แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 30, 2009

ในครั้งที่แล้วผมได้กล่าวถึงลักษณะและรูปแบบของการติดตามผลการตรวจสอบ (Monitoring) ว่ามีลักษณะอย่างไร และท่านผู้บริหาร ผู้ตรวจสอบ สามารถที่จะติดตามผลของการตรวจสอบนั้นได้จากทางใดบ้าง สำหรับวันนี้ผมจะกล่าวต่อถึงขอบเขตของความถี่่ในการประเมินผล ซึ่งการประเมินผลในเรื่องการบริหารความเสี่ยงมีความแตกต่างกันในเรื่องขอบเขตและความถี่ ขึ้นอยู่กับความมีนัยสำคัญของความเสี่ยง และความสำคัญของการตอบสนองความเสี่ยงและการควบคุมที่เกี่ยวข้องในเรื่องการจัดการความเสี่ยง

พื้นที่ที่มีความเสี่ยงและการตอบสนองสูงกว่ามีแนวโน้มที่จะถูกประเมินผลบ่อยกว่า การประเมินผลความสมบูรณ์ของการบริหารความเสี่ยง ซึ่งโดยทั่วไปมีความถี่ในความจำเป็นน้อยกว่าการประเมินค่าเฉพาะส่วน อาจถูกกระตุ้นโดยเหตุผลมากมาย กลยุทธ์หลัก หรือการเปลี่ยนแปลงเรื่องการบริหาร การเข้าถือสิทธิ์หรืออำนาจในการควบคุม การเปลี่ยนแปลงทางเศรษฐกิจหรือเงื่อนไขทางการเมือง หรือการเปลี่ยนแปลงในการปฏิบัติการหรือวิธีการในการประมวลผลข้อมูล

เมื่อการตัดสินใจเกิดขึ้น เพื่อใช้เป็นการประเึมินผลที่ครอบคลุมของการบริหารความเสี่ยงขององค์กร ความตั้งใจควรมุ่งในการสร้างวิธีการเพื่อจัดตั้งกลยุทธ์ด้วยกิจกรรมที่สำคัญ ขอบเขตการประเมินผลขึ้นอยู่กับประเภทของวัตถุประสงค์ที่ถูกวางไว้ ว่าเป็นวัตถุประสงค์ประเภทใด รวมถึงมีใครเป็นผู้ประเมินผล บ่อยครั้งการประเมินผลใช้รูปแบบของการประเมินค่าตนเอง บุคคลผู้ซึ่งรับผิดชอบต่อหน่วยเฉพาะหรือหน้าที่กำหนดความมีประสิทธิภาพของการบริหารความเสี่ยงสำหรับกิจกรรมของพวกเขาเหล่านั้น

ผู้ตรวจสอบภายในทำการประเมินผลให้เป็นส่วนหนึ่งของหน้าที่ปกติ หรือเป็นคำขอร้องพิเศษของผู้บริหารอาวุโส กรรมการหรือผู้ช่วยหรือผู้บริหารของฝ่าย เช่นเดียวกันผู้บริหารอาจใช้ประโยชน์ สูงสุดจากผู้ตรวจสอบภายนอกในการพิจารณาความมีประสิทธิภาพของการบริหารความเสี่ยง การรวมกันของความพยายามต่าง ๆ ถูกใช้ในการดำเนินการ อย่างไรก็ตามการบริหารกระบวนการประเมินก็เป็นสิ่งจำเป็น

ขั้นตอนการประเมินผล
การประเมินผลการบริหารความเสี่ยงเป็นขั้นตอนภายในตัวเอง ขณะที่วิธีการหรือเทคนิคมีความแตกต่าง ความมีระเบียบควรนำมาใช้ในขั้นตอน ด้วยพื้นฐานที่มีอยู่อย่างถาวรและไม่แยกจากกัน

ผู้ทำการประเมินต้องเข้าใจในแต่ละกิจกรรมขององค์กรและแต่ละส่วนประกอบของการบริหารความเสี่ยง ซึ่งอาจเป็นประโยชน์ต่อการมุ่งเน้นเป็นอันดับแรกว่าการบริหารความเสี่ยงทำหน้าที่ได้ตามวัตถุประสงค์ได้อย่างไร ซึ่งบางครั้งอาจหมายถึงระบบหรือการออกแบบขั้นตอน

ผู้ทำการประเมินวิเคราะห์การออกแบบขั้นตอนการบริหารความเสี่ยงและผลของการทดสอบการปฏิบัติงาน การวิเคราะห์นี้เป็นการเปรียบเทียบกับการจัดฉากของผู้บริหารสำหรับแต่ละส่วน ประกอบด้วยเป้าหมายสูงสุดของการกำหนดว่ากระบวนการบริหารความเสี่ยงกระทำไปนั้นมั่นใจได้ว่าเข้ากันได้กับวัตถุประสงค์ที่กำหนดขึ้นหรือไม่

กลวิธีในการตรวจสอบ
ความหลากหลายของวิธีการประเมินผลและเครื่องมือสามารถหามาได้ที่ใช้ในการตรวจสอบการบริหารความเสี่ยง จะขึ้นอยู่กับเป้าหมายการตรวจสอบเป็นหลัก อย่างไรก็ดี ประสิทธิภาพและประสิทธิผลของกระบวนการบริหารความเสี่ยงจะต้องถูกประเมินด้วยการทดสอบการปฏิบัติงานจริง ซึ่งอาจจะใช้เทคนิคการประเมินความเสี่ยงตามฐานการตรวจสอบความเสี่ยง Risk Based Internal Audit (RBIA) ที่เน้นทางด้าน Manual หรือเน้นควบคู่กันไปกับการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ Computer Assisted Audit Technic (CAAT) เช่น ใช้ IDEA หรือ ACL และ/หรือเทคนิคการตรวจสอบแบบ Around The Computer หรือ Throgh The Computer เป็นต้น

ในฐานะที่เป็นส่วนหนึ่งของวิธีการประเมินผล บางองค์กรเปรียบเทียบขั้นตอนการบริหารความเสี่ยงกับองค์กรอื่น ๆ เช่น องค์กรหนึ่งอาจวัดผลกระบวนการกับบริษัทอื่นด้วยชื่อเสียงที่ได้จากการบริหารความเสี่ยง การเปรียบเทียบนี้อาจกระทำได้โดยตรงกับบริษัทอื่นหรือธุรกิจอื่น ๆ องค์กรอื่น ๆ อาจให้ข้อมูลเชิงเปรียบเทียบ การระวังเป็นสิ่งจำเป็นเมื่อดำเนินการเปรียบเทียบ ต้องพิจารณาความแตกต่างซึ่งคงอยู่ในวัตถุประสงค์ ข้อเท็จจริงและโอกาส และส่วนประกอบของการบริหารความเสี่ยงทั้ง 8 ประการ เช่นเดียวกับข้อจำกัดที่เป็นธรรมชาติของการบริหารความเสี่ยงจำเป็นต้องนำมาใส่ใจ

การทำเอกสารการรายงานความเสี่ยง
ขอบเขตในเรื่องเอกสารของการบริหารความเสี่ยงแตกต่างไปตามขนาดขององค์กร ความซับซ้อนและปัจจัยที่คล้ายกัน องค์กรที่มีขนาดใหญ่กว่ามักเขียนนโยบายเป็นลายลักษณ์อักษร มีแผนผังของโครงสร้างองค์กร มีการเขียน Job Description คำแนะนำในการปฏิบัติการ แผนผังระบบข้อมูล และอื่น ๆ องค์กรที่มีขนาดเล็กกว่าจะมีความใส่ใจในเรื่องเอกสารน้อยกว่า

การบริหารความเสี่ยงหลาย ๆ ด้าน เป็นสิ่งไม่เป็นทางการและไม่มีเอกสาร แต่มีผลการปฏิบัติงานที่ดีและมีประสิทธิภาพสูง กิจกรรมเหล่านี้อาจถูกทดสอบในแบบเดียวกันจนเหมือนเป็นเอกสาร ข้อเท็จจริงคือส่วนประกอบของการบริหารความเสี่ยงไม่ได้เป็นลายลักษณ์อักษร ไม่ได้หมายความว่าไม่มีประสิทธิภาพหรือไม่สามารถประเมินผลได้ อย่างไรก็ตาม ระดับที่เหมาะสมของเอกสารมักทำให้การตรวจติดตามมีประสิทธิภาพและประสิทธิผล

ผู้ทำการประเมินอาจตัดสินใจทำเอกสารขั้นตอนการประเมินผล ผู้ทำการประเมินจะร่างจากเอกสารของการบริหารความเสี่ยงที่มีอยู่ ซึ่งเป็นส่วนเสริมให้กับเอกสารที่เพิ่มขึ้นพร้อมกันกับอธิบายเรื่องการทดสอบและวิเคราะห์การปฏิบัติงานในขั้นตอนการประเมินผล

ผู้บริหารเจตนาทำประกาศให้ภายนอกทราบเกี่ยวกับความมีประสิทธิภาพของการบริหารความเสี่ยง ซึ่งจะต้องพัฒนาและรักษาเอกสารเพื่อสนับสนุนการประกาศ ดังนั้น เอกสารจึงมีประโยชน์หากประกาศนั้นถูกท้าทายในภายหลัง

การรายงานการบริหารความเสี่ยง
รูปแบบรายงานที่นำเสนอนี้สามารถใช้เพื่ออธิบายความเสี่ยง รายงานควรนำเสนอแนวทางที่ใช้ในการรวบรวมข้อมูลความเสี่ยงและแนวทางการให้คะแนนที่ใช้ในการประเมินความเสี่ยง และควรอธิบายคุณค่าซ่อนเร้นหรือโอกาสที่ถูกบ่งชี้เพื่อช่วยเหลือในการที่ผู้บริหารจะมุ่งเน้นในข้อมูลความเสี่ยงโดยรวม

