รากแก้วแห่งความเชื่อมั่นต่อประเทศไทยได้ถูกทำลายลงไปแล้ว!?!

มกราคม 7, 2010

สวัสดีปีใหม่ท่านผู้อ่านทุกท่านครับ ผมไม่ค่อยมีความสุขมากนักในช่วงปีใหม่นี้ มิใช่เพราะเรื่องส่วนตัว แต่เป็นเพราะเรื่องข่าวคราวความน่าเชื่อถือ ความเชื่อมั่น ความไว้วางใจ ที่ส่งผลกระทบอย่างรุนแรงต่อประเทศ ทั้งในระดับประเทศ และระหว่างประเทศ ซึ่งน่าจะเกิดจาก Policy Risk + Regulatory Risk + Compliance Risk + Strategic Risk อันเกิดจากกรณีมาบตาพุด + การยกเลิกสัญญาหวยออนไลน์ + การสั่งรื้อสัญญาสัมปทาน BMCL และอื่น ๆ

ทั้ง ๆ ที่หน่วยงานผู้กำกับภาครัฐได้ลงนามหรืออนุมัติ จัดทำสัญญา ให้ก่อสร้าง ให้ดำเนินการตามข้อตกลงต่าง ๆ ไปแล้ว ในที่สุดก็มีการให้ระงับการก่อสร้างโครงการต่าง ๆ ที่มาบตาพุด ยกเลิกหวยออนไลน์ที่มีสัญญาให้ติดตั้งตู้ออนไลน์ 1.2 หมื่นตู้ หรือสัญญาสัมปทานรถไฟฟ้าสายสีน้ำเงิน เพื่อหวังคุมค่าโดยสารจูงใจประชาชนให้ใช้บริการ ทั้ง ๆ ที่น่าจะพิจารณาเรื่องนี้ก่อนที่จะให้สัมปทาน โดยหน่วยงานของรัฐและผู้ที่เกี่ยวข้องได้อ้างว่า การดำเนินการดังกล่าว รวมทั้งการแก้ไขสัญญาไม่กระทบกระเทือนต่อความเชื่อมั่นของเอกชนที่ลงทุนกับรัฐ รวมทั้งให้หน่วยงานที่เกี่ยวข้องทบทวนวงเงินจ้างที่ปรึกษาอีกครั้ง ++++++

เหตุการณ์โดยสรุปข้างต้นตามเนื้อข่าวในสื่อต่าง ๆ นั้น มีผลกระทบอย่างรุนแรงต่อความเชื่อมั่น ความน่าเชื่อถือ ความไว้วางใจ การเคารพกติกาและกฎเกณฑ์ของสังคม ตามหลักการบริหารและการจัดการที่ดี ที่ส่งผลกระทบต่อเนื่องไปยังเครดิตของประเทศ ที่ประเทศไทยของเราจะมีต้นทุนทางเศรษฐกิจ และการเงิน จากความไม่น่าเชื่อถือของประเทศเพิ่มขึ้นอย่างมหาศาล สร้างความเสียเปรียบในการแข่งขันระดับชาติ และระดับองค์กร ที่เป็นตัวเงิน และไม่ใช่ตัวเงิน ทั้งในระยะสั้นและในระยะยาวอย่างประมาณค่าไม่ได้

ในหลักการของการกำกับดูแลกิจการที่ดี ซึ่งทางรัฐบาลได้ออกพระราชกฤษฎีกาว่าด้วยการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ที่ประกอบไปด้วยหลักการบริหารความเสี่ยง การควบคุมภายใน และการสร้างประสิทธิผลและประสิทธิภาพในมุมมองต่าง ๆ เพื่อสร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม หรือ Stakeholders เพื่อการเติบโตอย่างยั่งยืนในระดับองค์กร และในระดับประเทศนั้น ไม่น่าเป็นไปได้ในทางปฏิบัติ เพราะหากมีการนำหลักการบริหารความเสี่ยงที่เชื่อมโยงกับวิสัยทัศน์ และพันธกิจของประเทศแล้ว สิ่งที่ทางการได้ดำเนินการมา น่าจะขัดแย้งอย่างรุนแรงกับหลักการบริหารความเสี่ยง ที่จะก่อให้เกิดความเสียหายที่ไม่อาจยอมรับได้ (Risk Appetite) ทั้งนี้อาจพิจารณาได้จาก การตัดสินใจใด ๆ ที่มองต่างมุมที่ต่างคาบเวลากัน หรือมองต่างมุมและตีความที่แตกต่างกัน จากหน่วยงานกำกับที่มีอิสระแตกต่างกันของภาครัฐ ก็มีผลแตกต่างกันในทางปฏิบัติอย่างมากมาย

