รากแก้วแห่งความเชื่อมั่นต่อประเทศไทยได้ถูกทำลายลงไปแล้ว!?!

มกราคม 7, 2010

สวัสดีปีใหม่ท่านผู้อ่านทุกท่านครับ ผมไม่ค่อยมีความสุขมากนักในช่วงปีใหม่นี้ มิใช่เพราะเรื่องส่วนตัว แต่เป็นเพราะเรื่องข่าวคราวความน่าเชื่อถือ ความเชื่อมั่น ความไว้วางใจ ที่ส่งผลกระทบอย่างรุนแรงต่อประเทศ ทั้งในระดับประเทศ และระหว่างประเทศ ซึ่งน่าจะเกิดจาก Policy Risk + Regulatory Risk + Compliance Risk + Strategic Risk อันเกิดจากกรณีมาบตาพุด + การยกเลิกสัญญาหวยออนไลน์ + การสั่งรื้อสัญญาสัมปทาน BMCL และอื่น ๆ

ทั้ง ๆ ที่หน่วยงานผู้กำกับภาครัฐได้ลงนามหรืออนุมัติ จัดทำสัญญา ให้ก่อสร้าง ให้ดำเนินการตามข้อตกลงต่าง ๆ ไปแล้ว ในที่สุดก็มีการให้ระงับการก่อสร้างโครงการต่าง ๆ ที่มาบตาพุด ยกเลิกหวยออนไลน์ที่มีสัญญาให้ติดตั้งตู้ออนไลน์ 1.2 หมื่นตู้ หรือสัญญาสัมปทานรถไฟฟ้าสายสีน้ำเงิน เพื่อหวังคุมค่าโดยสารจูงใจประชาชนให้ใช้บริการ ทั้ง ๆ ที่น่าจะพิจารณาเรื่องนี้ก่อนที่จะให้สัมปทาน โดยหน่วยงานของรัฐและผู้ที่เกี่ยวข้องได้อ้างว่า การดำเนินการดังกล่าว รวมทั้งการแก้ไขสัญญาไม่กระทบกระเทือนต่อความเชื่อมั่นของเอกชนที่ลงทุนกับรัฐ รวมทั้งให้หน่วยงานที่เกี่ยวข้องทบทวนวงเงินจ้างที่ปรึกษาอีกครั้ง ++++++

เหตุการณ์โดยสรุปข้างต้นตามเนื้อข่าวในสื่อต่าง ๆ นั้น มีผลกระทบอย่างรุนแรงต่อความเชื่อมั่น ความน่าเชื่อถือ ความไว้วางใจ การเคารพกติกาและกฎเกณฑ์ของสังคม ตามหลักการบริหารและการจัดการที่ดี ที่ส่งผลกระทบต่อเนื่องไปยังเครดิตของประเทศ ที่ประเทศไทยของเราจะมีต้นทุนทางเศรษฐกิจ และการเงิน จากความไม่น่าเชื่อถือของประเทศเพิ่มขึ้นอย่างมหาศาล สร้างความเสียเปรียบในการแข่งขันระดับชาติ และระดับองค์กร ที่เป็นตัวเงิน และไม่ใช่ตัวเงิน ทั้งในระยะสั้นและในระยะยาวอย่างประมาณค่าไม่ได้

ในหลักการของการกำกับดูแลกิจการที่ดี ซึ่งทางรัฐบาลได้ออกพระราชกฤษฎีกาว่าด้วยการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ที่ประกอบไปด้วยหลักการบริหารความเสี่ยง การควบคุมภายใน และการสร้างประสิทธิผลและประสิทธิภาพในมุมมองต่าง ๆ เพื่อสร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม หรือ Stakeholders เพื่อการเติบโตอย่างยั่งยืนในระดับองค์กร และในระดับประเทศนั้น ไม่น่าเป็นไปได้ในทางปฏิบัติ เพราะหากมีการนำหลักการบริหารความเสี่ยงที่เชื่อมโยงกับวิสัยทัศน์ และพันธกิจของประเทศแล้ว สิ่งที่ทางการได้ดำเนินการมา น่าจะขัดแย้งอย่างรุนแรงกับหลักการบริหารความเสี่ยง ที่จะก่อให้เกิดความเสียหายที่ไม่อาจยอมรับได้ (Risk Appetite) ทั้งนี้อาจพิจารณาได้จาก การตัดสินใจใด ๆ ที่มองต่างมุมที่ต่างคาบเวลากัน หรือมองต่างมุมและตีความที่แตกต่างกัน จากหน่วยงานกำกับที่มีอิสระแตกต่างกันของภาครัฐ ก็มีผลแตกต่างกันในทางปฏิบัติอย่างมากมาย

หากหน่วยงานภาครัฐมีการบริหารความเสี่ยงภายใต้หลักการกำกับดูแลกิจการที่ดี เหตุการณ์ดังกล่าวข้างต้น ภายใต้กรอบการบริหารความเสี่ยง และความเสียหายที่ยอมรับได้ หรือยอมรับไม่ได้ ในมุมมองต่าง ๆ จะต้องมีการพิสูจน์อย่างชัดเจน และมีการบริหารจัดการอย่างเป็นระบบ ภายใต้ร่ม Corporate Governance – CG ที่มีผลต่อ Global Governance จากการดำเนินงานของภาครัฐที่เรียกว่า Public Governance และ Social Governance ที่เกี่ยวข้องกับการบริหารความเสี่ยงในมิติต่าง ๆ ตามที่ผมเคยได้กล่าวไปแล้ว และอาจจะนำมาทบทวนอีกในบางมุมมองในทางสร้างสรรค์ต่อไป

ผลที่ตามมาของกรณีข้างต้นที่ปรากฏเป็นข่าวตามมา ซึ่งแสดงถึงผลสะท้อนของการไม่ปฏิบัติตามกติกาของสังคม ทั้งในระดับสากล และในระดับประเทศ ก็คือ ข่าวจากหนังสือพิมพ์กรุงเทพธุรกิจ ฉบับที่ 7777 วันพฤหัสบดีที่ 7 มกราคม 2553 ที่กล่าวว่า “เจโทรรับต้นเหตุมาบตาพุด – จี้รัฐแก้ปัญหาภายใน 3 เดือน ญี่ปุ่นเมินลงทุนไทยชาติแรก” ตามมาด้วยข่าว “จีเทค” ขู่ฟ้องรัฐบาล 1.2 หมื่นล้าน กรณีรัฐบาลสั่งยกเลิกหวยออนไลน์ เป็นการตอกย้ำถึงความไม่น่าเชื่อถือของประเทศไทยในสายตาของสังคม ทั้งในและต่างประเทศ

ประเทศไทยจะหวังอะไร หากคนในชาติ และนานาชาติ ขาดความเชื่อมั่น หรือไม่เชื่อถือ ไม่ไว้วางใจในนโยบายของชาติ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ที่มีต่อกันแล้วเป็นลายลักษณ์อักษร +++

นอกเหนือจากเหตุการณ์ความไม่สงบ หรือความไม่เรียบร้อยของบ้านเมือง ทั้งทางการเมือง การปกครอง และความมั่นคง ที่มีข่าวคราวน่าสงสัยในเรื่องมาตรฐานการดำเนินงานที่แตกต่างกัน +++ ซึ่งก็ส่งผลอย่างร้ายแรงต่อความเชื่อมั่น ตามหลักการปฏิบัติที่เท่าเทียมกัน การดำเนินการอย่างโปร่งใส +++ ตามหลักธรรมาภิบาล

ผลกระทบต่อความไม่เชื่อมั่นเพียงอย่างเดียว ก็จะนำมาซึ่งความล้มเหลวของประเทศในระยะยาวไปอีกนาน ถึงแม้ว่าจะมีการเปลี่ยนแปลงทางการเมืองหรือไม่ก็ตาม ประเทศที่มีความเจริญและมั่งคั่งทางเศรษฐกิจจะต้องมีความมั่นคง และเสถียรภาพทางการเมือง ตัวอย่างเช่น ประเทศมาเลเซียใช้การเมืองนำเศรษฐกิจ เพราะหากการเมืองมั่นคงหรือนิ่ง ความเชื่อถือหรือเชื่อมั่นก็จะเกิดขึ้น ส่งผลดีต่อเศรษฐกิจและการดำเนินงานในภาพรวม

สำหรับกรณีของไทยเรา นอกเหนือจากความไม่มั่นคงทางการเมือง และความแตกแยกทางความคิด และการกระทำในรูปแบบต่าง ๆ ที่เห็นได้ชัดเจนแล้ว เรายังมีความไม่มั่นคงทางด้านความเชื่อถือ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดต่อการพัฒนาประเทศ เปรียบเสมือนหนึ่งรากแก้ว ซึ่งเป็นหลักของต้นไม้ใหญ่ได้ถูกทำลาย หรือเสียหายอย่างมากต่อการดำเนินงานที่เป็นไปตามกติกาของสังคม

ผมมีความเห็นส่วนตัวว่า การให้น้ำหนักความสำคัญของความเชื่อถือระหว่างประเทศต่อประเทศไทย น่าจะมีความสำคัญและมีน้ำหนักมาก ในกระบวนการบริหารและการจัดการบริหารความเสี่ยง เพื่อสร้างดุลยภาพในการเติบโตอย่างยั่งยืนตามหลักการกำกับดูแลกิจการที่ดี ซึ่งทางการน่าจะเป็นผู้นำและปฏิบัติได้ดีในภาคปฏิบัติให้เป็นรูปธรรม โดยนำกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM และหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งเป็นการเน้น Integrity – Driven Performance มาขับเคลื่อนความน่าเชื่อถือ และเป็นตัวอย่างที่ดีในการบริหารความเสี่ยงตามกลไกที่รัฐบาลมีอยู่แล้วให้เป็นรูปธรรมต่อไป

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง

มกราคม 7, 2010

ครั้งที่แล้ว ผมได้อธิบายการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบการควบคุมภายในทั่วไป ของการบริหารศูนย์คอมพิวเตอร์ และการจัดการทางด้านคอมพิวเตอร์ (General Control) ซึ่งสามารถอธิบายโดยแผนภาพย่อ ๆ และเข้าใจได้สะดวก ดังนี้

จากภาพข้างต้น ผู้ตรวจสอบจะต้องกำหนดขอบเขตการตรวจสอบ ให้เป็นไปตามวัตถุประสงค์การตรวจสอบที่ต้องการ มิฉะนั้น การวางแผนการตรวจสอบเพื่อหาหลักฐานการตรวจสอบ และข้อสรุปที่เกี่ยวข้อง จะมีขอบเขตกว้างขวางที่อาจหาข้อสรุปได้ยาก และไม่อาจหาข้อยุติในการทำรายงานในกรอบเวลาที่กำหนดแล้วได้ เรื่องนี้ จึงเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งต่อผู้ตรวจสอบ เพื่อกำหนดทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบตามขอบเขต และวัตถุประสงค์ที่เกี่ยวข้อง ทั้งนี้ขอให้ดูแผนภาพต่อไปนี้ประกอบการพิจารณาเพิ่มเติมจากข้อมูลที่ได้กล่าวมาก่อนหน้านี้

เมื่อท่านได้เห็นแผนภาพที่ 2 ข้างต้นแล้ว ผมใคร่ขอย้ำอีกครั้งหนึ่งว่า การกำหนดขอบเขตการตรวจสอบ ตามวัตถุประสงค์การตรวจสอบที่ชัดเจน ตามทรัพยากรที่กำหนดให้นั้น เป็นเรื่องสำคัญยิ่งต่อกระบวนการตรวจสอบโดยรวม ทั้งนี้ การระบุปัจจัยเสี่ยงที่อาจจะเกิดจากการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) จะเกี่ยวข้องและมีผลกระทบกับกระบวนการ (IT Process) ตามหลักการของ CobiT และความเสี่ยงของ IT Process ก็จะเกี่ยวข้องและเกี่ยวพันกับ Activities ทางด้าน IT และทางด้าน Business ที่จะมีผลต่อกระบวนการบริหาร เพื่อให้ได้คุณลักษณะของสารสนเทศที่ดี หรือให้ได้ผลตาม Business Requirements ที่ต้องการ ซึ่งจะประกอบด้วย ประสิทธิผลของข้อมูลและการจัดการ (Effectiveness), ประสิทธิภาพของข้อมูลและการจัดการ (Efficiency), การรักษาความลับและการเข้าถึงข้อมูล (Confidentiality), ความครบถ้วนถูกต้องของข้อมูล (Integrity), สภาพพร้อมใช้งานของสารสนเทศ (Availability), การปฏิบัติตามกฎหมาย กฎเกณฑ์ (Compliance), ความน่าเชื่อถือของสารสนเทศ เพื่อการบริหารและการจัดการ (Information Reliability)

มาถึงตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT Audit ควรจะมีความเข้าใจในองค์รวมของกระบวนการบริหาร และการจัดการสารสนเทศที่ดี และเพียงพอที่สามารถจะสรุปจุดอ่อน ที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหายในมุมมองต่าง ๆ ทั้งทางด้าน IT และทางด้าน Business ที่เกี่ยวข้อง และผู้ที่เกี่ยวข้องควรจะเข้าใจการบริหารและการจัดการที่ผสมผสานระหว่าง Business Objective และ IT Objective ตามมุมมองของ Business Balanced Scorecard และ IT Balanced Scorecard อย่างพอเพียงด้วย

ถึงขั้นตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT และทางด้าน Manual Audit อาจจะเริ่มสับสนถึงมุมมองของการระบุปัจจัยเสี่ยง ที่เริ่มผสมผสานกันและแยกกันไม่ได้ ระหว่าง Business Risk และ IT Risk เพราะส่วนใหญ่จะมีการมอบหมายงานตาม Function ซึ่งเน้นเป็นเรื่อง ๆ (Silo) มากกว่า Business Process ที่เป็นการผสมผสานระหว่าง IT Activities กับ Business Objective

เรื่องนี้จะเข้าใจได้ดีขึ้นนะครับ ถ้าหากผู้ตรวจสอบจะได้ดูแผนภาพที่อธิบายโดยย่อถึง กระบวนการบริหารที่มีผลกระทบต่อเป้าหมายของการบริหารและควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective เพื่อบรรลุวัตถุประสงค์ตามหลักการของ CobiT ภายใต้ร่ม IT Governance ต่อไปนี้ทีละ Domain ซึ่งจะนำเสนอในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มกราคม 7, 2010

สวัสดีครับ วันนี้ผมจะมาเล่าต่อถึงการรายงานผลความเสี่ยงของผู้ตรวจสอบภายในว่า ภายหลังจากที่ผู้ตรวจสอบภายในได้ประเมินผล และทำการติดตามผลแล้ว ผู้ตรวจสอบภายในควรจะต้องรายงานผลต่อคณะกรรมการบริหารความเสี่ยง ซึ่งจะต้องรายงานในเรื่องใด และทำอย่างไรนั้น ผมจะนำเสนอต่อเลยนะครับ

กิจกรรมและขั้นตอนการบริหารใดที่มีจุดอ่อนที่ผู้ตรวจสอบภายในควรจะต้องรายงาน แม้ว่าไม่มีคำตอบที่เป็นสากลที่ชัดเจน แต่การเปรียบเทียบการบรรลุผลตามกิจกรรมและ/หรือผลลัพธ์ของแผนงานกับการปฏิบัติงานจริง จะช่วยชี้ประเด็นที่ผู้ตรวจสอบภายในสามารถรายงานศักยภาพการบริหารความเสี่ยงในระดับต่าง ๆ อย่างเป็นกระบวนการได้

ในการพิจารณาสิ่งจำเป็นในการติดต่อสื่อสาร และการรายงานผลการตรวจสอบภายในที่ผู้ตรวจสอบพึงปฏิบัติก็คือ การให้ข้อสังเกตที่มีนัยสำคัญต่อคุณภาพการบริหารความเสี่ยงทั้ง 8 ขั้นตอนอย่างเป็นกระบวนการ และให้คำแนะนำเพื่อสร้างคุณค่าเพิ่มในด้านการควบคุมการบริหารความเสี่ยง ที่ยังอาจไม่เหมาะสมที่ผู้รับการตรวจสอบในสายงานที่เกี่ยวข้องอาจนำไปใช้ลดจุดอ่อน และสร้างจุดแข็ง เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า การบริหารความเสี่ยงของผู้ที่เกี่ยวข้องในระดับต่าง ๆ สามารถก้าวสู่การบรรลุวัตถุประสงค์ และเป้าหมายที่กำหนดได้

ทั้งนี้ ผู้ตรวจสอบภายในจะต้องมั่นใจในศักยภาพ ในความเป็นผู้ตรวจสอบภายในที่มีความรู้ในกระบวนการบริหารความเสี่ยงในระดับต่าง ๆ อย่างแท้จริง มิใช่เพียงแต่ระบุจุดอ่อนของผู้ได้รับการตรวจสอบ แต่ไม่ได้ให้คำแนะนำที่ชัดเจนในการเพิ่มคุณค่าของกระบวนการบริหารความเสี่ยงในการควบคุมภายในที่เหมาะสม

หากมีข้อโต้แย้งหรือความเห็นที่แตกต่างระหว่างผู้ได้รับการตรวจสอบกับผู้ตรวจสอบ ความเห็นที่แตกต่างและข้อเสนอแนะของฝ่ายตรวจสอบภายใน ควรจะได้รับการบันทึกไว้ในรายงานการตรวจสอบและดำเนินการตามมาตรฐานการตรวจสอบของสมาคมผู้ตรวจสอบภายในสากลด้วย

ผู้ตรวจสอบภายในควรจะรายงานผลในเรื่องใดบ้าง
ข้อมูลที่สร้างจากกิจรรมการปฏิบัติงานจะถูกรายงานผ่านช่องทางปกติไปสู่หัวหน้างานทันที หัวหน้างานอาจสื่อสารไปสู่เบื้องบนตามลำดับในองค์กร เพื่อให้ข้อมูลสิ้นสุดที่บุคลากรที่สามารถปฏิบัติได้

ช่องทางเลือกของการติดต่อสื่อสารควรมีอยู่เพื่อการรายงานผลข้อมูลที่อ่อนไหว เช่น เรื่องผิดกฎหมาย ผิดระเบียบ คำสั่ง หรือการปฏิบัติที่ไม่เหมาะสม การพบข้อบกพร่องของการบริหารความเสี่ยงควรถูกรายงานที่เฉพาะต่อความรับผิดชอบของปัจเจกบุคคลเพื่อหน้าที่หรือกิจกรรมที่เกี่ยวข้อง แต่อย่างน้อยเพื่อผู้บริหารระดับที่เหนือกว่าบุคคลนั้น และแน่นอนว่าจะต้องรายงานตามสายการบังคับบัญชาด้วยเสมอ

เรามาดูกันต่อนะครับว่า การรายงานความเสี่ยงนั้นมีประโยชน์อย่างไรต่อการบริหารความเสี่ยงกันบ้าง
1. ทำให้คณะกรรมการขององค์กร มั่นใจว่าความเสี่ยงขององค์กรสอดคล้องกับกลยุทธ์ความเสี่ยงที่ได้รับอนุมัติ และพิจารณาได้ว่าหน้าที่การบริหารความเสี่ยงได้รับการปฏิบัติอย่างมีประสิทธิผล และช่วยในการติดตามที่สำคัญในกรณีที่จำเป็น

2. หัวหน้ากลุ่มต่าง ๆ และผู้บริหารระดับสูงสามารถบ่งชี้และเข้าใจความเสี่ยงที่เกิดขึ้น และข้อกำหนดกิจกรรมการลดความเสี่ยงที่มีประสิทธิผลในระดับกลยุทธ์และระดับปฏิบัติการ

3. หัวหน้ากลุ่มและผู้บริหารระดับสูงสามารถยืนยันได้ว่าการควบคุมความเสี่ยงที่สำคัญได้ถูกนำไปปฏิบัติและดำเนินการอย่างประสบความสำเร็จ และหลีกเลี่ยงความผิดพลาดและล้มเหลวต่าง ๆ ที่จะมีผลต่อการบรรลุวัตถุประสงค์ขององค์กร

ตัวอย่างเอกสารการรายงานความเสี่ยง
– ตารางความเสี่ยง (Risk Matrix)
ตารางความเสี่ยง คือ ทะเบียนความเสี่ยงที่ประกอบไปด้วยข้อมูลของแต่ละความเสี่ยง

ตัวอย่างตารางความเสี่ยง

– แผนภาพความเสี่ยง (Risk Map)
แผนภาพความเสี่ยงจัดทำขึ้นเพื่อแสดงความเสี่ยงแต่ละเรื่องไว้ด้วยกัน และแสดงภาพใหญ่ของความเสี่ยงทั้งหมดและความสำคัญแต่ละเรื่อง

แผนภาพความเสี่ยงเป็นเครื่องมือช่วยในการ
– แสดงการประเมินความเสี่ยงเชิงคุณภาพ
– แสดงตำแหน่งของความเสี่ยง
– สนับสนุนการตัดสินใจในระดับความสำคัญของความเสี่ยงในภาพรวม

การติดตามผลและการรายงานความเสี่ยง

– แผนผังความเสี่ยง
แผนผังความเสี่ยงแสดงความสัมพันธ์ระหว่างโอกาสเกิดและผลกระทบของความเสี่ยงที่บ่งชี้ได้ นอกจากนี้ยังสามารถให้ผู้บริหารใช้เป็นเครื่องมือสำหรับวัดผลและรายงานความเสี่ยงขององค์กร

องค์ประกอบสำคัญของการติดตามผล

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หลักเกณฑ์การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการ ผู้จัดการผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน (ต่อ)

มกราคม 4, 2010

วันนี้ผมจะมาเล่าเนื้อหาบางประการที่เกี่ยวข้องกับ หลักเกณฑ์การพิจารณาให้ความเห็นชอบ การแต่งตั้งกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน ของ ธปท. ซึ่งเป็นผู้กำกับที่เข้มแข็ง และกำหนดแนวทางในการบริหารและการจัดการที่ค่อนข้างชัดเจน เพื่อชี้ทิศทางให้สถาบันการเงินก้าวไปสู่การเติบโตอย่างยั่งยืน ผมจะขอเล่าอย่างสรุปในเรื่องของคุณสมบัติของกรรมการฯ ดังนี้

คณะกรรมการฯ ต้องมีความซื่อสัตย์ สุจริตและชื่อเสียง (Honesty, Integrity and Reputation) เป็นไปตามที่ธนาคารแห่งประเทศไทยกำหนด

มีความรู้ ความสามารถ และประสบการณ์ (Competence, Capability and Experiences) ที่จำเป็นและเหมาะสมกับตำแหน่งหน้าที่ที่รับผิดชอบในระดับที่ผู้ประกอบวิชาชีพการเงินการธนาคารพึง มี และต้องไม่มีลักษณะต้องห้าม เช่น เป็นผู้ที่เคยมีการทำงานที่แสดงถึงการขาดมาตรฐานทางบัญชี มาตรฐานการบริหารความเสี่ยง หรือมาตรฐานทางวิชาชีพอื่น ๆ ในการดำเนินธุรกิจ ซึ่งกำหนดโดยหน่วยงานของรัฐ หรือหน่วยงานกำหนดมาตรฐานอื่น ทั้งในประเทศและต่างประเทศ เช่น การอำพรางฐานะทางการเงิน หรือผลการดำเนินงานที่แท้จริง การจงใจหลีกเลี่ยงการเปิดเผยข้อมูลในประเด็นอันเป็นสาระสำคัญ การถูกเพิกถอนใบอนุญาตประกอบวิชาชีพ เป็นต้น

กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินจะต้องไม่มีลักษณะต้องห้ามที่เกี่ยวกับประเด็นด้านสถานะทางการเงิน (Financial Soundness) เช่น ไม่มีปัญหาในการชำระเงินต้น หรือดอกเบี้ยกับสถาบันการเงิน หรือบริษัทที่ให้สินเชื่อ หรือเข้าข่ายจัดชั้นเป็นลูกหนี้ชั้นต่ำกว่ามาตรฐาน ชั้นสงสัย ชั้นสงสัยจะสูญ หรือสูญ ทั้งในประเทศและต่างประเทศ

ข้อยกเว้นเกี่ยวกับลักษณะต้องห้ามตามมาตรา 24 (7) (ข) แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551
เพื่อให้สอดคล้องกับหลักเกณฑ์การกำกับดูแลสถาบันการเงินแบบรวมกลุ่ม (Consolidated Supervision) ธนาคารแห่งประเทศไทยจึงอนุญาตให้ผู้จัดการ หรือผู้มีอำนาจในการจัดการของบริษัทที่ได้รับสินเชื่อ ได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินนั้น และเป็นบริษัทที่อยู่ในกลุ่มธุรกิจทางการเงินเดียวกันกับสถาบันการเงิน สามารถเป็นหรือทำหน้าที่กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินนั้นได้

ในกรณีที่สถาบันการเงินมีความจำเป็นจะต้องส่งกรรมการ ผู้จัดการ หรือผู้มีอำนาจในการจัดการของสถาบันการเงินของตนเข้าไปกำกับดูแลบริษัทที่ได้รับสินเชื่อ หรือได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินนั้น สมควรอนุญาตให้สถาบันการเงินสามารถส่งกรรมการฯ ไปเป็นผู้จัดการ หรือผู้มีอำนาจในการจัดการของบริษัทที่ได้รับสินเชื่อหรือได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินนั้นได้

หรืออีกนัยหนึ่ง ธนาคารแห่งประเทศไทยอนุญาตให้ผู้จัดการ หรือผู้มีอำนาจในการจัดการของบริษัทที่ได้รับสินเชื่อหรือได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินที่ได้รับการแต่งตั้งมาจากสถาบันการเงิน สามารถเป็นหรือทำหน้าที่กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินนั้นได้ เพราะเหตุแห่งความจำเป็นที่จะต้องกำกับดูแลลูกหนี้ดังกล่าว

สำหรับเนื้อหาที่เป็นรายละเอียดอื่น ๆ ของหลักเกณฑ์การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการฯ นอกเหนือจากที่ผมได้สรุปในบางประการข้างต้นแล้ว ท่านผู้อ่านสามารถติดตามได้จากประกาศของธนาคารแห่งประเทศไทย ที่ สนส. 14/2552 ครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

มกราคม 1, 2010

วันนี้เป็นวันดี เริ่มต้นแห่งปีใหม่ 2553 ผมก็ขออำนวยพรให้ท่านผู้ติดตาม http://www.itgthailand.com แห่งนี้ มีความสุขความเจริญทุกท่านเลยครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 นี้ เราจะมาคุยกันต่อถึงประเด็นการพิจารณาในส่วนที่ 2 ซึ่งจะเป็นเกณฑ์การพิจารณาด้านระบบการบริหารการจัดการสารสนเทศ

จากการพิจารณาว่าแผนแม่บทฯและแผนปฏิบัติการ สอดคล้องตามประเด็นพิจารณาต่าง ๆ หรือไม่นั้น จะขึ้นอยู่กับว่าสามารถรองรับต่อความต้องการ / ความจำเป็น / ความเหมาะสมขององค์กร รวมถึงความต้องการของผู้บริหารหรือไม่ เช่น รัฐวิสาหกิจขนาดเล็กและการดำเนินงานไม่ซับซ้อนอาจเลือกใช้คอมพิวเตอร์เพียงเครื่องเดียวเพื่อสอดคล้องกับประเด็นพิจารณาของ “ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร” เมื่อสามารถแสดงให้เห็นว่าสามารถตอบสนองต่อความต้องการขององค์กรได้จริง

ประเด็นการพิจารณาในส่วนที่ 2 มีรายละเอียดดังนี้

2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ

2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร

เป็นระบบสารสนเทศ (Information System) ที่สามารถเก็บรวบรวมข้อมูล ทำการประมวลผล และสร้างสารสนเทศขึ้นมาเพื่อสนับสนุนการตัดสินใจ การวางแผน และการควบคุม ให้สอดคล้องกับความต้องการของผู้บริหาร โดยจะต้องใช้อุปกรณ์ทางคอมพิวเตอร์ (Hardware) และโปรแกรม (Application Program) ร่วมกับผู้ใช้ (Peopleware) ในการดำเนินงาน เพื่อก่อให้เกิดความสำเร็จในการได้มาซึ่งสารสนเทศที่มีประโยชน์ และสามารถนำมาใช้ได้อย่างมีประสิทธิภาพ

โดยหลักการในการสร้างระบบสารสนเทศจะประกอบด้วยคอมพิวเตอร์ ที่มีระบบการประมวลผลที่เป็นลักษณะงานพื้นฐาน (Transaction Processing Systems) เกี่ยวข้องกับการดำเนินงานประจำวันที่จำเป็นขององค์กร (Business Functions) ซึ่งโดยทั่วไปจะมี 5 ฟังก์ชัน คือ ระบบงานขายและการตลาด (Sales and Marketing) ระบบงานการเงินและระบบงานบัญชี (Finance and Accounting) ระบบทรัพยากรมนุษย์ (Human Resources) ระบบงานการผลิต (Manufacturing) และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร (Core Business Functions) ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูล (Database) หลักขององค์กร และมีการเชื่อมโยงกับตัวแปรอื่น ๆ เช่น ลูกค้า ผู้จำหน่ายวัตถุดิบ คลังสินค้า เป็นต้น โดยจะมีโปรแกรม (Application Program) ที่ดึงข้อมูล และสรุปเป็นรายงานหรือสารสนเทศให้ตรงกับความต้องการของผู้บริหารและระดับความจำเป็นที่จะต้องใช้ในแต่ละองค์กร

แนวทางโดยสรุป Management Information System (MIS) ก็คือ ระบบสารสนเทศเพื่อการจัดการ ในส่วนของยุทธวิธีในการวางแผนการปฏิบัติ และการตัดสินใจของผู้บริหารระดับกลาง เป็นระบบที่สามารถออกรายงานสรุป (Summary Report) ในลักษณะที่เป็นงานประจำหรือ รายงานเรื่องใดเรื่องหนึ่งโดยเฉพาะ (Exception Report) เพื่อสนับสนุนการตัดสินใจของผู้บริหารได้ โดยอาจจะเป็นในรูปแบบกระดาษ หรือผ่านทางหน้าจอคอมพิวเตอร์ ตัวอย่างเช่น ระบบ MIS ขององค์กรที่เกี่ยวข้องกับการขนส่งสามารถออกรายงานสรุปยอดของจำนวนผู้ใช้บริการ ปริมาณงานขนส่ง และข้อมูลอื่นๆที่ผู้บริหารมีความต้องการเป็นรายวัน รายเดือนหรือตามความเหมาะสม ขึ้นอยู่กับความต้องการและลักษณะธุรกิจของแต่ละองค์กร

ส่วน Executive Information System (EIS) คือ ระบบสารสนเทศที่สนับสนุนการจัดการในการวางแผน นโยบาย กลยุทธ์ และการตัดสินใจของผู้บริหารในระดับสูง (Top Management) ที่สามารถออกรายงานสรุป (Summary Report) ทั้งที่เป็นลักษณะงานประจำ และที่ไม่ใช่ลักษณะงานประจำ และ ณ ช่วงเวลาใดก็ได้ตามต้องการ เพื่อสนับสนุนการตัดสินใจของผู้บริหารระดับสูงได้ โดยพิจารณาข้อมูลจากแหล่งต่าง ๆ ภายนอกองค์กร และนำมาประกอบการตัดสินใจในปัญหาที่ไม่มีโครงสร้างหรือรูปแบบที่แน่นอน ซึ่งอาจจะเป็นในรูปแบบของกระดาษ หรือหน้าจอคอมพิวเตอร์กราฟฟิก ตัวอย่างจากบริษัท Southstream Seafoods เป็นบริษัทนำเข้าและส่งออกอาหารทะเลแช่แข็ง เนื่องจากราคาของอาหารทะเลไม่คงที่ ผู้บริหารมีความจำเป็นที่จะต้องทราบราคาที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา โดยข้อมูลที่ผ่านการวิเคราะห์จากระบบ EIS ทำให้ได้รายงานที่สรุปถึงการเปลี่ยนแปลงของราคา ช่วงเวลาที่เกิดการเปลี่ยนแปลง และสาเหตุ ซึ่งผู้บริหารสามารถนำข้อมูลดังกล่าวมาคิดเป็นราคาที่เหมาะสมที่สุด ได้ราคาที่จะขายรวดเร็วกว่าคู่แข่ง และสามารถแจ้งให้ลูกค้าทราบได้ทันที ส่งผลให้เกิดข้อได้เปรียบทางด้านการตลาด

2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร

เป็นระบบการจัดการฐานข้อมูล (Database Management System) ที่เก็บรวบรวมข้อมูล ทำการประมวลผล และสามารถค้นคืนข้อมูล เพื่อให้ผู้บริหารมีสารสนเทศสำหรับใช้เป็นเครื่องมือในการติดตาม หรือวัดผลการดำเนินงานขององค์กรได้

โดยทั่วไปการที่จะมีระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กรได้นั้น จะต้องมีฐานข้อมูล (Database) ที่เก็บข้อมูลในแต่ละกระบวนการงาน (Transaction Processing Systems) ที่มีความสำคัญหรืออยู่ในความสนใจของผู้บริหาร และมีระบบการจัดการฐานข้อมูล (Database Management System) ซึ่งเมื่อมีการสืบค้นหรือดึงข้อมูลออกมา ก็จะทำให้ทราบถึงสถานภาพของการดำเนินงานที่เป็นอยู่ในปัจจุบัน ผู้บริหารสามารถที่จะทราบถึงระดับหรือความก้าวหน้าของการดำเนินงานว่าอยู่ ณ จุดใด สามารถที่จะวัดผลการดำเนินงานเป็นเปอร์เซ็นต์ของความสำเร็จได้

แนวทางโดยสรุปก็คือ ระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถจัดเก็บ ประมวลผล และสามารถสืบค้นข้อมูลที่เกี่ยวข้องกับกระบวนการปฏิบัติงานขององค์กร เพื่อให้ทราบถึงสถานะของการดำเนินงานว่าอยู่ ณ จุดใด ซึ่งจะช่วยให้สามารถติดตามหรือวัดผลการดำเนินงานกับเป้าหมายขององค์กรที่ตั้งไว้ได้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอที่สามารถวัดระดับความสำเร็จของงานได้ เช่น ระบบการจัดการฐานข้อมูลของบริษัทขายผลิตภัณฑ์รองเท้าแห่งหนึ่ง ซึ่งมีฐานข้อมูลของโรงงานการผลิตที่เชื่อมต่อกับฐานข้อมูลของ Supplier และมีระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิต (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งหากเกิดกรณีที่ Supplier ไม่สามารถจัดส่งวัตถุดิบได้ทันต่อกระบวนการผลิต ระบบการจัดการฐานข้อมูลนี้จะทำให้ผู้บริหารทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้ ว่า Supplier ไม่สามารถส่งวัตถุดิบได้ทันเวลา และเป็นวัตถุดิบประเภทใด จำนวนเท่าไร ณ Process ใด ทำให้สามารถที่จะแก้ปัญหา หรือปรับปรุง เปลี่ยนแปลงได้อย่างถูกต้อง ตรงจุด และมีประสิทธิภาพ

2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

ระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย เป็นระบบที่จะต้องมีระบบการจัดการฐานข้อมูล (Database Management System) เพื่อใช้ในการจัดเก็บ รวบรวม และการจัดการข้อมูลเพื่อให้ข้อมูลในแต่ละส่วนงานสามารถที่จะแสดงความสัมพันธ์กันได้ ซึ่งระบบการรายงานผลและสอบเทียบผลการดำเนินงานจะไปดึงข้อมูลในแต่ละส่วนงานที่เกี่ยวข้องกันจากฐานข้อมูลกลางที่องค์กรมี เพื่อนำมาเปรียบเทียบกับค่าเป้าหมายที่องค์กรตั้งไว้ เพื่อสรุปเป็นรายงานที่บ่งบอกให้ทราบถึงผลของการดำเนินงานที่เกิดขึ้น ซึ่งผู้บริหารสามารถนำรายงานดังกล่าว ไปใช้เป็นเครื่องมือในการตรวจสอบการดำเนินงานขององค์กรได้ว่าควรจะมีการปรับปรุง เปลี่ยนแปลง แก้ไขให้กระบวนการทำงานดีขึ้นได้อย่างไร และที่กระบวนการใด

แนวทางโดยสรุปของระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย ก็คือ ระบบที่สามารถออกรายงานที่แสดงถึงผลของการดำเนินงานตามเป้าหมายต่าง ๆ ที่ได้กำหนดไว้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอ ที่สามารถวัดระดับความสำเร็จของงานได้ เช่น บริษัทผลิตเสื้อผ้าแห่งหนึ่งใช้ฐานข้อมูลของ Oracle ที่ Run บน IBM AS/400 Server และมี Show Case Software (Report Generator) ที่สามารถออกรายงานตามที่ต้องการได้ และสามารถเปรียบเทียบยอดการผลิตในแต่ละช่วงเวลากับที่ทางบริษัทได้ตั้งเป้าไว้ ทำให้ทราบถึงจำนวนที่ขาดเหลือและเปอร์เซ็นต์ที่ขาดเหลือดังกล่าว ระบบสามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิตเสื้อผ้า (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งจะทำให้ผู้บริหารสามารถติดตาม และทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง

2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง

ระบบในการบริหารความเสี่ยงจำเป็นจะต้องอาศัยระบบสารสนเทศที่เหมาะสมในการเก็บข้อมูลพื้นฐานและประมวลผลข้อมูล ซึ่งปัญหาของการเก็บข้อมูลในระบบคือ ข้อมูลในระบบอาจถูกนำเสนออย่างไม่เที่ยงตรงและไม่มีความสอดคล้องกับการนำเสนอข้อมูลในส่วนอื่นของระบบ และข่าวสารบางส่วนอาจมีข้อผิดพลาด คลุมเครือ หรือไม่ได้รับการแบ่งแยกอย่างเหมาะสมสำหรับการนำเสนอทางธุรกิจ

ดังนั้น ระบบสารสนเทศที่เหมาะสมจึงเป็นสิ่งสำคัญในการจัดเก็บข้อมูลพื้นฐานในแต่ละหน่วยงานขององค์กร ทั้งนี้ เพื่อให้มีศูนย์กลางในการรวบรวมข้อมูลในแต่ละหน่วยขององค์กร เพื่อให้แต่ละหน่วยสามารถแลกเปลี่ยนข้อมูลกันได้ และเพื่อให้ผู้บริหารสามารถดึงข้อมูลที่ต้องการเพื่อใช้เป็นแนวทางในการตัดสินใจถึงการบริหารความเสี่ยงใน แต่ละหน่วยงาน และเชื่อมโยงถึงการบริหารความเสี่ยงในภาพรวมขององค์กร

ตามหลักการแล้ว ในองค์กรจะมีศูนย์กลางที่เรียกว่า Risk Data Warehouse ซึ่งทำหน้าที่เก็บข้อมูล รวบรวมข้อมูล และประมวลผลข้อมูลในเบื้องต้นให้กับผู้บริหาร โดยข้อมูลดังกล่าวจะมาจากหน่วยงานต่างๆ ทั้งภายในและภายนอกองค์กร ดังนั้น หน้าที่หลักของ Risk Data Warehouse คือรวบรวมข้อมูลจากฝ่ายต่างๆ และนำมาจัดเรียงให้อยู่ในรูปแบบ (Format) ที่ฝ่ายบริหารต้องการเพื่อจะนำไปประมวลผลข้อมูลได้ทันที และระบบสารสนเทศต้องสามารถรองรับได้ทันทีหากข้อมูลมีการเปลี่ยนแปลงไป

Risk Data Processing

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถรวบรวมข้อมูลจากหน่วยงานต่างๆ ในองค์กร เพื่อเป็นศูนย์กลางในการรวบรวม แลกเปลี่ยนข้อมูลระหว่างหน่วยงาน และเพื่อให้ผู้บริหารสามารถใช้ข้อมูลเพื่อเป็นแนวทางตัดสินใจในการบริหารความเสี่ยงได้

ตัวอย่าง : ธนาคารแห่งหนึ่งมีหน่วยงานภายในหลายหน่วยงาน ล้วนแต่มีกิจกรรมที่ต่างกันและมีผลิตภัณฑ์ของแต่ละหน่วยงานที่ต่างกัน ดังนั้น จำเป็นต้องมีระบบสารสนเทศที่ทำการจัดเก็บข้อมูลในแต่ละหน่วยงาน เพื่อสามารถแปลงข้อมูลในแต่ละหน่วยงานที่มีความแตกต่างกันนี้ ให้อยู่ในรูปแบบเดียวกัน เพื่อให้ผู้บริหาร หรือหน่วยงานที่เกี่ยวข้องสามารถนำไปตัดสินใจในส่วนที่เกี่ยวข้องกับการบริหารความเสี่ยงได้ โดยผู้บริหารต้องทำการเรียกดูข้อมูลได้อย่างรวดเร็ว และเป็นข้อมูลที่ถูกต้องและอยู่ในรูปแบบที่เหมาะสมในการตัดสินใจ

โดยที่ข้อมูลดังกล่าว อาจจะมาจากภายในธนาคารเอง (Internal) หรือภายนอกธนาคาร (External) เช่น ข้อมูลของสาขาต่างประเทศของธนาคารดังกล่าวก็ได้ ซึ่งจะเป็นการใช้ประโยชน์จากระบบการเชื่อมโยงระหว่าง Server ของสาขา โดยระบบสารสนเทศนี้ต้องมีสามารถรองรับการเปลี่ยนแปลงของข้อมูล ในกรณีที่ข้อมูลมีการเปลี่ยนแปลง (Update) อยู่ตลอดเวลาได้

2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early warning system (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)

องค์ประกอบหลักของการบริหารความเสี่ยงที่สำคัญคือ การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ซึ่ง ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง และองค์กรต้องมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ระดับเสียหายข้างต้นด้วย

ดังนั้น ระบบสารสนเทศ จะต้องสนับสนุนการมี Early Warning System เพื่อป้องกันความเสี่ยงหลัก โดยจัดให้มี Management Trail เพื่อการติดตาม สอบทานแบบต่อเนื่องอย่างเหมาะสม ในการบริหารความเสี่ยง

แนวทางโดยสรุป ระบบ Early Warning System คือ ระบบสารสนเทศที่สนับสนุนการจัดรูปแบบและประมวลผลข้อมูลให้อยู่ในรูปของระดับความรุนแรงในการเกิดเหตุการณ์ และโอกาสของการเกิดความเสี่ยงแต่ละประเภท เพื่อให้องค์กรได้กำหนดระดับที่ยอมรับได้ของความเสี่ยง (Limited Risk Level) ได้ และหากระดับความเสียหายเกินกว่า Level ที่ยอมรับได้ ระบบจะต้องทำการเตือน / รายงานทันทีโดยทันกาล (Timely manner)

ตัวอย่าง : องค์กรแห่งหนึ่ง ได้กำหนดระดับความเสียหาย (ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) ไว้ 5 ระดับ โดยทำเป็น Matrix ดังนี้

จากตารางด้านบน จะพบว่า องค์กรกำหนดระดับความถี่ไว้ 5 ระดับ และระดับความรุนแรงไว้ 5 ระดับ ดังนั้นระดับความเสียหาย จะอยู่ที่ระดับต่ำสุดคือ 1 และระดับสูงที่สุดคือ 25

ขั้นตอนของระบบในการประมวลผลและมีระบบเตือนภัย
1. ระบบสารสนเทศ จะทำการรวบรวมข้อมูลความเสี่ยงจากแต่ละหน่วยงาน โดยแต่ละหน่วยงานต้องระบุระดับความถี่และระดับความรุนแรงของความเสี่ยงแต่ละประเภท
2. องค์กรจะต้องระบุระดับความเสียหายที่ยอมรับได้ ซึ่งในที่นี้ ยกตัวอย่างระดับความเสียหายที่ยอมรับได้เท่ากับ 9
3. เมื่อระบบรวบรวมข้อมูลความเสี่ยงซึ่งระบุระดับความเสียหายของแต่ละหน่วยงานแล้ว ระบบจะต้องประเมินผลระดับความเสียหายของแต่ละปัจจัยเสี่ยง หากปัจจัยเสี่ยงใดมีระดับความเสียหายที่เกิน 9 (เกินระดับที่ยอมรับได้) ระบบจะต้องมีสัญญาณเตือน / รายงาน / แจ้งต่อผู้บริหารถึงระดับความเสียหายที่เกิดขึ้น เพื่อที่ผู้บริหารจะได้บริหารจัดการต่อความเสี่ยงนั้นได้ทันท่วงที

2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
• การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) โดยรัฐวิสาหกิจสามารถเลือกมาตรฐานที่ใช้ควบคุมป้องกันมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ทั้งสิ้น 10 ประการ ดังนี้

IT Security ของศูนย์คอมพิวเตอร์หลัก

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

• การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up) โดยรัฐวิสาหกิจต้องมีการควบคุมป้องกันศูนย์คอมพิวเตอร์สำรองตามคุณลักษณะที่กำหนดเช่นเดียวกัน ซึ่งรัฐวิสาหกิจสามารถเลือกมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ดังนี้

Off-site Back up

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

ครั้งหน้าจะไปต่อกันในส่วนของระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในกันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

รายการถัดไป »