หลักในการจัดทำรายงานความเสี่ย
1. การจัดทำรายงานต้องทันเวลา กระชับ และอยู่ในรูปแบบที่ช่วยให้การติดตามผลและการควบคุมขององค์กรมีประสิทธิผล
2. รายงานเบื้องต้นควรเน้นที่การแสดงความเสี่ยงในภาพโดยรวม และกิจกรรมเพื่อลดความเสี่ยงในระดับองค์กร กระบวนการและโครงการ รายงานความเสี่ยงที่ทำเป็นปกติควรรายงานความเสี่ยงสำคัญที่เกิดขึ้นเป็นรายเดือน และรายงานสถานะความเสี่ยงในภาพรวมเป็นรายไตรมาส
3. เน้นการติดตามการจัดการความเสี่ยงหลัก ยกเว้น ในกรณีที่สภาพแวดล้อมต่าง ๆ แสดงให้เห็นว่าความเสี่ยงนั้นหมดไปแล้ว

การรายงานผลการบริหารความเสี่ยงและการควบคุม รวมทั้งการปรับปรุงแก้ไข
จุดอ่อนในการบริหารความเสี่ยงอาจครอบครอบคลุมจากหลายแหล่งรวมถึงกระบวนการการตรวจติดตามอย่างต่อเนื่อง การประเมินผลแยกต่างหากและบุคคลภายนอก คำว่า “จุดอ่อน” อาจจะหมายถึง ความบกพร่องที่นำมาสู่ความเสียหายของการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร และยังหมายถึงสภาพภายในกระบวนการบริหารความเสี่ยง ดังนั้น จุดอ่อนที่ผู้ตรวจสอบภายในตรวจพบ อาจหมายถึง ศักยภาพของพนักงานที่อาจต้องมีการปรับปรุงแก้ไข เพื่อลดจุดอ่อน เพื่อช่วยเพิ่มความเป็นไปได้ซึ่งทำให้วัตถุประสงค์ขององค์กรบรรลุผล

แหล่งของข้อมูล
แหล่งที่ดีที่สุดของข้อมูลจากความบกพร่องในการบริหารความเสี่ยง คือ ตัวของการบริหารความเสี่ยงเอง

กิจกรรมการตรวจติดตามอย่างต่อเนื่องขององค์กร รวมถึงกิจกรรมทางการบริหารและการสั่งการผู้ใต้บังคับบัญชาทุก ๆ วัน การสร้างความเข้าใจลึกซึ้งจากผู้ที่เกี่ยวข้องโดยตรงในกิจกรรมขององค์กร ความเข้าใจลึกซึ้งนี้หาได้ในเวลาที่เป็นจริงและสามารถแยกแยะความบกพร่องได้อย่างรวดเร็ว แหล่งอื่นของความบกพร่องคือการประเมินผลที่แยกต่างหากของการบริหารความเสี่ยง การประเมินผลดำเนินการโดยผู้บริหาร ผู้ตรวจสอบภายใน หรือหน่วยงานอื่น ๆ ซึ่งสามารถเน้นพื้นที่ที่จะเป็นต้องปรับปรุง

หน่วยงานภายนอกเป็นผู้ให้ข้อมูลสำคัญบ่อย ๆ จากการทำงานในการบริหารความเสี่ยง ซึ่งรวมถึงลูกค้า คู่ค้า และผู้มีผลประโยชน์ร่วมที่ทำธุรกิจกับองค์กร ผู้ตรวจสอบภายนอกและผู้ดูแลกฎระเบียบ รายงานจากแหล่งภายนอกควรถูกพิจารณาอย่างระมัดระวังในเรื่องการตีความสำหรับการบริหารความเสี่ยงและควรมีการแก้ไขที่เหมาะสม

จากการประเมินและการติดตามผลการบริหารความเสี่ยง ผู้บริหาร ผู้ตรวจสอบต้องทำการรายงานการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง โดยจะต้องรายงานเรื่องใด และอย่างไรนั้น ผมจะมาพูดคุยกันต่อในครั้งต่อไป โปรดติดตามนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 23, 2009

การติดตามผล (Monitoring) และการตรวจสอบ ที่ผมจะนำเสนอในวันนี้ เป็นกระบวนการบริหารความเสี่ยง Enterprice Risk Management (COSO – ERM) ประการที่ 8 ซึ่งเป็นกระบวนการบริหารความเสี่ยงประการขั้นสุดท้าย แต่ก็มิได้หมายความว่าการจัดการในการบริหารความเสี่ยงจะสิ้นสุดลงเพียงแค่นี้ ยังมีหลักเกณฑ์ / หลักการอื่นอีกหลายอย่างที่ผู้บริหารสามารถนำมาใช้ในการบริหารความเสี่ยงขององค์กรได้ อาทิเช่น แนวทางการบริหารแผนงาน/โครงการขององค์กร ซึ่งผมจะได้นำเสนอในโอกาสต่อไป

การบริหารความเสี่ยงต้องได้รับการตรวจสอบ ซึ่งก็คือกระบวนการประเมินการมีอยู่และการทำงานของส่วนประกอบต่าง ๆ ตลอดเวลา ที่ประสบความสำเร็จโดยผ่านการตรวจติดตามกิจกรรมอย่างต่อเนื่อง การประเมินผลแยกต่างหากหรือทั้งสองอย่าง การตรวจติดตามอย่างต่อเนื่องเกิดขึ้นในกิจกรรมปกติของผู้บริหาร ขอบเขตและความถี่ของการประเมินผลแยกต่างหากขึ้นอยู่กับการประเมินค่าความเสี่ยงและความมีประสิทธิภาพของขั้นตอนการตรวจติดตามอย่างต่อเนื่อง ข้อบกพร่องในการบริหารความเสี่ยงของกิจการได้ถูกรายงานผลไปสู่ผู้บริหารระดับสูงและกรรมการ

การบริหารความเสี่ยงของกิจการเปลี่ยนแปลงตลอดเวลา การตอบสนองความเสี่ยงซึ่งเคยมีประสิทธิภาพอาจกลับกลายเป็นไม่มีความสัมพันธ์ การควบคุมกิจกรรมอาจมีประสิทธิภาพน้อยลงหรือไม่ได้แสดงออกมาก หรืออาจมีการเปลี่ยนแปลงวัตถุประสงค์ขององค์กร อาจเป็นผลมาจากการเข้ามาของบุคลากร การเปลี่ยนแปลงในโครงสร้างหรือทิศทางขององค์กร หรือการเข้ามาของกระบวนการใหม่ ๆ ในการเผชิญกับการเปลี่ยนแปลงนี้ ผู้บริหารจำเป็นต้องกำหนดว่าการทำหน้าที่ของแต่ละส่วนประกอบของการบริหารความเสี่ยงยังคงมีประสิทธิภาพอยู่ต่อไปหรือไม่

ลักษณะของการติดตามผล
– การประเมินความมีประสิทธิผลและความต่อเนื่องของกิจกรรมการควบคุม และกิจกรรมอื่น ๆ ที่ใช้ในการจัดการความเสี่ยง
– การกำหนดเป้าหมายและระดับจำกัดความเสี่ยงที่เหมาะสม
– การรวบรวมและบันทึกข้อมูลที่เหมาะสม
– การติดต่อสื่อสารเกี่ยวกับความเสี่ยงและกระบวนการต่าง ๆ อย่างสม่ำเสมอและเปิดเผยทั้งแบบเป็นทางการและไม่เป็นทางการ

รูปแบบของการติดตามผล
การติดตามผลและการตรวจสอบ สามารถทำได้ 2 ทาง คือ
1. การติดตามผลระหว่างดำเนินการอย่างต่อเนื่อง (Ongoing Monitoring) หมายถึงการสังเกตการติดตามการมีระบบรายงานความคืบหน้าของงาน รวมทั้งสอบทานหรือการยืนยันยอดระหว่างการปฏิบัติงาน
2. การประเมินอิสระ (Separate Evaluation) เป็นการประเมินตามช่วงเวลาที่กำหนดขึ้นหรือการประเมินอิสระ หมายถึง การประเมินอิสระโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายในขึ้น เพื่อให้สามารถแสดงความคิดเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น

การติดตามผลทั้งระหว่างดำเนินงานอย่างต่อเนื่อง และการประเมินอิสระ เป็นการทำให้แน่ใจว่า ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร ถูกนำไปใช้ทั่วถึงทุกระดับในองค์กร การติดตามผลระหว่างดำเนินงานมีการโต้ตอบ หากสภาวการณ์เปลี่ยนแปลงไปในเวลาที่เป็นปัจจุบัน จึงมีประสิทธิภาพมากกว่าการประเมินอิสระ เพราะการประเมินแบบอิสระเกิดขึ้นภายหลังที่ทราบข้อสังเกตหรือข้อเท็จจริงแล้ว

ความถี่ของการประเมินอิสระขึ้นอยู่กับการพิจารณาของฝ่ายจัดการ โดยการกำหนด หรือพิจารณาธรรมชาติ หรือระดับของการเปลี่ยนแปลง ทั้งเหตุการณ์ภายในและภายนอกและความเสี่ยงที่เกี่ยวข้อง การตอบสนองต่อความเสี่ยงและการควบคุมที่มีและความเสี่ยงร่วม

ความสามารถและประสบการณ์ของบุคลากรในการจัดการกับการตอบสนองความเสี่ยง และการควบคุมที่เกี่ยวข้องและผลของการตรวจติดตามอย่างต่อเนื่อง โดยปกติการรวมกันของการตรวจติดตามอย่างต่อเนื่องและการประเมินผลแยกต่างหาก ทำให้มั่นใจได้ว่าการบริหารความเสี่ยงจะรักษาไว้ซึ่งประสิทธิภาพตลอดเวลา

การตรวจติดตามความเสี่ยงอย่างต่อเนื่องถูกสร้างขึ้นในกิจกรรมการปฏิบัติที่เกิดขึ้นใหม่ขององค์กร การตรวจติดตามความเสี่ยงอย่างต่อเนื่องแสดงออกมาตามเวลาจริง โต้ตอบอย่างเป็นพลวัตรกับเงื่อนไขที่เปลี่ยนแปลงและฝังติดอยู่กับองค์กร ผลก็คือการตรวจติดตามความเสี่ยงอย่างต่อเนื่องจึงมีประสิทธิภาพมากกว่าการประเมินผลแยกต่างหาก

เนื่องจากการประเมินผลแยกต่างหากเกิดขึ้นหลังจากข้อเท็จจริง ปัญหามักจะถูกแยกแยะได้เร็วกว่าจากการตรวจติดตามอย่างต่อเนื่องประจำวัน

หลายองค์กรที่มีกิจกรรมการตรวจติดตามอย่างต่อเนื่องถึงกระนั้นก็ยังทำการประเมินผลแยกต่างหากในการบริหารความเสี่ยง องค์กรซึ่งรับรู้ความจำเป็นในการประเมินผลแยกต่างหากควรมุ่งเน้นเรื่องการเพิ่มการตรวจติดตามอย่างต่อเนื่องโดยการ “สร้าง” และ “เพิ่ม” กิจกรรมที่เหมาะสมกับการตรวจสอบและการรายงานผล

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 14, 2009

วันนี้ผมจะมาเล่าต่อให้จบในเรื่องของข้อมูลและการสื่อสาร เพื่อที่ครั้งหน้าจะได้เริ่มกันในกระบวนการบริหารความเสี่ยง Enterprise Risk Management (COSO – ERM) กระบวนการขั้นที่ 8 นั่นก็คือ การติดตามผลและการตรวจสอบ ซึ่งเป็นกระบวนการขั้นสุดท้ายของกระบวนการบริหารความเสี่ยง ทั้ง 8 ประการกันครับ

การติดต่อสื่อสารภายนอกและการนำไปประยุกต์ใช้ขององค์กรทั่วไป ด้วยการเปิดช่องทางการสื่อสารภายนอก ลูกค้าและ Supplier สามารถส่งข้อมูลสำคัญโดยการออกแบบหรือคุณภาพสินค้าหรือการบริการ เพื่อให้บริษัทหาความต้องการหรือความชอบของลูกค้า การเปิดเผยข้อมูลเรื่องความเสี่ยงที่ยอมรับได้และระดับความเสี่ยงที่ยอมรับได้ขององค์กรเป็นสิ่งสำคัญ เฉพาะเจาะจงสำหรับองค์กรซึ่งเชื่อมโยงกับส่วนอื่น ๆ ใน ส่วน Supply Chain หรือ การค้า การบริการ ทาง e-Business ดังเช่นตัวอย่าง ผู้บริหารพิจารณาว่าความเสี่ยงที่ยอมรับได้ และระดับความเสี่ยงที่ยอมรับได้เข้ากันได้กับคู่ค้าอย่างไร มั่นใจได้ว่าจะไม่ให้ความเสี่ยงที่มากเกินไปกับคู่ค้าทั้งหลาย

การติดต่อสื่อสารจากภายนอก มักจะให้ข้อมูลโดยการทำงานของการบริหารความเสี่ยง ความเข้าใจของผู้ตรวจสอบภายนอกในเรื่องกลยุทธ์องค์กร การปฏิบัติการ และประเด็นทางธุรกิจที่เกี่ยวข้องและระบบควบคุมที่จัดให้ผู้บริหาร และความเสี่ยงที่สำคัญของกรรมการและการควบคุมข้อมูล

การติดติดต่อสื่อสารกับผู้มีผลประโยชน์ ผู้สร้างกฎระเบียบ นักวิเคราะห์ทางการเงินและฝ่ายต่าง ๆ ที่อยู่ภายนอก ทำให้ได้ข้อมูลเกี่ยวกับความต้องการของพวกเขา เพื่อให้เกิดความเข้าใจเหตุการณ์และความเสี่ยง การติดต่อสื่อสารความมีความหมาย ตรงกับปัญหา และตรงเวลา และปฏิบัติตามกฎหมายและกฎระเบียบ
หน้าที่ของผู้บริหารในการติดต่อสื่อสารกับภายนอก คือเปิดเผยและเตรียมพร้อม และจริงจังในการติดตามผล

วิธีการในการติดต่อสื่อสาร
การติดต่อสื่อสาร อาจทำในรูปแบบของคู่มือนโยบาย บันทึก e-mail บอร์ดประกาศข่าว และข้อความจากวีดีโอเทป หากเป็นข้อความที่ส่งทางวาจา สำหรับกลุ่มใหญ่ การประชุมเล็ก ระดับของเสียงและภาษากายจะช่วยเน้นในสิ่งที่พูด

ข้อมูลที่นำเสนอหรือกำหนด สามารถส่งผลต่อการตีความของข้อมูลได้อย่างไร และความเสี่ยงและโอกาสถูกมองได้อย่างไร

แนวโน้มของมนุษย์เกี่ยวกับการตัดสินใจได้แสดงออกมาระหว่างหน่วยธุรกิจ การปฏิบัติหน้าที่และกิจกรรม เช่น บุคลากรบางคนมีความเคยชินที่จะรับเงื่อนไขความเสี่ยงกว่าในเรื่องผลกำไร ในขณะที่คนอื่น ๆ อาจตามหาความสูญเสียต่ำสุด จากการรับรู้เกี่ยวกับแนวโน้มของมนุษย์เหล่านี้ ผู้บริหารของ องค์กร สามารถที่จะกำหนดข้อมูล เพื่อช่วยเสริมความเสี่ยงที่ยอมรับได้และพฤติกรรมตลอดทั่วทั้งองค์กร

เครื่องมือที่มีพลังในการสื่อสารอีกอย่างนั้น พบได้จากการที่ผู้บริหารติดต่อกับลูกน้อง ผู้จัดการควรจำไว้ว่าการกระทำเสียงดังกว่าคำพูด ในทางกลับกันการกระทำการปฏิบัติที่ได้รับอิทธิพลจากประวัติศาสตร์และวัฒนธรรมขององค์กร จากการสังเกตการณ์ว่าหัวหน้างานได้จัดการกับสถานการณ์เช่นนี้ได้อย่างไร
องค์กรที่มีประวัติของการปฏิบัติการแบบบูรณาการ และมีวัฒนธรรมที่คนทั้งองค์กรเข้าใจ จะพบความยากในการติดต่อสื่อสารข้อความ องค์กรที่ปราศจากธรรมเนียมปฏิบัติเช่นนี้จำเป็นต้องเพิ่มความพยายามในการหนทางติดต่อสื่อสาร

จากนี้ไปดูภาพขององค์ประกอบที่สำคัญของข้อมูลและการสื่อสารกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 7, 2009

ในส่วนของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ผมจะมาเล่าสู่กันฟังในเรื่องของกระบวนการบริหารความเสี่ยง (COSO – ERM) ทั้ง 8 ประการ ซึ่งจะต่อกันด้วยระบบสารสนเทศและการติดต่อสื่อสาร (Information and Communication) ที่ได้กล่าวไปในครั้งที่แล้วเกี่ยวกับเรื่องของข้อมูล หรือสารสนเทศ สำหรับวันนี้จะกล่าวถึงการติดต่อสื่อสาร ไปติดตามต่อกันเลยนะครับ

การติดต่อสื่อสาร
การติดต่อสื่อสารเป็นธรรมชาติในระบบข้อมูล ดังที่เคยอธิบายแล้ว ระบบข้อมูลจะให้ข้อมูลกับคนที่เหมาะสม เพื่อให้ปฏิบัติงาน รายงานทางการเงินและความรับผิดชอบเชิงความร่วมมือ
แต่การติดต่อสื่อสารมักเกิดขึ้นในความหมายที่กว้าง การจัดการกับความคาดหวัง ความรับผิดชอบของแต่ละคน และกลุ่ม และเรื่องสำคัญอื่น ๆ

การติดต่อสื่อสารภายใน
ผู้บริหารติดต่อสื่อสารโดยตรง และเฉพาะเจาะจง ในเรื่องความคาดหวังเชิงพฤติกรรม และความรับผิดชอบของบุคคล

การสื่อสาร รวมถึงการให้ความกระจ่างในเรื่องปรัชญาการบริหารความเสี่ยงขององค์กร และวิธีการการแบ่งอำนาจหน้าที่ให้กระจ่าง การสื่อสารในเรื่องกระบวนการ และขั้นตอนการปฏิบัติควรเป็นไปในแนวทางเดียวกับวัฒนธรรมในเรื่องความเสี่ยง

การติดต่อสื่อสารควรมีประสิทธิภาพ
– มั่นใจว่ามีความรู้ในเรื่องความสำคัญ และความสัมพันธ์ของการบริหารความเสี่ยงที่มีประสิทธิภาพ
– ติดต่อสื่อสารเรื่องความเสี่ยงที่ยอมรับได้ และระดับความเสี่ยงที่ยอมรับได้
– ดำเนินการและสนับสนุนภาษาเกี่ยวกับความเสี่ยงโดยทั่วไป
– แนะนำบุคคลในเรื่องบทบาท และหน้าที่รับผิดชอบ เพื่อช่วยในการสนับสนุนในส่วนประกอบของการบริหารความเสี่ยง

บุคลากรทั้งหมดโดยเฉพาะผู้ที่มีความรับผิดชอบในการบริหารการเงิน และบริหารการจัดการ จำเป็นต้องได้รับข้อมูลจากผู้บริหารระดับสูง ซึ่งมีการจัดการด้านความเสี่ยงอย่างจริงจัง ความกระจ่างของข้อมูล และความมีประสิทธิภาพของการติดต่อสื่อสารมีความสำคัญ

บุคลากรควรรู้ว่าเมื่อไรสิ่งที่ไม่คาดหวังจะเกิดขึ้น ความตั้งใจต้องมอบให้ไม่เฉพาะต่อเหตุการณ์แต่ต้องใส่ใจสาเหตุด้วย ในกรณีนี้ระบบที่อ่อนแอถูกแยกแยะ และมีการกระทำเพื่อป้องกันไม่ให้เกิดซ้ำ เช่น การพบสินค้าคงคลังที่ไม่สามารถขายได้นั้น ไม่เพียงแต่ตัดบัญชีในรายงานการเงิน แต่เป็นการระบุว่าเหตุใดสินค้าคงคลังจึงไม่สามารถขายได้เป็นอันดับหนึ่ง

บุคลากรจำเป็นต้องรู้ว่ากิจกรรมต่าง ๆ เกี่ยวข้องกับงานของส่วนอื่น ๆ อย่างไร ความรู้เหล่านี้ช่วยให้เข้าใจปัญหา หรือระบุสาเหตุ และวิธีการแก้ไข และจำเป็นต้องรู้ว่าพฤติกรรมอะไรยอมรับได้ และยอมรับไม่ได้ มีการนำการเผยแพร่รายงานการฉ้อโกงในกรณีผู้จัดการอยู่ภายใต้ความกดดันในการบรรลุงบประมาณ หลอกลวงผลการปฏิบัติงาน

ตัวอย่างทั้งหลายนี้ ไม่มีใครบอกได้ว่าแต่ละคน ซึ่งรายงานผิดพลาดนั้น ทำผิดกฎหมายหรือไม่ถูกต้อง ซึ่งเน้นลักษณะสำคัญของการติดต่อสื่อสารข้อความภายในองค์กร ผู้จัดการที่แนะนำลูกน้องว่า “ทำให้ได้ตามงบประมาณ ผมไม่สนใจว่าจะใช้วิธีใด” สามารถส่งโดยไม่เป็นลายลักษณ์อักษรด้วยข้อความที่ผิด

พนักงานส่วนหน้าซึ่งติดต่อกับเรื่องการปฏิบัติการที่สำคัญทุก ๆ วัน จะอยู่ในตำแหน่งที่ดีที่สุดในการตระหนักถึงปัญหาที่พวกเขาพบเจอ เช่น พนักงานขายหรือผู้จัดการบัญชีอาจเรียนรู้ความจำเป็นของการออกแบบผลิตภัณฑ์เพื่อลูกค้าคนสำคัญ บุคลากรฝ่ายผลิตตระหนักถึงความสูญเสีย ในเรื่องความบกพร่องของกระบวนการ และบุคลากรด้านจัดซื้ออาจเผชิญกับสินน้ำใจที่ไม่เหมาะสมจาก Supplier

ข้อมูลจะถูกนำเสนอไปสู่ส่วนบน ดังนั้น จะต้องมีการเปิดช่องทางของการติดต่อสื่อสาร และทำให้เกิดความเต็มใจที่จะรับฟัง บุคลากรต้องมีความเชื่อว่า หัวหน้างานต้องการรู้เกี่ยวกับปัญหาและจะจัดการปัญหาอย่างมีประสิทธิภาพ ผู้จัดการเกือบทุกคนตระหนักว่าพวกเขาควรหลีกเลี่ยง “การทำลายผู้ส่งข้อความ”

แต่เมื่อเกิดความกดดันขึ้นทุกวัน พวกเขาไม่นำความคิดไปสู่คนที่นำพวกเขาไปสู่ปัญหา บุคลากรมีความไวต่อการรับรู้ในสัญลักษณ์ที่พูดออกมา และไม่ได้พูดออกมา ซึ่งหัวหน้าไม่มีเวลา หรือไม่สนใจที่จะจัดการกับปัญหา การรวมของปัญหาผู้จัดการที่ไม่รับความคิดเป็นคนสุดท้ายที่จะรู้ว่า ช่องทางการติดต่อสื่อสารถูกปิดลงอย่างมีประสิทธิภาพ

ช่องทางการติดต่อสื่อสาร ควรทำให้มั่นใจว่าบุคลากรสามารถสื่อสารบนพื้นฐานของความเสี่ยงข้ามหน่วยธุรกิจ กระบวนการ เช่น การเพิ่มขึ้นของคำติดชมของลูกค้าเกี่ยวกับการดูแลสินค้าโดยกลุ่มผู้บริการลูกค้า อาจจำเป็นต้องทำให้มีการพัฒนาการออกแบบผลิตภัณฑ์

ความล้มเหลวในการติดต่อสื่อสารเกิดขึ้นได้ เมื่อบุคคลหรือหน่วยต่าง ๆ ไม่เห็นด้วยหรือไม่มีเครื่องมือในการช่วยให้ข้อมูลสำคัญกับคนอื่น ๆ บุคคลากรอาจต้องระวังเรื่องความเสี่ยงที่สำคัญแต่ไม่สามารถรายงานผลได้

ส่วนมากสายการรายงานโดยปกติในองค์กรเป็นช่องทางที่เหมาะสมของการติดต่อสื่อสาร อย่างไรก็ตามในบางโอกาสสายที่แยกออกมาของการติดต่อสื่อสารก็จำเป็น ในกรณีเป็นเครื่องมือช่วยป้องกันการผิดพลาดในกรณีที่ช่องทางปกติไม่สามารถทำงานได้

บางองค์กรจัดช่องทางโดยตรงสำหรับผู้บริหารอาวุโส หัวหน้าผู้ตรวจสอบภายในหรือ ที่ปรึกษาทางกฎหมาย หากปราศจากช่องทางการสื่อสารที่เปิดเผย และความเต็มใจที่จะรับฟังแล้ว การไหลของข้อมูลจากล่างสู่บนอาจถูกปิดกั้น

ในทุกกรณีสิ่งสำคัญคือ การที่บุคลากรเข้าใจว่าจะไม่มีการโต้ตอบด้วยกำลังสำหรับการรายงานข่าวสารที่เกี่ยวข้องกัน ข้อความที่กระจ่างถูกส่งโดยกลไก ซึ่งสนับสนุนให้ลูกจ้างรายงานสิ่งผิดปกติของการปฏิบัติงาน และการดูแลของบุคลากรผู้รายงาน

ช่องทางการติดต่อสื่อสารที่สำคัญที่สุดอยู่ระหว่างผู้บริหารระดับสูง และกรรมการผู้บริหาร ผู้บริหารต้องรายงานความคืบหน้าในเรื่องต่าง ๆ ให้กรรมการได้รู้ เช่น ผลการปฏิบัติงาน การพัฒนา ความเสี่ยง และการทำงานของการบริหารความเสี่ยงขององค์กร รวมทั้งเรื่องต่าง ๆ ที่เกี่ยวข้อง

ยิ่งการติดต่อสื่อสารดีขึ้นมากเท่าใด ผู้บริหารที่มีประสิทธิภาพยิ่งต้องจัดการกับความรับผิดชอบที่ผิดพลาดยิ่งขึ้น ในฐานะเป็นผู้ประกาศเกี่ยวกับเรื่องสำคัญ และให้คำแนะนำคำปรึกษาและทิศทางการทำงาน ในกรณีนี้กรรมการควรสื่อสารกับผู้บริหารว่าต้องการข้อมูลอะไร และส่งข้อมูลย้อนกลับและแนวทางปฏิบัติไปให้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พฤศจิกายน 21, 2009

วันนี้ผมยังคงพูดคุยกับท่านอยู่ในเรื่องของกระบวนการบริหารความเสี่ยง ทางด้านระบบสารสนเทศและการติดต่อสื่อสาร (Information and Communication) ซึ่งในครั้งนี้จะพูดถึงข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล

ข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล
แหล่งข้อมูลด้านโครงสร้างพื้นฐาน และการดับจับข้อมูลในกรอบเวลา และความคงที่ในเชิงลึกกับความจำเป็นขององค์กรในการแยกแยะ ประเมินและตอบสนองความเสี่ยง และยังคงอยู่ภายในระดับความเสี่ยงที่ยอมรับได้ ความถูกเวลาในการไหลของข้อมูลต้องการความคงที่กับอัตราการเปลี่ยนแปลงภายในทั้งในองค์กรและสิ่งแวดล้อมภายในและภายนอก

ข้อมูลด้านโครงสร้างพื้นฐานแปลงข้อมูลดิบให้เป็นข้อมูลที่เกี่ยวข้องซึ่งจะช่วยในการบริหารความเสี่ยงขององค์กร และความรับผิดชอบอื่น ๆ ข้อมูลถูกเตรียมอย่างเป็นรูปแบบและมีกรอบเวลา ซึ่งสามารถนำไปปฏิบัติได้ง่ายต่อการใช้งานอย่างมีเหตุมีผลและเชื่อมไปสู่การตรวจสอบได้

ความก้าวหน้าในการเก็บข้อมูล การประมวลผลข้อมูลและการเก็บรักษาข้อมูล แสดงผลลัพธ์ด้วยการเติบโตของปริมาณข้อมูล การมีข้อมูลที่มากเพียงพอ มีคนในองค์กรจำนวนมาก ความท้าทายคือการหลีกเลี่ยง “การมีข้อมูลมากเกินไป” โดยการมั่นใจว่าการไหลของข้อมูลที่ถูกต้องในรูปแบบที่ถูกต้อง ในระดับของรายละเอียดที่ถูกต้อง ไปสู่บุคคลที่ถูกต้องในเวลาที่ถูกต้อง ในการพัฒนาโครงสร้างพื้นฐานข้อมูล ควรพิจารณาความต้องการข้อมูลของผู้ใช้และสรุปข้อมูลที่ผู้บริหารแต่ละระดับต้องการใช้

มาดูกันในเรื่องของคุณภาพของข้อมูลกันบ้างครับ
การเพิ่มขึ้นของการพึ่งพาระบบข้อมูลและระบบการใช้ข้อมูลช่วยในการตัดสินใจ และกระบวนการความเชื่อถือได้ของข้อมูลเป็นสิ่งสำคัญ ข้อมูลที่ไม่ถูกต้องจะส่งผลในแง่ของความเสี่ยงที่แยกแยะไม่ได้ หรือการประเมินค่าและการตัดสินใจทางด้านการบริหารที่ไม่ดีนัก

คุณภาพของข้อมูล ควรพิจารณาในเรื่องดังต่อไปนี้
– เนื้อหามีความเหมาะสม – รายละเอียดอยู่ในระดับที่ถูกต้องหรือไม่
– ข้อมูลได้มาถูกเวลา – ข้อมูลมีเมื่อต้องการหรือไม่
– ข้อมูลเป็นปัจจุบัน – ข้อมูลที่ได้มาล่าสุดเมื่อใด
– ข้อมูลถูกต้อง – ข้อมูลนี้ถูกต้องหรือไม่
– ข้อมูลใช้ในการประเมินได้ – ข้อมูลง่ายต่อการใช้งานของผู้ที่ต้องการหรือไม่

IT Governance and Information

เพื่อให้มั่นใจว่าข้อมูลมีคุณภาพ องค์กรได้สร้างโปรแกรมการจัดการข้อมูล การรวบรวมความต้องการ การบำรุงรักษา และการกระจายข้อมูลและการบริหารข้อมูล หากไม่มีโปรแกรมเหล่านี้ ระบบข้อมูลอาจไม่ได้ช่วยในการบริหารข้อมูลและความต้องการส่วนบุคคลอื่น ๆ

ความท้าทายประกอบด้วย ความขัดแย้งเรื่องความต้องการเชิงหน้าที่ การบังคับเชิงระบบ และกระบวนการที่ไม่มีการบูรณาการ สามารถรับช่วงข้อมูลที่หามาได้และการใช้ที่มีประสิทธิภาพเพื่อให้บรรลุความท้าทาย ผู้บริหารสร้างแผนกลยุทธ์ด้วยการสามารถตรวจสอบได้และด้วยความรับผิดชอบเพื่อความสมบูรณ์ของข้อมูลและสร้างการประเมินคุณภาพของข้อมูล

โดยทั่วไป กลยุทธ์การบริหารข้อมูลมักขยายสู่องค์กร การขยายตัวของระบบ e-Business การไหลของข้อมูลในเรื่องผลงานขององค์กรจะรวมถึง Supply Chain คู่ค้าทางธุรกิจ ลูกค้า และอื่น ๆ ส่วนมากข้อมูลด้านการปฏิบัติการ การเงิน การแบ่งปันเชิงความร่วมมือของข้อมูลและมองเห็นได้ชัดด้วยคู่ค้าเชิงกลยุทธ์ที่สำคัญ ข้อมูลจำเป็นสำหรับการบริหารความเสี่ยงอาจปรับขนาดองค์กรทั้งภายในและภายนอก

การมีข้อมูลที่ถูกต้อง ตรงเวลาและถูกสถานที่ มีความสำคัญในการบริหารความเสี่ยงและการควบคุม นั่นเป็นเหตุผลที่ทำให้ระบบข้อมูลจะต้องถูกควบคุมในแง่ที่เป็นส่วนประกอบของการบริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พฤศจิกายน 4, 2009

ช่วงเดือน พ.ย. 2552 นี้ ก็เข้าปลายปีแล้ว อากาศก็เริ่มเปลี่ยน แต่ก็ไม่ถึงกับหนาวครับ แค่มีลมหนาวเย็น ๆ พอให้รู้ว่าเข้าหน้าหนาว ซึ่งปัจจุบันเมืองไทยของเราไม่ค่อยจะมีอากาศหนาวซักเท่าไหร่แล้ว หน้าหนาวก็จะสั้น ไม่หนาวนาน อย่างไรก็ดูแลรักษาสุขภาพกันนะครับ

วันนี้เรามาต่อในเรื่องที่ยังค้างกันไว้ดีกว่า จากครั้งที่แล้วผมได้เล่าถึง การบริหารความเสี่ยงของระบบสารสนเทศและการสื่อสาร (Information and Communication) ในส่วนของข้อมูลที่เกี่ยวข้อง (Pertinent Information) จากแหล่งภายในและภายนอก ระบบข้อมูลที่มีการออกแบบและถูกใช้เพื่อสนับสนุนกลยุทธ์ทางธุรกิจ รวมถึงความสำคัญของช่องทางการสื่อสารข้อมูลที่เหมาะสมบนพื้นฐานของความเสี่ยง

สำหรับการบริหารความเสี่ยงทางด้านสารสนเทศและการสื่อสารนั้น ข้อมูลข่าวสารจำเป็นกับทุกระดับขององค์กรในการแยกแยะ ประเมินค่า และตอบสนองต่อความเสี่ยง และการบรรลุวัตถุประสงค์ รวมทั้งการดำเนินการขององค์กร การจัดเรียงข้อมูลถูกนำมาใช้สัมพันธ์กับประเภทของวัตถุประสงค์ 1 ประเภท หรือมากกว่า

ข้อมูลด้านการเงินไม่ได้ใช้เฉพาะการพัฒนาเอกสารทางการเงินสำหรับการเผยแพร่สู่ภายนอก แต่ใช้เพื่อการตัดสินใจ เช่น การตรวจสอบการปฏิบัติงานและการจัดสรรทรัพยากร ข้อมูลทางการเงินที่เชื่อถือได้เป็นพื้นฐานของการวางแผน การทำงบประมาณ การตั้งราคา การประเมินผลงานของผู้ขาย การประเมินค่าของคู่ค้าร่วม และพันธมิตร และกิจกรรมทางการบริหารระดับอื่น ๆ

เช่นเดียวกัน ข้อมูลด้านการปฏิบัติงานจำเป็นต่อการพัฒนารายงานทางการเงิน ซึ่งประกอบด้วยการเดินบัญชีประจำวันด้านการซื้อขายและอื่น ๆ เช่นเดียวกับข้อมูลข่าวสารของการเปิดตัวสินค้าของคู่แข่ง หรือสภาพทางเศรษฐกิจ ซึ่งมีผลต่อสินค้าคงคลังและมูลค่าที่รับได้ ข้อมูลการปฏิบัติงานจากแหล่งภายในและภายนอก ทั้งข้อมูลด้านการเงินและไม่ใช่การเงินเกี่ยวข้องกับวัตถุประสงค์ทั้งหมดของธุรกิจ ตัวอย่างเช่น ข้อมูลการขนส่งทางอากาศหรือข้อมูลส่วนบุคคลจะต้องบรรลุผลทั้งด้านวัตถุประสงค์เชิงความร่วมมือและวัตถุประสงค์การรายงานสู่ภายนอก

ข้อมูลข่าวสารมีที่มาจากหลายแหล่ง จากภายใน ภายนอก ทั้งในเชิงปริมาณและเชิงคุณภาพ และช่วยในการตอบสนองต่อการเปลี่ยนแปลงเงื่อนไข ความท้าทายสำหรับผู้บริหารคือทำให้ข้อมูลจำนวนมากกลายเป็นข้อมูลที่นำมาปฏิบัติได้ ความท้าทายนี้จะทำได้โดยการสร้างโครงสร้างพื้นฐานของระบบข่าวสารข้อมูล ดักจับ ประมวลผล วิเคราะห์และรายงานผลข้อมูลข่าวสารที่เกี่ยวข้อง ระบบข้อมูลข่าวสารเหล่านี้มักเป็นระบบคอมพิวเตอร์ แต่รวมถึงการนำเข้าข้อมูลด้วยมือหรือ Interface บ่อยครั้งที่ถูกมองในบริบทของการประมวลผลการข้อมูลภายใน แต่ระบบข่าวสารข้อมูลมีการใช้งานที่กว้างกว่า

การใช้งานเกี่ยวข้องกับข่าวสารข้อมูลในเรื่องเหตุการณ์ภายนอก กิจกรรม และเงื่อนไข ตัวอย่างเช่น ข้อมูลด้านอุตสาหกรรมและการตลาดที่ส่งสัญญาณการเปลี่ยนแปลงความต้องการของสินค้าและบริการของบริษัท ข้อมูลของสินค้าและบริการสำหรับกระบวนการผลิต ความฉลาดทางการตลาดเรื่องความชอบหรือความต้องการของลูกค้า ข้อมูลของกิจกรรมด้านพัฒนาผลิตภัณฑ์ของคู่แข่ง และความคิดริเริ่มเกี่ยวกับกฎระเบียบหรือกฎหมาย

ระบบข่าวสารข้อมูลมีทั้งแบบเป็นทางการและไม่เป็นทางการ การสนทนากับลูกค้า Supplier ผู้ดูแลกฎระเบียบและบุคลากร ทำให้ได้ข้อมูลข่าวสารที่สำคัญที่ต้องนำมาแยกแยะความเสี่ยงและโอกาส เช่นเดียวกับการเข้าร่วมการสัมมนาอุตสาหกรรมและการเป็นสมาชิกในสมาคมการค้าจะนำมาซึ่งข้อมูลที่มีคุณค่า

การเก็บข้อมูลให้ตรงกับความต้องการมีความสำคัญ เมื่อองค์กรเผชิญกับการเปลี่ยนแปลงด้านอุตสาหกรรม เผชิญกับนวัตกรรมระดับสูงและคู่แข่งที่เคลื่อนตัวอย่างรวดเร็ว หรือการเปลี่ยนแปลงของความต้องการลูกค้า ระบบข้อมูลข่าวสารต้องเปลี่ยนแปลงให้ตรงกับความต้องการเพื่อสนับสนุนวัตถุประสงค์ใหม่ ระบบข้อมูลข่าวสารไม่ได้เพียงแยกแยะและดักจับข้อมูลทางการเงินและไม่ใช้การเงินที่จำเป็น แต่ต้องสามารถประมวลผลและรายงานข้อมูลในกรอบเวลาและหาทางที่เป็นประโยชน์ในการควบคุมกิจกรรมต่าง ๆ ขององค์กร

กลยุทธ์และการบูรณาการระบบ
เนื่องจากองค์กรมีความร่วมมือและร่วมกับลูกค้า คู่ค้าทางธุรกิจและกฎระเบียบมากขึ้น หน่วยงานที่อยู่ระหว่างผู้ออกแบบระบบและหน่วยงานภายนอกจะเกิดความสับสนเพิ่มขึ้น ด้วยเหตุนี้ข้อมูลและการประมวลผลข้อมูลและการบริหารข้อมูลกลายเป็นความรับผิดชอบร่วมกันขององค์กร ในกรณีเช่นนี้ ผู้ออกแบบระบบข้อมูลขององค์กรจะต้องมีความยืดหยุ่นเพียงพอ และว่องไวที่จะบูรณาการอย่างมีประสิทธิภาพกับลูกค้าใหม่และคู่ค้าทางธุรกิจ

การออกแบบระบบข้อมูลและการหามาได้ซึ่งเทคโนโลยีเป็นสิ่งสำคัญในเรื่องกลยุทธ์องค์กร และทางเลือกเกี่ยวกับเทคโนโลยีก็มีความสำคัญต่อการบรรลุผลสำเร็จขององค์กร การตัดสินใจเลือกเทคโนโลยีและการนำไปปฏิบัติขึ้นอยู่กับปัจจัยหลายอย่าง รวมถึงเป้าหมายขององค์กร ความต้องการ สถานที่วางตลาด และความต้องการทางการแข่งขัน ในขณะที่ระบบข้อมูลเป็นรากฐานของการบริหารความเสี่ยงขององค์กร เทคนิคการบริหารความเสี่ยงสามารถช่วยในการตัดสินใจในเรื่องเทคโนโลยี

ในครั้งหน้าเราจะไปพูดกันถึงข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล รวมทั้งคุณภาพของข้อมูลที่มีผลต่อการตัดสินใจในด้านการบริหารกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ตุลาคม 28, 2009

หวังว่าคงจะพอจำกันได้นะครับ กับกระบวนการบริหารความเสี่ยง ตามหลัก COSO – Enterprise Risk Management (ERM) ทั้ง 8 ประการที่ผมเคยพูดถึง หากจำไม่ได้หรือต้องการทบทวนก็สามารถไปดูได้ที่ COSO-ERM มาถึงตอนนี้ก็เข้าสู่องค์ประกอบการบริหารความเสี่ยงหรือกระบวนการบริหารความเสี่ยง ขั้นที่ 7 ซึ่งจะเป็นการบริหารความเสี่ยงที่เกี่ยวกับระบบสารสนเทศและการสื่อสาร (Information and Communication) ที่ผมจะพูดคุยกันในวันนี้

ข้อมูลที่เกี่ยวข้อง (Pertinent Information) จากแหล่งภายในและภายนอก จะต้องมีการระบุและมีการสื่อสารในรูปแบบที่เป็นทางการ มีการระบุตารางเวลาทำให้แต่ละบุคคลสามารถดำเนินการตามความรับผิดชอบของตน

การสื่อสารที่มีประสิทธิภาพนั้นเป็นได้ทั้งในเชิงกว้าง ทั้งจากระดับล่างและระดับบนภายในองค์กร รวมถึงมีการสื่อสารแลกเปลี่ยนข่าวสารต่อภายนอกองค์กรที่มีความเกี่ยวข้องกัน เช่น ลูกค้า ผู้จัดหาวัตถุดิบ ผู้รักษากฎระเบียบ หรือผู้มีผลประโยชน์ร่วม

ข้อมูลต่าง ๆ ทั้งหลาย ถูกต้องการในทุกระดับขององค์กร เพื่อที่จะระบุทรัพย์สินและการสนองตอบต่อความเสี่ยง และในอีกนัยหนึ่งคือ เพื่อที่จะดำเนินงานขององค์กรและประสบความสำเร็จในเป้าหมาย ข้อมูลที่ถูกใช้จะมีส่วนเกี่ยวข้องกับเป้าหมาย ข้อมูลที่มาจากหลายแหล่ง จากภายในและภายนอก ทั้งในรูปแบบของข้อมูลเชิงปริมาณและข้อมลเชิงคุณภาพ ซึ่ง ERM จะตอบสนองต่อสภาวการณ์ที่เปลี่ยนแปลงในเวลาปัจจุบัน ความท้าทายต่อการบริหารก็คือ กระบวนการในการจัดการข้อมูลจำนวนมหาศาล เพื่อให้ได้ข้อมูลที่สามารถใช้ได้จริง

ความท้าทายนี้จะสำเร็จได้โดยการจัดตั้งระบบโครงสร้างข้อมูลของแหล่งข้อมูล การจับ (Capture) กระบวนการ (Process) การวิเคราะห์ (Analyze) และการรายงาน (Reporting) ข้อมูลที่มีความเกี่ยวข้อง ระบบข้อมูลเหล่านี้ โดยปกติจะแล้วถูกคำนวณโดย computer แต่เกี่ยวข้องกับการป้อนข้อมูลหรือแลกเปลี่ยนของบุคคล บ่อยครั้งถูกมองในบริบทของกระบวนการจัดการข้อมูลภายในที่เกี่ยวข้องกับการแลกเปลี่ยนข้อมูล
ระบบข้อมูลมีการออกแบบที่ยาวนานและถูกใช้เพื่อสนับสนุนกลยุทธ์ทางธุรกิจ บทบาทนี้เป็นบทบาทที่สำคัญต่อความต้องการขององค์กรที่เปลี่ยนแปลงไปทางธุรกิจและเทคโนโลยีสร้างโอกาสใหม่ต่อความได้เปรียบทางกลยุทธ์ เพื่อที่จะสนับสนุน ERM อย่างมีประสิทธิภาพ

หน่วยงานที่ได้มาซึ่งข้อมูลจะใช้ทั้งข้อมูลในอดีตและปัจจุบัน ข้อมูลในอดีต (Historical Data) ใช้ผลประกอบการจริงเปรียบเทียบกับเป้าหมาย แผนหรือความคาดหวัง ซึ่งแสดงถึงผลประกอบการดำเนินงานของหน่วยงานภายใต้ สภาวการณ์ที่เปลี่ยนแปลงไป ฝ่ายจัดการจะกำหนดความสัมพันธ์และแนวโน้มเพื่อพยากรณ์การดำเนินงานในอนาคต ข้อมูลในอดีตสามารถนำมาเป็นเครื่องเตือนภัยล่วงหน้า (Early Warning) เหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นซึ่งฝ่ายจัดการควรให้ความสำคัญ

ข้อมูลในปัจจุบัน (Current Data) เป็นข้อมูลที่องค์กรสามารถใช้ประเมินความเสี่ยงที่เกิดขึ้นในองค์กร ทำให้สามารถปรับเปลี่ยนกิจกรรมซึ่งมีความจำเป็นในการปรับเปลี่ยนความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite)

ข้อมูลที่เป็นพื้นฐานสำหรับการสื่อสารจะต้องเข้าถึงความคาดหวังของกลุ่ม และปัจเจกบุคคลในช่องทางการสื่อสารที่สำคัญที่สุด ระหว่างผู้จัดการระดับสูงกับคณะกรรมการบริหาร (Board of Directors) การสื่อสารที่ดีทำให้คณะกรรมการบริหารมีประสิทธิภาพในการให้คำแนะนำปรึกษา หารือหรือสั่งการในทิศทางเดียวกัน หรือสื่อสารถึงฝ่ายจัดการว่าต้องการข้อมูลอะไร ประเภทไหน การตอบสนอง (Feedback) และการสั่งการ

ฝ่ายบริหารจะสื่อสารถึงพฤติกรรมที่คาดหวังและความรับผิดชอบของแต่ละบุคคล ปรัชญาการบริหารความเสี่ยงที่มีความชัดเจน การมอบหมายอำนาจบังคับบัญชา และวัฒนธรรมความเสี่ยง (Risk Culture) การสื่อสารควรเพิ่มความตระหนักเกี่ยวกับความสำคัญและความเกี่ยวพันของ ERM ที่มีประสิทธิภาพของความเสี่ยงในรับที่องค์กรยอมรับได้ (Risk Appetite) และระดับความเสี่ยงที่องค์กรยอมรับได้ (Risk Tolerance)

ช่องทางการสื่อสารควรทำให้แน่ใจว่าแต่ละบุคคลสามารถสื่อสารข้อมูลบนพื้นฐานของความเสี่ยง ระหว่างหน่วยงานทางธุรกิจ กระบวนการหรือหน้าที่ของหน่วยงาน ในกรณีส่วนใหญ่ สายการรายงานทั่วไปในองค์กร (Normal Reporting Line) คือช่องทางที่เหมาะสมของการสื่อสาร อย่างไรก็ตามในบางโอกาสนั้น การแยกช่องทางการสื่อสาร (Separate Line) ก็สามารถใช้ได้แต่ต้องไม่เป็นการรายงานที่ไม่มีความน่าเชื่อถือของข้อมูล

ช่องทางการสื่อสารภายนอก เป็นที่มาของข้อมูลที่มีความสำคัญอย่างมากต่อการออกแบบคุณภาพของผลผลิตและบริการ ฝ่ายจัดการควรพิจารณาความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite) เป็นอย่างไรและระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) เป็นอย่างไร ต่อลูกค้า ผู้จัดหาวัตถุดิบ ผู้มีผลประโยชน์ร่วม ขององค์กรเพื่อทำให้แน่ใจว่ามันจะไม่มีความเสี่ยงที่มากจนเกินไป

ข้อมูลข่าวสารที่ตรงประเด็นถูกแยกแยะ ดักจับและสื่อสารในรูปแบบและกรอบเวลา ซึ่งทำให้คนปฏิบัติตามความรับผิดชอบ ระบบข้อมูลข่าวสารใช้ข้อมูลที่สร้างจากภายในและข้อมูลเกี่ยวกับเหตุการณ์ภายนอก กิจกรรมและเงื่อนไข ในการเตรียมข้อมูลให้กับการบริหารความเสี่ยงขององค์กร และการตัดสินใจที่สัมพันธ์กับวัตถุประสงค์การติดต่อสื่อสารที่มีประสิทธิภาพไหลไปสู่ด้านบน ด้านข้างและด้านบนขององค์กร

บุคลากรทั้งหมดได้รับข่าวสารที่ชัดเจนจากผู้บริหารระดับบนที่มีความรับผิดชอบในการบริหารความเสี่ยงอย่างจริงจัง ผู้บริหารเข้าใจบทบาทของตนเองในการบริหารความเสี่ยง เช่นเดียวกับเข้าใจว่ากิจกรรมแต่ละคนเกี่ยวข้องกับงานของคนอื่นอย่างไร ผู้บริหารต้องมีค่ากลางของการไหลของข้อมูลข่าวสารที่สำคัญซึ่งเป็นการติดต่อสื่อสารที่มีประสิทธิภาพกับภายนอก

ทุก ๆ องค์กรได้แยกแยะและดักจับข้อมูลข่าวสาร ข้อมูลทางการเงิน และไม่ใช่การเงินที่เกี่ยวข้องกับภายนอก เช่นเดียวกับเหตุการณ์ และกิจกรรมภายในสัมพันธ์กับการบริหารองค์กร ข้อมูลเหล่านี้ถูกส่งไปยังบุคคลในรูปแบบและกรอบเวลา ซึ่งทำให้พวกเขาสามารถจัดการกับการบริหารความเสี่ยงและความรับผิดชอบอื่น ๆ ได้

สำหรับวันนี้คงไว้เท่านี้ก่อน ในรายละเอียดต่าง ๆ ผมจะพูดถึงในครั้งต่อไป โปรดติดตามต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ตุลาคม 13, 2009

ในวันนี้ มาต่อกันด้วยเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน ด้วยความแพร่หลายของการพึ่งพาระบบข้อมูลสารสนเทศ และการแพร่กระจายของข้อมูลข่าวสาร การควบคุมกิจกรรมควบคุมจึงมีความสำคัญและจำเป็นอย่างยิ่ง เพื่อทำให้เกิดความมั่นใจในความสมบูรณ์ ความถูกต้องของข้อมูลข่าวสาร ซึ่งการควบคุมระบบข้อมูลข่าวสารดังกล่าวนี้แบ่งได้เป็น 2 กลุ่ม คือ

1. การควบคุมทั่วไป (General Control) เป็นการควบคุมทั่วไปเพื่อรับประกันความเชื่อมั่นว่ามีการปฏิบัติหรือกระบวนการที่เหมาะสมอย่างต่อเนื่อง การควบคุมทั่วไปนี้รวมถึงการจัดองค์กร การปฏิบัติ การควบคุมการบริหารข้อมูลสารสนเทศ โครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การซื้อซอฟต์แวร์ การพัฒนาและการดูแลรักษา การควบคุมนี้สามารถประยุกต์ใช้ได้กับทุกระบบ จากระบบปฏิบัติการหลัก (Mainframe) จนถึงลูกค้าหรือผู้ใช้บริการไปจนถึงสภาพแวดล้อม การควบคุมรวมถึงกระบวนการ (Process) การติดตามและการรายงานกิจกรรมเทคโนโลยีข้อมูลสารสนเทศ

2. การควบคุมการใช้งาน (Application Control) เป็นการควบคุมเพื่อทำให้แน่ใจว่าการบันทึกข้อมูล การประมวลผลและการรายงานมีความสมบูรณ์ ความถูกต้อง เชื่อถือได้ของข้อมูล

เนื่องจากแต่ละหน่วยงานตั้งเป้าหมายและกระบวนการของตนเอง ซึ่งย่อมแตกต่างกัน ดังนั้นเป้าหมาย โครงสร้างและกิจกรรมควบคุมของแต่ละองค์กรย่อมแตกต่างกัน แต่ละองค์กรจะถูกบริหารจัดการจากบุคลากร สภาพแวดล้อม ความซับซ้อนของโครงสร้างองค์กรและวัฒนธรรมองค์กรที่แตกต่างกัน ซึ่งมีผลต่อการควบคุมภายใน (Internal Control)

การควบคุมการใช้งานออกแบบมาเพื่อให้มั่นใจในความสมบูรณ์ ความถูกต้อง การมอบอำนาจและความมีเหตุมีผลของการดักจับข้อมูลและการประมวลผล การใช้งานแต่ละชนิดอาจพึ่งพาการปฏิบัติที่มีประสิทธิภาพในการควบคุมระบบข้อมูลข่าวสาร เพื่อให้มั่นใจว่าได้ดักจับข้อมูลหรือดำเนินการกับข้อมูลเมื่อจำเป็น การสนับสนุนการใช้งานสามารถหามาได้และตรวจสอบความผิดพลาดได้อย่างรวดเร็ว

สิ่งหนึ่งที่สำคัญที่สุดที่ได้จากคอมพิวเตอร์คือความสามารถในการป้องกันความผิดพลาดจากการเข้าไปในระบบ รวมทั้งการตรวจและแก้ไขในทันที ในการทำเช่นนี้การควบคุมการใช้งานขึ้นอยู่กับการตรวจสอบระบบคอมพิวเตอร์ ซึ่งประกอบด้วยรูปแบบ ความมีเหตุมีผล และการตรวจสอบอื่น ๆ จากข้อมูลซึ่งอยู่ภายในระบบการใช้งานระหว่างทำการพัฒนา เมื่อออกแบบได้อย่างถูกต้องก็สามารถควบคุมการนำเข้าข้อมูลได้

องค์กรกับการตอบสนองความเสี่ยงและการควบคุม
เนื่องจากแต่ละองค์กรมีวัตถุประสงค์และวิธีการนำไปปฏิบัติที่แตกต่างกันในการสนองตอบความเสี่ยงและกิจกรรมการควบคุมที่เกี่ยวข้อง หากแม้ว่า 2 องค์กรมีวัตถุประสงค์เหมือนกันและมีการตัดสินใจเหมือนกันในการที่จะทำอย่างไรให้บรรลุผลสำเร็จ แต่กิจกรรมการควบคุมอาจมีความแตกต่างกัน แต่ละองค์กรถูกบริหารโดยคนซึ่งใช้การตัดสินของแต่ละคนส่งผลต่อการควบคุมภายใน ยิ่งไปกว่านี้การควบคุมสะท้อนสภาพแวดล้อมและอุตสาหกรรมในแง่การปฏิบัติในองค์กร

สภาพแวดล้อมในแง่ขององค์กรจัดการกับผลสะท้อนของความเสี่ยงซึ่งถูกเปิดเผยและอาจนำเสนอรายงานเชิงวัตถุประสงค์ที่ไม่เหมือนใคร หรือกฎหมายพิเศษ หรือความต้องการของกฎระเบียบ เช่น โรงงานผลิตภัณฑ์เคมีอาจบริหารความเสี่ยงของสภาพแวดล้อมได้มากกว่าองค์กรที่ให้บริการ

ความซับซ้อนขององค์กรและธรรมชาติและกรอบของกิจกรรมส่งผลต่อกิจกรรมควบคุมขององค์กร องค์กรที่ซับซ้อนและมีกิจกรรมที่หลากหลายอาจเผชิญกับเรื่องของการควบคุมที่ยากกว่าองค์กรธรรมดาที่มีกิจกรรมที่หลากหลายน้อยกว่า องค์กรที่มีการปฏิบัติแบบกระจายอำนาจและมุ่งเน้นความเป็นเอกเทศและนวัตกรรม นำเสนอเหตุการณ์การควบคุมที่แตกต่างกว่าองค์กรที่มีการรวมศูนย์อย่างมาก ปัจจัยอื่น ๆ ซึ่งมีอิทธิพลต่อความซับซ้อนขององค์กรและธรรมชาติของการควบคุมรวมถึงสถานที่ตั้ง การกระจายทางประชากร การขยายตัวและปรับแต่งการปฏิบัติ และวิธีการประมวลผลข้อมูล

ปัจจัยต่าง ๆ ซึ่งส่งผลต่อกิจกรรมควบคุมขององค์กรทั่วไป จำเป็นต้องออกแบบเพื่อให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ขององค์กร

องค์ประกอบที่สำคัญของกิจกรรมการควบคุม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กันยายน 27, 2009

ครั้งที่แล้วผมได้เกริ่นถึงกิจกรรมควบคุมกันไปบ้างแล้วในบางส่วน คราวนี้เรามาต่อในเรื่องของประเภทของกิจกรรมควบคุมกัน

ประเภทของกิจกรรมควบคุม
คำอธิบายที่แตกต่างมากมายของประเภทกิจกรรมควบคุมถูกนำออกมาใช้รวมถึงการควบคุมเชิงป้องกัน การควบคุมเชิงสืบสวน คู่มือการควบคุม การควบคุมเชิงคอมพิวเตอร์ และการควบคุมเชิงบริหาร กิจกรรมควบคุมถูกแบ่งตามวัตถุประสงค์เฉพาะของการควบคุม เช่น ความมั่นใจในความสมบูรณ์และความถูกต้องของการประมวลผลข้อมูล

ประเภทของการควบคุม แบ่งเป็น 4 ประเภท ดังนี้
1. การควบคุมแบบป้องกัน (Preventive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก เช่นการอนุมัติ การจัดโครงสร้างองค์กร การแบ่งแยกหน้าที่ การใช้พนักงานที่มีความรู้และจริยธรรม

2. การควบคุมแบบค้นพบ (Detective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทาน การวิเคราะห์ การยืนยันยอด การตรวจนับและการรายงานข้อบกพร่อง การตรวจสอบ ฯลฯ

3. การควบคุมแบบแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้องหรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต

4. การควบคุมแบบส่งเสริม (Directive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อส่งเสริมหรือกระตุ้นให้เกิดผลสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ

กิจกรรมควบคุมจะเกิดขึ้นตลอดองค์กรในทุกระดับชั้นและในทุกหน้าที่ กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการซึ่งองค์กรต้องการจะประสบความสำเร็จในเป้าหมายทางธุรกิจ โดยทั่วไปแล้วเกี่ยวข้องกับองค์ประกอบสองอย่างคือ นโยบายที่จัดตั้งขึ้น คือสิ่งที่ควรจะทำและกระบวนการที่รองรับนโยบาย

นโยบายและขั้นตอนปฏิบัติเกี่ยวกับการควบคุม
กิจกรรมควบคุมมักรวมถึงส่วนประกอบ 2 ส่วน คือ นโยบายที่สร้างขึ้นว่าอะไรควรทำและขั้นตอนปฏิบัติให้บรรลุนโยบาย ตัวอย่างเช่น นโยบายจำเป็นต้องทบทวนกิจกรรมทางการค้าของลูกค้าโดยผู้จัดการสาขาตัวแทนจำหน่ายรายย่อย ขั้นตอนปฏิบัติเป็นการทบทวนตนเอง ปฏิบัติในเวลาที่สมควรและด้วยความเอาใจใส่ต่อปัจจัยที่ตั้งขึ้นเพื่อนโยบาย เช่น ภาวะและปริมาณของความปลอดภัยทางการค้าและความสัมพันธ์ต่อลูกค้า

ในหลาย ๆ ครั้งพบว่านโยบายมักสื่อสารกันโดยวาจา นโยบายที่ไม่เป็นลายลักษณ์อักษรสามารถบรรลุผลทางนโยบาย ยืนระยะได้นานและปฏิบัติด้วยความเข้าใจดี และในองค์กรขนาดเล็กซึ่งช่องทางการติดต่อสื่อสารเกี่ยวข้องเฉพาะขึ้นการบริหารที่จำกัด และมีความสัมพันธ์ใกล้ชิดกับการบริหารงานบุคคล แต่การไม่คำนึงถึงว่ามีนโยบายเป็นลายลักษณ์อักษรหรือไม่นั้น นโยบายถูกนำไปปฏิบัติโดยตลอดอย่างถูกต้องและยั่งยืน

ขั้นตอนการปฏิบัติจะไม่เกิดประโยชน์หากปฏิบัติเป็นเครื่องจักรและปราศจากความชัดเจน ความต่อเนื่องในการมุ่งเน้นไปยังเงื่อนไขที่มุ่งสู่นโยบาย ยิ่งกว่านั้นเป็นสิ่งจำเป็นที่เงื่อนไขที่เป็นผลลัพธ์ของขั้นตอนการปฏิบัติได้ถูกตรวจสอบและแก้ไขให้ถูกต้อง

การติดตามการปฏิบัติขึ้นอยู่กับขนาดโครงสร้างองค์กร ซึ่งอาจวัดได้จากกระบวนการการรายงานผลอย่างเป็นทางการ ในบริษัทขนาดใหญ่เจ้าของธุรกิจได้บอกว่าทำไมบริษัทจึงไม่บรรลุเป้าหมายและจะทำอย่างไรเพื่อไม่ให้เกิดเหตุการณ์เช่นนี้อีก ในบริษัทขนาดเล็กเจ้าของจะพูดกับผู้จัดการด้านการผลิตเกี่ยวกับสิ่งที่ทำผิดและจะต้องดำเนินการอย่างไร

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

ครั้งหน้าไปต่อกันในเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กันยายน 14, 2009

สวัสดีครับ ท่านผู้บริหารและผู้ติดตามเรื่องราวของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ COSO – ERM Framework อยู่ในขณะนี้ สำหรับเรื่องของกระบวนการบริหารความเสี่ยงเราก็ได้พูดคุยกันมาถึงกิจกรรมควบคุม (Control Activities) ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นตอนที่ 6 จากหลักการของ COSO – ERM ทั้ง 8 ประการ ที่ผมจะได้นำเสนอกับทุกท่านในวันนี้

หากจะกล่าวถึงกิจกรรมควบคุมในกระบวนการบริหารความเสี่ยง นั่นก็คือ นโยบายและกระบวนปฏิบัติที่จะช่วยให้แน่ใจได้ว่าการตอบสนองความเสี่ยงนั้นถูกจัดการอย่างเหมาะสม

นอกจากนี้กิจกรรมการควบคุมยังหมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นนโยบาย วิธีปฏิบัติและคำสั่งต่าง ๆ ที่ฝ่ายบริหารกำหนด เพื่อเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด

กิจกรรมการควบคุมยังรวมถึง กิจกรรมที่กำหนดขึ้นเพื่อป้องกัน ค้นพบ หรือลดความเสี่ยงที่จะเกิดขึ้นได้ตามผลการประเมินความเสี่ยงอย่างเหมาะสมและทันกาล

แม้ว่ากิจกรรมควบคุมบางอย่างเกี่ยวกับพื้นที่เดียวแต่ก็มีความซ้ำซ้อน กิจกรรมควบคุมเฉพาะเจาะจงสามารถช่วยให้พึงพอใจวัตถุประสงค์มากกว่า 1 ประเภทขององค์กรได้โดยขึ้นอยู่กับโอกาส การควบคุมการปฏิบัติการสามารถช่วยให้เกิดความมั่นใจในการรายงานผลที่เชื่อถือได้ การรายงานผลกิจกรรมควบคุมสามารถช่วยบรรเทาผลที่เกิดขึ้นได้

การบูรณาการด้วยการตอบสนองความเสี่ยง
การตอบสนองความเสี่ยงมุ่งเอาใจใส่ในกิจกรรมควบคุม ซึ่งจำเป็นในการช่วยสร้างความมั่นใจว่าได้ดำเนินการตอบสนองความเสี่ยงอย่างถูกต้องและถูกเวลา กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการที่องค์กรพยายามที่จะบรรลุวัตถุประสงค์ของธุรกิจตนเอง

ในการเลือกกิจกรรมควบคุม ผู้บริหารเป็นผู้พิจารณาว่ามีความสัมพันธ์กันอย่างไร อาจใช้กิจกรรมควบคุมเดียวเพื่อใช้ในการตอบสนองความเสี่ยงจำนวนมาก ตัวอย่างเช่น ตัวบ่งชี้ผลงานซึ่งวัดการเข้าออกงานของพนักงาน เป็นสิ่งแสดงถึงประสิทธิภาพการตอบสนองของผู้บริหารต่อคู่แข่งในการเลือกคนและการขาดประสิทธิภาพในค่าตอบแทนพนักงาน การฝึกอบรมรวมถึงโปรแกรมการพัฒนา

เมื่อสร้างการตอบสนองความเสี่ยงใหม่ขึ้นผู้บริหารพิจารณากิจกรรมควบคุมที่มีอยู่ ซึ่งอาจมีเพียงพอที่จะทำให้มั่นใจว่าการตอบสนองใหม่นี้จะดำเนินไปอย่างมีประสิทธิภาพ ในทางตรงข้ามอาจมีความจำเป็นที่จะต้องพิจารณากิจกรรมควบคุมหลาย ๆ อย่างที่สัมพันธ์กับการตอบสนองความเสี่ยง

กิจกรรมควบคุมเป็นส่วนสำคัญของกระบวนการ ซึ่งทำให้องค์กรได้บรรลุถึงวัตถุประสงค์ของธุรกิจ กิจกรรมควบคุมไม่ได้ทำให้ง่ายสำหรับผลประโยชน์ของตนเอง หรือเพราะว่าเป็นเหมือนการทำสิ่งที่ถูกต้องหรือเหมาะสม ผู้บริหารจำเป็นต้องทำเพื่อให้แน่ใจว่าได้บรรลุเป้าหมาย กิจกรรมควบคุมเป็นเหมือนกลไกสำหรับการบริหารความสำเร็จของวัตถุประสงค์และถูกสร้างในกระบวนการบริหารโดยตรง

ในเรื่องของกิจกรรมการควบคุมครั้งนี้ ผมขอเกริ่นไว้เพียงเท่านี้ก่อนครับ แล้วเราจะไปพูดคุยต่อถึงประเภทของกิจกรรมการควบคุมในครั้งหน้ากันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »