัยทั้งภายนอกภายในที่มีผลทำให้เกิดเหตุการณ์ดังกล่าวขึ้น

ปัจจัยภายนอก รวมถึงสภาวะเศรษฐกิจ ธุรกิจ สภาพแวดล้อมทางธรรมชาติ การเมือง สังคมและเทคโนโลยีใหม่ ๆ ปัจจัยภายใน เช่นสาธารณูปโภคขั้นพื้นฐาน (Infrastructure) บุคลากร กระบวนการทำงาน หรือเทคโนโลยี

เหตุการณ์ที่มีความเป็นไปได้ว่าจะเกิดขึ้นมีผลกระทบได้ทั้งแง่บวกและแง่ลบ เหตุการณ์ที่มีผลกระทบในแง่บวกแสดงถึงโอกาส โอกาสสามารถนำไปกำหนดกลยุทธ์หรือกระบวนการในการกำหนดเป้าหมายหรือวัตถุประสงค์ขององค์กร เหตุการณ์ที่มีผลกระทบในแง่ลบแสดงถึงความเสี่ยงที่เกิดขึ้น ซึ่งฝ่ายจัดการต้องทำการประเมินและตอบสนองกับเหตุการณ์นั้น ความเสี่ยงที่ถูกกำหนดนั้นเป็นเหตุการณ์ที่เกิดขึ้นและมีผลกระทบต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ขององค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายนอก เช่น
– ภาวะการเปลี่ยนแปลงของเทคโนโลยี
– ลูกค้าเปลี่ยนทัศนคติหรือความพึงพอใจต่อสินค้าหรือบริการ
– ภาวะการแข่งขันทางการตลาดทั้งสินค้าและบริการ
– กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง
– สภาวะทางเศรษฐกิจ การค้า ความร่วมมือระหว่างประเทศ และสภาวะแวดล้อมภายนอกอื่น

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

การระบุปัจจัยเสี่ยงต่าง ๆ ที่มีผลกระทบต่อองค์กร

ตัวอย่างเหตุการณ์เสี่ยงจากปัจจัยภายในและระบบงาน เช่น
– ศักยภาพของบุคลากร กระบวนการบริหาร โครงสร้าง และการบริหารแผนงานขององค์กร
– ปริมาณและความซับซ้อนของรายการค้า การบริการ ผู้มีผลประโยชน์ร่วม และสาขางานที่เกี่ยวข้อง
– คุณภาพหรือปัญหาข้อขัดข้องของกิจกรรมประมวลผลและระบบสารสนเทศ เพื่อการรายงาน เพื่อการบริหาร
– คุณภาพและความสามารถของพนักงาน ความขัดแย้งชิงดีชิงเด่นภายในองค์กร และนโยบายเกี่ยวกับการบริหารบุคลากรขององค์กร
– คุณภาพและการเปลี่ยนแปลง ฝ่ายบริหาร วิธีการบริหาร ระบบและวิธีการปฏิบัติงาน
– การคัดเลือกคณะกรรมการบริษัทและคณะกรรมการตรวจสอบที่ไม่เหมาะสม ทำให้ได้ผู้ที่ไม่มีคุณภาพมากำกับดูแลงาน
– ความเพียงพอและประสิทธิผลการควบคุม

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

องค์ประกอบความรู้ที่ใช้ในการวิเคราะห์ระบบงาน

วิธีการจำแนกเหตุการณ์จากพื้นฐานของปัจจัยภายนอกและปัจจัยภายใน
ปัจจัยภายใน พิจารณาจาก
โครงสร้างพื้นฐาน
– สินทรัพย์ที่มีอยู่
– ความสามารถของสินทรัพย์
– การเข้าถึงทุน
– ความซับซ้อน
– การรวมกัน/การหามาได้

บุคลากร
– ความสามารถของพนักงาน
– สุขภาพและความปลอดภัย
– การตัดสินคุณค่า
– การปฏิบัติที่ปลอดภัย
– การดำเนินการขาย

กระบวนการ
– ความสามารถ
– การออกแบบ
– การดำเนินการ
– ผู้ขาย/การพึ่งพา

เทคโนโลยี
– ข้อมูล
– ข้อมูลและการได้มาซึ่งระบบ
– ความสามารถ
– ระบบ

ปัจจัยภายนอก พิจารณาจาก
เศรษฐกิจ
– การหาทุน
– เครดิต
– การลื่นไหลของตลาด การหาทุน กระแสเงินสด
– ตลาด ราคาตลาด อัตราดอกเบี้ย การว่างงาน อัตราแลกเปลี่ยน

ธุรกิจ
– ยี่ห้อ/ชื่อสินค้า
– การแข่งขัน
– พฤติกรรมผู้บริโภค
– คู่แข่ง
– ความลำเอียง
– มาตรฐานอุตสาหกรรม
– โครงสร้างความเป็นเจ้าของ
– สาธารณะ
– ความเกี่ยวข้องของผลิตภัณฑ์

เทคนิค
– การค้าอิเล็กทรอนิคส์
– ข้อมูลภายนอก
– การกระจายเทคโนโลยี

สภาพแวดล้อมทางธรรมชาติ
– พลังงาน
– ภัยธรรมชาติ
– การพัฒนาอย่างต่อเนื่อง
– การขนส่ง
– น้ำ
– ไฟ

การเมือง
– การเปลี่ยนรัฐบาล
– กฎหมาย
– นโยบายสาธารณะ
– กฎระเบียบ

สังคม
– ความเป็นประชากรขององค์กร
– ความเป็นส่วนตัว

ความเสี่ยงที่เด่นชัดและโอกาส
เหตุการณ์อาจทำให้เกิดผลทางด้านลบ ทางด้านบวก หรือทั้งสองด้าน เหตุการณ์ซึ่งส่งผลทางด้านลบเป็นเสมือนความเสี่ยง ซึ่งต้องการการประเมินค่าและตอบสนองจากผู้บริหาร ดังนั้น ความเสี่ยงคือความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้นและส่งผลอย่างเป็นปฏิปักษ์ต่อความสำเร็จของวัตถุประสงค์

ส่วนเหตุการณ์ซึ่งส่งผลทางบวกเป็นเสมือนโอกาสหรือการโต้ตอบผลลบของความเสี่ยง เหตุการณ์ที่เป็นเสมือนโอกาสจะถูกส่งกลับไปสู่กลยุทธ์ของผู้บริหารหรือในขั้นตอนการตั้งวัตถุประสงค์ เพื่อให้การกระทำสามารถก่อตัวเพื่อครอบงำโอกาส เหตุการณ์ที่โต้ตอบผลลบของความเสี่ยงจะถูกพิจารณา ในการประเมินค่าความเสี่ยงและการตอบสนองของผู้บริหาร

องค์ประกอบสำคัญของการระบุเหตุการณ์

องค์ประกอบสำคัญของการระบุเหตุการณ์

ครั้งหน้าผมจะกล่าวถึงกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM ในกระบวนการขั้นถัดไปคือ การประเมินความเสี่ยง ซึ่งเป็นขั้นตอนที่ผู้บริหารองค์กรทั้งหลายไม่ควรพลาดครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การวัดศักยภาพ ประสิทธิภาพ ประสิทธิผลของการบริหาร เพื่อก้าวสู่การเติบโตอย่างยั่งยืน (ต่อ)

กรกฎาคม 3, 2009

การบริหารเชิงรุกเพื่อลดความเสี่ยงด้านการจัดการที่ดี ทุกท่านทราบดีแล้วว่าทุกองค์กรจะต้องจัดให้มีการบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management และองค์ประกอบอย่างหนึ่งของกระบวนการนี้ก็คือ การประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ (Inherent Risk) หลังจากนั้นจึงพิจารณาดูว่า การปฏิบัติงานขององค์กรในปัจจุบัน มีวิธีการอย่างไรในการควบคุมและจัดการกับความเสี่ยงเหล่านั้น โดยพิจารณาถึงแนวการจัดการต่าง ๆ โดยย่อ ดังนี้

– กระบวนการการดำเนินงานของธุรกิจ
– กิจกรรมการควบคุมภายใน
– การปฏิบัติงานของผู้บริหารและพนักงาน
– โครงสร้างทางธุรกิจและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติตดามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยง และวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจ

ผลการดำเนินงานและจัดการกับความเสี่ยงอย่างเป็นกระบวนการ โดยเฉพาะอย่างยิ่งทางด้าน IT ซึ่งเป็นการวัดคุณค่าจากสินทรัพย์ที่ไม่มีตัวตนเป็นส่วนใหญ่ หรือที่เรียกกันว่า Intangible Asset นั้น มีช่องว่างในการทำความเข้าใจของการวัด Performance Measurement ในทางปฏิบัติอยู่มาก เพราะส่วนใหญ่จะชินกับการวัดและเปรียบเทียบกับสินทรัพย์ที่มีตัวตน หรือ Tangible Asset เป็นส่วนใหญ่ ทำให้ดุลยภาพในการตัดสินใจทางด้านการลงทุน โดยเฉพาะทางด้านที่เกี่ยวข้องกับ IT Security ในแง่มุมต่าง ๆ ไม่อยู่ในฐานการตัดสินใจที่ถูกต้องเท่าที่ควร

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

ครั้งที่แล้ว ผมได้นำวิธีการวัดผลการบริหารกลยุทธ์ด้าน IT (IT Strategic Measures) และการวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management (IT Customer Measures) หรือการบริหารจัดการสารสนเทศ และในวันนี้ผมจะนำเสนอการวัดผลในอีก 2 ด้านที่เหลือ คือ การวัดผลด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT (IT Innovation and Learning)

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

และการวัดผลด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

จากการวัดประสิทธิภาพและประสิทธิผลการบริหารและการจัดการด้านเทคโนโลยีสารสนเทศ ตามแนวทางข้างต้น ท่านที่สนใจจะเห็นภาพได้ค่อนข้างชัดเจนว่า การวัดประสิทธิภาพของงานที่ต้องใช้ทรัพยากรทางด้านเทคโนโลยีสารสนเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารจะต้องให้ความสำคัญอย่างยิ่งต่อการเปรียบเทียบกับคุณค่าเพิ่ม ความเชื่อถือ จาก Intangible Asset ในมุมมองต่าง ๆ ตามหลัก Balance Scorecard ที่เกี่ยวข้อง

Perspective of the Risk Management and C-Levels

Perspective of the Risk Management and C-Levels

ในมุมมองของการบริหารความเสี่ยงทั่วทั้งองค์กร คณะกรรมการและผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องควรเข้าใจในลักษณะธุรกิจขององค์กรในภาพโดยรวม และควรเข้าใจความเสี่ยงที่เกิดจากปัจจัยภายในและปัจจัยภายนอก ที่มีผลกระทบต่อการบรรลุเป้าหมายขององค์กรในหลักการ 4 ข้อ ของ COSO คือ Stretegic + Operational + Financial/Reporting + Compliance

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ดังนั้น ความเสี่ยงที่เกิดจาก IT Risk ที่แสดงด้วยแผนภาพจะทำให้ท่านผู้อ่านเข้าใจถึงปัจจัยเสี่ยงต่าง ๆ อันเกิดจาก IT ที่มีผลกระทบต่อการบรรลุเป้าประสงค์ขององค์กรโดยรวมเป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การวัดศักยภาพ ประสิทธิภาพ ประสิทธิผลของการบริหาร เพื่อก้าวสู่การเติบโตอย่างยั่งยืน (ต่อ)

กรกฎาคม 3, 2009

การบริหารเชิงรุกเพื่อลดความเสี่ยงด้านการจัดการที่ดี ทุกท่านทราบดีแล้วว่าทุกองค์กรจะต้องจัดให้มีการบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management และองค์ประกอบอย่างหนึ่งของกระบวนการนี้ก็คือ การประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ (Inherent Risk) หลังจากนั้นจึงพิจารณาดูว่า การปฏิบัติงานขององค์กรในปัจจุบัน มีวิธีการอย่างไรในการควบคุมและจัดการกับความเสี่ยงเหล่านั้น โดยพิจารณาถึงแนวการจัดการต่าง ๆ โดยย่อ ดังนี้

– กระบวนการการดำเนินงานของธุรกิจ
– กิจกรรมการควบคุมภายใน
– การปฏิบัติงานของผู้บริหารและพนักงาน
– โครงสร้างทางธุรกิจและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติตดามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยง และวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจ

ผลการดำเนินงานและจัดการกับความเสี่ยงอย่างเป็นกระบวนการ โดยเฉพาะอย่างยิ่งทางด้าน IT ซึ่งเป็นการวัดคุณค่าจากสินทรัพย์ที่ไม่มีตัวตนเป็นส่วนใหญ่ หรือที่เรียกกันว่า Intangible Asset นั้น มีช่องว่างในการทำความเข้าใจของการวัด Performance Measurement ในทางปฏิบัติอยู่มาก เพราะส่วนใหญ่จะชินกับการวัดและเปรียบเทียบกับสินทรัพย์ที่มีตัวตน หรือ Tangible Asset เป็นส่วนใหญ่ ทำให้ดุลยภาพในการตัดสินใจทางด้านการลงทุน โดยเฉพาะทางด้านที่เกี่ยวข้องกับ IT Security ในแง่มุมต่าง ๆ ไม่อยู่ในฐานการตัดสินใจที่ถูกต้องเท่าที่ควร

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

ครั้งที่แล้ว ผมได้นำวิธีการวัดผลการบริหารกลยุทธ์ด้าน IT (IT Strategic Measures) และการวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management (IT Customer Measures) หรือการบริหารจัดการสารสนเทศ และในวันนี้ผมจะนำเสนอการวัดผลในอีก 2 ด้านที่เหลือ คือ การวัดผลด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT (IT Innovation and Learning)

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

และการวัดผลด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

จากการวัดประสิทธิภาพและประสิทธิผลการบริหารและการจัดการด้านเทคโนโลยีสารสนเทศ ตามแนวทางข้างต้น ท่านที่สนใจจะเห็นภาพได้ค่อนข้างชัดเจนว่า การวัดประสิทธิภาพของงานที่ต้องใช้ทรัพยากรทางด้านเทคโนโลยีสารสนเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารจะต้องให้ความสำคัญอย่างยิ่งต่อการเปรียบเทียบกับคุณค่าเพิ่ม ความเชื่อถือ จาก Intangible Asset ในมุมมองต่าง ๆ ตามหลัก Balance Scorecard ที่เกี่ยวข้อง

Perspective of the Risk Management and C-Levels

Perspective of the Risk Management and C-Levels

ในมุมมองของการบริหารความเสี่ยงทั่วทั้งองค์กร คณะกรรมการและผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องควรเข้าใจในลักษณะธุรกิจขององค์กรในภาพโดยรวม และควรเข้าใจความเสี่ยงที่เกิดจากปัจจัยภายในและปัจจัยภายนอก ที่มีผลกระทบต่อการบรรลุเป้าหมายขององค์กรในหลักการ 4 ข้อ ของ COSO คือ Stretegic + Operational + Financial/Reporting + Compliance

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ดังนั้น ความเสี่ยงที่เกิดจาก IT Risk ที่แสดงด้วยแผนภาพจะทำให้ท่านผู้อ่านเข้าใจถึงปัจจัยเสี่ยงต่าง ๆ อันเกิดจาก IT ที่มีผลกระทบต่อการบรรลุเป้าประสงค์ขององค์กรโดยรวมเป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

กรกฎาคม 2, 2009

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

กรกฎาคม 2, 2009

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

รายการถัดไป »