หากหน่วยงานภาครัฐมีการบริหารความเสี่ยงภายใต้หลักการกำกับดูแลกิจการที่ดี เหตุการณ์ดังกล่าวข้างต้น ภายใต้กรอบการบริหารความเสี่ยง และความเสียหายที่ยอมรับได้ หรือยอมรับไม่ได้ ในมุมมองต่าง ๆ จะต้องมีการพิสูจน์อย่างชัดเจน และมีการบริหารจัดการอย่างเป็นระบบ ภายใต้ร่ม Corporate Governance – CG ที่มีผลต่อ Global Governance จากการดำเนินงานของภาครัฐที่เรียกว่า Public Governance และ Social Governance ที่เกี่ยวข้องกับการบริหารความเสี่ยงในมิติต่าง ๆ ตามที่ผมเคยได้กล่าวไปแล้ว และอาจจะนำมาทบทวนอีกในบางมุมมองในทางสร้างสรรค์ต่อไป

ผลที่ตามมาของกรณีข้างต้นที่ปรากฏเป็นข่าวตามมา ซึ่งแสดงถึงผลสะท้อนของการไม่ปฏิบัติตามกติกาของสังคม ทั้งในระดับสากล และในระดับประเทศ ก็คือ ข่าวจากหนังสือพิมพ์กรุงเทพธุรกิจ ฉบับที่ 7777 วันพฤหัสบดีที่ 7 มกราคม 2553 ที่กล่าวว่า “เจโทรรับต้นเหตุมาบตาพุด – จี้รัฐแก้ปัญหาภายใน 3 เดือน ญี่ปุ่นเมินลงทุนไทยชาติแรก” ตามมาด้วยข่าว “จีเทค” ขู่ฟ้องรัฐบาล 1.2 หมื่นล้าน กรณีรัฐบาลสั่งยกเลิกหวยออนไลน์ เป็นการตอกย้ำถึงความไม่น่าเชื่อถือของประเทศไทยในสายตาของสังคม ทั้งในและต่างประเทศ

ประเทศไทยจะหวังอะไร หากคนในชาติ และนานาชาติ ขาดความเชื่อมั่น หรือไม่เชื่อถือ ไม่ไว้วางใจในนโยบายของชาติ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ที่มีต่อกันแล้วเป็นลายลักษณ์อักษร +++

นอกเหนือจากเหตุการณ์ความไม่สงบ หรือความไม่เรียบร้อยของบ้านเมือง ทั้งทางการเมือง การปกครอง และความมั่นคง ที่มีข่าวคราวน่าสงสัยในเรื่องมาตรฐานการดำเนินงานที่แตกต่างกัน +++ ซึ่งก็ส่งผลอย่างร้ายแรงต่อความเชื่อมั่น ตามหลักการปฏิบัติที่เท่าเทียมกัน การดำเนินการอย่างโปร่งใส +++ ตามหลักธรรมาภิบาล

ผลกระทบต่อความไม่เชื่อมั่นเพียงอย่างเดียว ก็จะนำมาซึ่งความล้มเหลวของประเทศในระยะยาวไปอีกนาน ถึงแม้ว่าจะมีการเปลี่ยนแปลงทางการเมืองหรือไม่ก็ตาม ประเทศที่มีความเจริญและมั่งคั่งทางเศรษฐกิจจะต้องมีความมั่นคง และเสถียรภาพทางการเมือง ตัวอย่างเช่น ประเทศมาเลเซียใช้การเมืองนำเศรษฐกิจ เพราะหากการเมืองมั่นคงหรือนิ่ง ความเชื่อถือหรือเชื่อมั่นก็จะเกิดขึ้น ส่งผลดีต่อเศรษฐกิจและการดำเนินงานในภาพรวม

สำหรับกรณีของไทยเรา นอกเหนือจากความไม่มั่นคงทางการเมือง และความแตกแยกทางความคิด และการกระทำในรูปแบบต่าง ๆ ที่เห็นได้ชัดเจนแล้ว เรายังมีความไม่มั่นคงทางด้านความเชื่อถือ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดต่อการพัฒนาประเทศ เปรียบเสมือนหนึ่งรากแก้ว ซึ่งเป็นหลักของต้นไม้ใหญ่ได้ถูกทำลาย หรือเสียหายอย่างมากต่อการดำเนินงานที่เป็นไปตามกติกาของสังคม

ผมมีความเห็นส่วนตัวว่า การให้น้ำหนักความสำคัญของความเชื่อถือระหว่างประเทศต่อประเทศไทย น่าจะมีความสำคัญและมีน้ำหนักมาก ในกระบวนการบริหารและการจัดการบริหารความเสี่ยง เพื่อสร้างดุลยภาพในการเติบโตอย่างยั่งยืนตามหลักการกำกับดูแลกิจการที่ดี ซึ่งทางการน่าจะเป็นผู้นำและปฏิบัติได้ดีในภาคปฏิบัติให้เป็นรูปธรรม โดยนำกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM และหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งเป็นการเน้น Integrity – Driven Performance มาขับเคลื่อนความน่าเชื่อถือ และเป็นตัวอย่างที่ดีในการบริหารความเสี่ยงตามกลไกที่รัฐบาลมีอยู่แล้วให้เป็นรูปธรรมต่อไป

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง

มกราคม 7, 2010

ครั้งที่แล้ว ผมได้อธิบายการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบการควบคุมภายในทั่วไป ของการบริหารศูนย์คอมพิวเตอร์ และการจัดการทางด้านคอมพิวเตอร์ (General Control) ซึ่งสามารถอธิบายโดยแผนภาพย่อ ๆ และเข้าใจได้สะดวก ดังนี้

จากภาพข้างต้น ผู้ตรวจสอบจะต้องกำหนดขอบเขตการตรวจสอบ ให้เป็นไปตามวัตถุประสงค์การตรวจสอบที่ต้องการ มิฉะนั้น การวางแผนการตรวจสอบเพื่อหาหลักฐานการตรวจสอบ และข้อสรุปที่เกี่ยวข้อง จะมีขอบเขตกว้างขวางที่อาจหาข้อสรุปได้ยาก และไม่อาจหาข้อยุติในการทำรายงานในกรอบเวลาที่กำหนดแล้วได้ เรื่องนี้ จึงเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งต่อผู้ตรวจสอบ เพื่อกำหนดทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบตามขอบเขต และวัตถุประสงค์ที่เกี่ยวข้อง ทั้งนี้ขอให้ดูแผนภาพต่อไปนี้ประกอบการพิจารณาเพิ่มเติมจากข้อมูลที่ได้กล่าวมาก่อนหน้านี้

เมื่อท่านได้เห็นแผนภาพที่ 2 ข้างต้นแล้ว ผมใคร่ขอย้ำอีกครั้งหนึ่งว่า การกำหนดขอบเขตการตรวจสอบ ตามวัตถุประสงค์การตรวจสอบที่ชัดเจน ตามทรัพยากรที่กำหนดให้นั้น เป็นเรื่องสำคัญยิ่งต่อกระบวนการตรวจสอบโดยรวม ทั้งนี้ การระบุปัจจัยเสี่ยงที่อาจจะเกิดจากการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) จะเกี่ยวข้องและมีผลกระทบกับกระบวนการ (IT Process) ตามหลักการของ CobiT และความเสี่ยงของ IT Process ก็จะเกี่ยวข้องและเกี่ยวพันกับ Activities ทางด้าน IT และทางด้าน Business ที่จะมีผลต่อกระบวนการบริหาร เพื่อให้ได้คุณลักษณะของสารสนเทศที่ดี หรือให้ได้ผลตาม Business Requirements ที่ต้องการ ซึ่งจะประกอบด้วย ประสิทธิผลของข้อมูลและการจัดการ (Effectiveness), ประสิทธิภาพของข้อมูลและการจัดการ (Efficiency), การรักษาความลับและการเข้าถึงข้อมูล (Confidentiality), ความครบถ้วนถูกต้องของข้อมูล (Integrity), สภาพพร้อมใช้งานของสารสนเทศ (Availability), การปฏิบัติตามกฎหมาย กฎเกณฑ์ (Compliance), ความน่าเชื่อถือของสารสนเทศ เพื่อการบริหารและการจัดการ (Information Reliability)

มาถึงตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT Audit ควรจะมีความเข้าใจในองค์รวมของกระบวนการบริหาร และการจัดการสารสนเทศที่ดี และเพียงพอที่สามารถจะสรุปจุดอ่อน ที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหายในมุมมองต่าง ๆ ทั้งทางด้าน IT และทางด้าน Business ที่เกี่ยวข้อง และผู้ที่เกี่ยวข้องควรจะเข้าใจการบริหารและการจัดการที่ผสมผสานระหว่าง Business Objective และ IT Objective ตามมุมมองของ Business Balanced Scorecard และ IT Balanced Scorecard อย่างพอเพียงด้วย

ถึงขั้นตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT และทางด้าน Manual Audit อาจจะเริ่มสับสนถึงมุมมองของการระบุปัจจัยเสี่ยง ที่เริ่มผสมผสานกันและแยกกันไม่ได้ ระหว่าง Business Risk และ IT Risk เพราะส่วนใหญ่จะมีการมอบหมายงานตาม Function ซึ่งเน้นเป็นเรื่อง ๆ (Silo) มากกว่า Business Process ที่เป็นการผสมผสานระหว่าง IT Activities กับ Business Objective

เรื่องนี้จะเข้าใจได้ดีขึ้นนะครับ ถ้าหากผู้ตรวจสอบจะได้ดูแผนภาพที่อธิบายโดยย่อถึง กระบวนการบริหารที่มีผลกระทบต่อเป้าหมายของการบริหารและควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective เพื่อบรรลุวัตถุประสงค์ตามหลักการของ CobiT ภายใต้ร่ม IT Governance ต่อไปนี้ทีละ Domain ซึ่งจะนำเสนอในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มกราคม 7, 2010

สวัสดีครับ วันนี้ผมจะมาเล่าต่อถึงการรายงานผลความเสี่ยงของผู้ตรวจสอบภายในว่า ภายหลังจากที่ผู้ตรวจสอบภายในได้ประเมินผล และทำการติดตามผลแล้ว ผู้ตรวจสอบภายในควรจะต้องรายงานผลต่อคณะกรรมการบริหารความเสี่ยง ซึ่งจะต้องรายงานในเรื่องใด และทำอย่างไรนั้น ผมจะนำเสนอต่อเลยนะครับ

กิจกรรมและขั้นตอนการบริหารใดที่มีจุดอ่อนที่ผู้ตรวจสอบภายในควรจะต้องรายงาน แม้ว่าไม่มีคำตอบที่เป็นสากลที่ชัดเจน แต่การเปรียบเทียบการบรรลุผลตามกิจกรรมและ/หรือผลลัพธ์ของแผนงานกับการปฏิบัติงานจริง จะช่วยชี้ประเด็นที่ผู้ตรวจสอบภายในสามารถรายงานศักยภาพการบริหารความเสี่ยงในระดับต่าง ๆ อย่างเป็นกระบวนการได้

ในการพิจารณาสิ่งจำเป็นในการติดต่อสื่อสาร และการรายงานผลการตรวจสอบภายในที่ผู้ตรวจสอบพึงปฏิบัติก็คือ การให้ข้อสังเกตที่มีนัยสำคัญต่อคุณภาพการบริหารความเสี่ยงทั้ง 8 ขั้นตอนอย่างเป็นกระบวนการ และให้คำแนะนำเพื่อสร้างคุณค่าเพิ่มในด้านการควบคุมการบริหารความเสี่ยง ที่ยังอาจไม่เหมาะสมที่ผู้รับการตรวจสอบในสายงานที่เกี่ยวข้องอาจนำไปใช้ลดจุดอ่อน และสร้างจุดแข็ง เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า การบริหารความเสี่ยงของผู้ที่เกี่ยวข้องในระดับต่าง ๆ สามารถก้าวสู่การบรรลุวัตถุประสงค์ และเป้าหมายที่กำหนดได้

ทั้งนี้ ผู้ตรวจสอบภายในจะต้องมั่นใจในศักยภาพ ในความเป็นผู้ตรวจสอบภายในที่มีความรู้ในกระบวนการบริหารความเสี่ยงในระดับต่าง ๆ อย่างแท้จริง มิใช่เพียงแต่ระบุจุดอ่อนของผู้ได้รับการตรวจสอบ แต่ไม่ได้ให้คำแนะนำที่ชัดเจนในการเพิ่มคุณค่าของกระบวนการบริหารความเสี่ยงในการควบคุมภายในที่เหมาะสม

หากมีข้อโต้แย้งหรือความเห็นที่แตกต่างระหว่างผู้ได้รับการตรวจสอบกับผู้ตรวจสอบ ความเห็นที่แตกต่างและข้อเสนอแนะของฝ่ายตรวจสอบภายใน ควรจะได้รับการบันทึกไว้ในรายงานการตรวจสอบและดำเนินการตามมาตรฐานการตรวจสอบของสมาคมผู้ตรวจสอบภายในสากลด้วย

ผู้ตรวจสอบภายในควรจะรายงานผลในเรื่องใดบ้าง
ข้อมูลที่สร้างจากกิจรรมการปฏิบัติงานจะถูกรายงานผ่านช่องทางปกติไปสู่หัวหน้างานทันที หัวหน้างานอาจสื่อสารไปสู่เบื้องบนตามลำดับในองค์กร เพื่อให้ข้อมูลสิ้นสุดที่บุคลากรที่สามารถปฏิบัติได้

ช่องทางเลือกของการติดต่อสื่อสารควรมีอยู่เพื่อการรายงานผลข้อมูลที่อ่อนไหว เช่น เรื่องผิดกฎหมาย ผิดระเบียบ คำสั่ง หรือการปฏิบัติที่ไม่เหมาะสม การพบข้อบกพร่องของการบริหารความเสี่ยงควรถูกรายงานที่เฉพาะต่อความรับผิดชอบของปัจเจกบุคคลเพื่อหน้าที่หรือกิจกรรมที่เกี่ยวข้อง แต่อย่างน้อยเพื่อผู้บริหารระดับที่เหนือกว่าบุคคลนั้น และแน่นอนว่าจะต้องรายงานตามสายการบังคับบัญชาด้วยเสมอ

เรามาดูกันต่อนะครับว่า การรายงานความเสี่ยงนั้นมีประโยชน์อย่างไรต่อการบริหารความเสี่ยงกันบ้าง
1. ทำให้คณะกรรมการขององค์กร มั่นใจว่าความเสี่ยงขององค์กรสอดคล้องกับกลยุทธ์ความเสี่ยงที่ได้รับอนุมัติ และพิจารณาได้ว่าหน้าที่การบริหารความเสี่ยงได้รับการปฏิบัติอย่างมีประสิทธิผล และช่วยในการติดตามที่สำคัญในกรณีที่จำเป็น

2. หัวหน้ากลุ่มต่าง ๆ และผู้บริหารระดับสูงสามารถบ่งชี้และเข้าใจความเสี่ยงที่เกิดขึ้น และข้อกำหนดกิจกรรมการลดความเสี่ยงที่มีประสิทธิผลในระดับกลยุทธ์และระดับปฏิบัติการ

3. หัวหน้ากลุ่มและผู้บริหารระดับสูงสามารถยืนยันได้ว่าการควบคุมความเสี่ยงที่สำคัญได้ถูกนำไปปฏิบัติและดำเนินการอย่างประสบความสำเร็จ และหลีกเลี่ยงความผิดพลาดและล้มเหลวต่าง ๆ ที่จะมีผลต่อการบรรลุวัตถุประสงค์ขององค์กร

ตัวอย่างเอกสารการรายงานความเสี่ยง
– ตารางความเสี่ยง (Risk Matrix)
ตารางความเสี่ยง คือ ทะเบียนความเสี่ยงที่ประกอบไปด้วยข้อมูลของแต่ละความเสี่ยง

ตัวอย่างตารางความเสี่ยง

– แผนภาพความเสี่ยง (Risk Map)
แผนภาพความเสี่ยงจัดทำขึ้นเพื่อแสดงความเสี่ยงแต่ละเรื่องไว้ด้วยกัน และแสดงภาพใหญ่ของความเสี่ยงทั้งหมดและความสำคัญแต่ละเรื่อง

แผนภาพความเสี่ยงเป็นเครื่องมือช่วยในการ
– แสดงการประเมินความเสี่ยงเชิงคุณภาพ
– แสดงตำแหน่งของความเสี่ยง
– สนับสนุนการตัดสินใจในระดับความสำคัญของความเสี่ยงในภาพรวม

การติดตามผลและการรายงานความเสี่ยง

– แผนผังความเสี่ยง
แผนผังความเสี่ยงแสดงความสัมพันธ์ระหว่างโอกาสเกิดและผลกระทบของความเสี่ยงที่บ่งชี้ได้ นอกจากนี้ยังสามารถให้ผู้บริหารใช้เป็นเครื่องมือสำหรับวัดผลและรายงานความเสี่ยงขององค์กร

องค์ประกอบสำคัญของการติดตามผล

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn