บทบาทของ GRC กับแนวความคิดและการปฏิบัติงานที่เน้นผลประโยชน์ของผู้มีผลประโยชน์ร่วม (Stakeholders)

กรกฎาคม 15, 2009

เนื่องจากหัวข้อหรือ Article นี้จะอยู่ในหมวดของ CG และ ITG สำหรับคำ “GRC” ย่อมาจาก Governance + Risk Management + Compliance ที่ท่านผู้อ่านก็คุ้นเคยกันมานาน โดยเฉพาะหลักการของ COSO – Enterprise Risk Management (ERM) ซึ่งเน้นความเป็นรูปธรรมในการขับเคลื่อนการบริหารการปฏิบัติงานในลักษณะที่สอดประสานและบูรณาการทั่วทั้งองค์กร ซึ่งอาจจะใช้คำที่เข้าใจง่าย ๆ ว่า Integrity – Driven Performance แต่ในทางปฏิบัติ องค์กรส่วนใหญ่ยังมีจุดอ่อนค่อนข้างมากในการขับเคลื่อนกระบวนการบริหารความเสี่ยงที่เกี่ยวข้องกับศักยภาพในการดำเนินงาน (Operational Risk)

วันนี้เราลองมาเล่าสู่กันฟังเรื่อง GRC ต่อจากเรื่อง Corporate Governance – CG และ IT Governance – ITG ที่ได้เล่าย่อ ๆ กันมาแล้วนะครับ

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

แนวความคิดใหม่ที่ขับเคลื่อนการบริหารแบบบูรณาการทั่วทั้งองค์กร เพื่อผลประโยชน์ของ Stakeholders

โดยหลักการของ Governance ในที่นี้ จะเน้นเรื่อง Ethics ที่เป็นรูปธรรมมากขึ้น มีค่านิยม และรูปแบบการจัดการที่ต้องการขับเคลื่อนองค์กรให้มีศักยภาพและมีความเป็นบูรณาการมากขึ้น เพื่อสร้างประสิทธิภาพ ประสิทธิผล และรูปธรรมในการเติบโตอย่างยั่งยืน ที่ต้องการมาตรฐาน การปฎิบัติตามกฎหมาย กฎเกณฑ์ รวมทั้งการรักษาชื่อเสียงที่เน้นไปทางการบริหาร Intangible Assets หรือสินทรัพย์ที่ไม่มีตัวตนที่เป็นรูปธรรมมากขึ้น โดยบริหารควบคู่กันไปกับการบริหารสินทรัพย์ที่มีตัวตน หรือ Tangible Assets ที่เข้าใจกันและเน้นการประเมินผล รวมทั้งการบริหารงานที่มากกว่า Intangible Assets กันเป็นส่วนใหญ่

การบริหารงานในองค์กรที่ใช้คอมพิวเตอร์ยุคใหม่ ข้อมูลและสารสนเทศ ความน่าเชื่อถือได้ ความไว้วางใจได้ การสร้างคุณค่าเพิ่มในรูปแบบต่าง ๆ ส่วนใหญ่จะมาจากการบริหาร Intangible Assets มากกว่า Tangible Assets มาก

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

บทบาทของการบริหารสินทรัพย์ที่ไม่มีตัวตนที่สร้างคุณค่าเพิ่มมากขึ้นกับบทบาทของผู้บริหารของทุกองค์กร

สำนักงาน Brooking Institute ของต่างประเทศ ซึ่งเป็นหน่วยงานค้นคว้าความรู้ทางวิชาการใหม่ ๆ ได้เคยสำรวจ เมื่อประมาณปี ค.ศ. 2000 ปรากฎว่า คุณค่าเพิ่มจากการบริหาร Intangible Assets มีประมาณร้อยละ 85 ของสินทรัพย์ทั้งหมดของบริษัทโดยเฉลี่ย ในประเทศที่เจริญแล้ว

GRC ต้องการ New Standard และความคาดหวังใหม่ ๆ ของผู้มีผลประโยชน์ร่วม (Stakeholders) และต้องการ Governance เป็นฐานสำคัญที่เน้นทางด้านจริยธรรมและจรรยาบรรณ (Ethics) ซึ่งคำ ๆ นี้ ผมจะขออนุญาตขยายความเพื่อให้ท่านผู้อ่านได้ทราบว่า Ethics มีความสำคัญอย่างไรต่อการสร้างคุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนขององค์กรชั้นนำทั่วโลกในปัจจุบัน

คำว่า “Ethics” นี้ก็มีบทบาทสำคัญยิ่งในองค์ประกอบของการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง ซึ่งเป็นข้อแรกขององค์ประกอบ ทั้ง 8 ประการของ COSO – ERM

GRC เป็น Statement ใหม่ภายใต้ร่มหลักของ CG และ ITG ที่มีกระบวนการบริหารเพื่อสนับสนุน
– การดำเนินงานให้บรรลุเป้าประสงค์
– รักษาความน่าเชื่อถือ ความไว้วางใจ ได้จากชื่อเสียง/Brand ขององค์กร เพื่อสร้างคุณค่าเพิ่มอย่างยั่งยืน
– เป็นความท้าทายของผู้บริหารที่จะพิสูจน์คุณค่า และศักยภาพของผู้บริหารในการรักษาความสามารถในการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ของผู้กำกับภายนอก และการปฏิบัติตามนโยบาย ทิศทาง คำสั่งต่าง ๆ ภายในองค์กร ในการปฏิบัติได้ตามมาตรฐานและความคาดหวังใหม่ ๆ ของผู้ถือหุ้น

ผมจะได้นำเรื่องราวที่น่าสนใจของ GRC ในแง่มุมต่าง ๆ มาเสนอให้ท่านผู้อ่านในตอนต่อ ๆ ไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การวัดศักยภาพ ประสิทธิภาพ ประสิทธิผลของการบริหาร เพื่อก้าวสู่การเติบโตอย่างยั่งยืน (ต่อ)

กรกฎาคม 3, 2009

การบริหารเชิงรุกเพื่อลดความเสี่ยงด้านการจัดการที่ดี ทุกท่านทราบดีแล้วว่าทุกองค์กรจะต้องจัดให้มีการบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management และองค์ประกอบอย่างหนึ่งของกระบวนการนี้ก็คือ การประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ (Inherent Risk) หลังจากนั้นจึงพิจารณาดูว่า การปฏิบัติงานขององค์กรในปัจจุบัน มีวิธีการอย่างไรในการควบคุมและจัดการกับความเสี่ยงเหล่านั้น โดยพิจารณาถึงแนวการจัดการต่าง ๆ โดยย่อ ดังนี้

– กระบวนการการดำเนินงานของธุรกิจ
– กิจกรรมการควบคุมภายใน
– การปฏิบัติงานของผู้บริหารและพนักงาน
– โครงสร้างทางธุรกิจและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติตดามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยง และวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจ

ผลการดำเนินงานและจัดการกับความเสี่ยงอย่างเป็นกระบวนการ โดยเฉพาะอย่างยิ่งทางด้าน IT ซึ่งเป็นการวัดคุณค่าจากสินทรัพย์ที่ไม่มีตัวตนเป็นส่วนใหญ่ หรือที่เรียกกันว่า Intangible Asset นั้น มีช่องว่างในการทำความเข้าใจของการวัด Performance Measurement ในทางปฏิบัติอยู่มาก เพราะส่วนใหญ่จะชินกับการวัดและเปรียบเทียบกับสินทรัพย์ที่มีตัวตน หรือ Tangible Asset เป็นส่วนใหญ่ ทำให้ดุลยภาพในการตัดสินใจทางด้านการลงทุน โดยเฉพาะทางด้านที่เกี่ยวข้องกับ IT Security ในแง่มุมต่าง ๆ ไม่อยู่ในฐานการตัดสินใจที่ถูกต้องเท่าที่ควร

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

ครั้งที่แล้ว ผมได้นำวิธีการวัดผลการบริหารกลยุทธ์ด้าน IT (IT Strategic Measures) และการวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management (IT Customer Measures) หรือการบริหารจัดการสารสนเทศ และในวันนี้ผมจะนำเสนอการวัดผลในอีก 2 ด้านที่เหลือ คือ การวัดผลด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT (IT Innovation and Learning)

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

และการวัดผลด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

จากการวัดประสิทธิภาพและประสิทธิผลการบริหารและการจัดการด้านเทคโนโลยีสารสนเทศ ตามแนวทางข้างต้น ท่านที่สนใจจะเห็นภาพได้ค่อนข้างชัดเจนว่า การวัดประสิทธิภาพของงานที่ต้องใช้ทรัพยากรทางด้านเทคโนโลยีสารสนเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารจะต้องให้ความสำคัญอย่างยิ่งต่อการเปรียบเทียบกับคุณค่าเพิ่ม ความเชื่อถือ จาก Intangible Asset ในมุมมองต่าง ๆ ตามหลัก Balance Scorecard ที่เกี่ยวข้อง

Perspective of the Risk Management and C-Levels

Perspective of the Risk Management and C-Levels

ในมุมมองของการบริหารความเสี่ยงทั่วทั้งองค์กร คณะกรรมการและผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องควรเข้าใจในลักษณะธุรกิจขององค์กรในภาพโดยรวม และควรเข้าใจความเสี่ยงที่เกิดจากปัจจัยภายในและปัจจัยภายนอก ที่มีผลกระทบต่อการบรรลุเป้าหมายขององค์กรในหลักการ 4 ข้อ ของ COSO คือ Stretegic + Operational + Financial/Reporting + Compliance

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ดังนั้น ความเสี่ยงที่เกิดจาก IT Risk ที่แสดงด้วยแผนภาพจะทำให้ท่านผู้อ่านเข้าใจถึงปัจจัยเสี่ยงต่าง ๆ อันเกิดจาก IT ที่มีผลกระทบต่อการบรรลุเป้าประสงค์ขององค์กรโดยรวมเป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การวัดศักยภาพ ประสิทธิภาพ ประสิทธิผลของการบริหาร เพื่อก้าวสู่การเติบโตอย่างยั่งยืน (ต่อ)

กรกฎาคม 3, 2009

การบริหารเชิงรุกเพื่อลดความเสี่ยงด้านการจัดการที่ดี ทุกท่านทราบดีแล้วว่าทุกองค์กรจะต้องจัดให้มีการบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management และองค์ประกอบอย่างหนึ่งของกระบวนการนี้ก็คือ การประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ (Inherent Risk) หลังจากนั้นจึงพิจารณาดูว่า การปฏิบัติงานขององค์กรในปัจจุบัน มีวิธีการอย่างไรในการควบคุมและจัดการกับความเสี่ยงเหล่านั้น โดยพิจารณาถึงแนวการจัดการต่าง ๆ โดยย่อ ดังนี้

– กระบวนการการดำเนินงานของธุรกิจ
– กิจกรรมการควบคุมภายใน
– การปฏิบัติงานของผู้บริหารและพนักงาน
– โครงสร้างทางธุรกิจและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติตดามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยง และวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจ

ผลการดำเนินงานและจัดการกับความเสี่ยงอย่างเป็นกระบวนการ โดยเฉพาะอย่างยิ่งทางด้าน IT ซึ่งเป็นการวัดคุณค่าจากสินทรัพย์ที่ไม่มีตัวตนเป็นส่วนใหญ่ หรือที่เรียกกันว่า Intangible Asset นั้น มีช่องว่างในการทำความเข้าใจของการวัด Performance Measurement ในทางปฏิบัติอยู่มาก เพราะส่วนใหญ่จะชินกับการวัดและเปรียบเทียบกับสินทรัพย์ที่มีตัวตน หรือ Tangible Asset เป็นส่วนใหญ่ ทำให้ดุลยภาพในการตัดสินใจทางด้านการลงทุน โดยเฉพาะทางด้านที่เกี่ยวข้องกับ IT Security ในแง่มุมต่าง ๆ ไม่อยู่ในฐานการตัดสินใจที่ถูกต้องเท่าที่ควร

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

ครั้งที่แล้ว ผมได้นำวิธีการวัดผลการบริหารกลยุทธ์ด้าน IT (IT Strategic Measures) และการวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management (IT Customer Measures) หรือการบริหารจัดการสารสนเทศ และในวันนี้ผมจะนำเสนอการวัดผลในอีก 2 ด้านที่เหลือ คือ การวัดผลด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT (IT Innovation and Learning)

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

และการวัดผลด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

จากการวัดประสิทธิภาพและประสิทธิผลการบริหารและการจัดการด้านเทคโนโลยีสารสนเทศ ตามแนวทางข้างต้น ท่านที่สนใจจะเห็นภาพได้ค่อนข้างชัดเจนว่า การวัดประสิทธิภาพของงานที่ต้องใช้ทรัพยากรทางด้านเทคโนโลยีสารสนเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารจะต้องให้ความสำคัญอย่างยิ่งต่อการเปรียบเทียบกับคุณค่าเพิ่ม ความเชื่อถือ จาก Intangible Asset ในมุมมองต่าง ๆ ตามหลัก Balance Scorecard ที่เกี่ยวข้อง

Perspective of the Risk Management and C-Levels

Perspective of the Risk Management and C-Levels

ในมุมมองของการบริหารความเสี่ยงทั่วทั้งองค์กร คณะกรรมการและผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องควรเข้าใจในลักษณะธุรกิจขององค์กรในภาพโดยรวม และควรเข้าใจความเสี่ยงที่เกิดจากปัจจัยภายในและปัจจัยภายนอก ที่มีผลกระทบต่อการบรรลุเป้าหมายขององค์กรในหลักการ 4 ข้อ ของ COSO คือ Stretegic + Operational + Financial/Reporting + Compliance

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ดังนั้น ความเสี่ยงที่เกิดจาก IT Risk ที่แสดงด้วยแผนภาพจะทำให้ท่านผู้อ่านเข้าใจถึงปัจจัยเสี่ยงต่าง ๆ อันเกิดจาก IT ที่มีผลกระทบต่อการบรรลุเป้าประสงค์ขององค์กรโดยรวมเป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Standard Performance Measurement and IT Governance เพื่อการวัดความสำเร็จเชิงกลยุทธ์ ตามหลักการ Balance Scorecard

มิถุนายน 18, 2009

วันนี้ผมจะมาเล่าเรื่องที่คิดว่าน่าสนใจสำหรับผู้บริหาร ผู้ตรวจสอบทางด้าน IT และ Non – IT ในอีกมุมมองหนึ่งที่เกี่ยวข้องกับ IT Governance ที่ใช้ขับเคลื่อน Business ตามหลักการบริหาร 4 มุมมองที่นิยมใช้กันอย่างแพร่หลาย ทั้งนี้ ตามที่ผมให้คำอธิบายความหมายของคำว่า IT Governance มาแล้วว่า ITG ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงและการจัดการด้าน IT เพื่อขับเคลื่อนกลยุทธ์ของโดยรวมองค์กร โดยมีผลตอบแทนที่เหมาะสมยอมรับได้ วัดและประเมินคุณค่าได้ทั้งในปัจจุบันและในอนาคต จาก Performance Measurement ที่พิจารณาจากสินทรัพย์ที่ไม่มีตัวตน หรือ Intangble Asset และสินทรัพย์ที่มีตัวตน หรือ Tangble Asset ในระดับองค์กร

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การมีตัวชี้วัดหรือ KPI ที่เหมาะสมในการวัดคุณภาพการจัดการทางด้าน IT Management และ IT Governance ตามหลัก Balance Scorecard จะช่วยให้ผู้บริหาร และผู้ปฏิบัติงานในระดับต่าง ๆ ขององค์กรมั่นใจและประเมินตนเองได้ว่า องค์กรของตนมีศักยภาพและมีคุณภาพที่เกี่ยวข้องกับประสิทธิภาพและประสิทธิผลในการบริหารจัดการด้านเทคโนโลยีสารสนเทศเพียงใด ซึ่งจะมีประโยชน์อย่างยิ่งในการปรับปรุงตนเองหรือกระบวนการทำงานให้เหมาะสม เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนตามหลักการของการกำกับดูแลกิจการที่ดี หรือ Corporate Governance ต่อไป

เกณฑ์ที่ใช้วัดอาจพิจารณาได้ดังต่อไปนี้

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

เกณฑ์การวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management หรือการบริหารจัดการสารสนเทศ

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

ขอให้ท่านติดตาม Performance Measurement ในอีก 2 ด้านที่สำคัญตามหลักการ Balance Scorecard คือ การวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT กับการวัดผลการดำเนินงานด้านการจัดการ IT

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Standard Performance Measurement and IT Governance เพื่อการวัดความสำเร็จเชิงกลยุทธ์ ตามหลักการ Balance Scorecard

มิถุนายน 18, 2009

วันนี้ผมจะมาเล่าเรื่องที่คิดว่าน่าสนใจสำหรับผู้บริหาร ผู้ตรวจสอบทางด้าน IT และ Non – IT ในอีกมุมมองหนึ่งที่เกี่ยวข้องกับ IT Governance ที่ใช้ขับเคลื่อน Business ตามหลักการบริหาร 4 มุมมองที่นิยมใช้กันอย่างแพร่หลาย ทั้งนี้ ตามที่ผมให้คำอธิบายความหมายของคำว่า IT Governance มาแล้วว่า ITG ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงและการจัดการด้าน IT เพื่อขับเคลื่อนกลยุทธ์ของโดยรวมองค์กร โดยมีผลตอบแทนที่เหมาะสมยอมรับได้ วัดและประเมินคุณค่าได้ทั้งในปัจจุบันและในอนาคต จาก Performance Measurement ที่พิจารณาจากสินทรัพย์ที่ไม่มีตัวตน หรือ Intangble Asset และสินทรัพย์ที่มีตัวตน หรือ Tangble Asset ในระดับองค์กร

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard เพื่อการปรับปรุงตนเอง/CSA

การมีตัวชี้วัดหรือ KPI ที่เหมาะสมในการวัดคุณภาพการจัดการทางด้าน IT Management และ IT Governance ตามหลัก Balance Scorecard จะช่วยให้ผู้บริหาร และผู้ปฏิบัติงานในระดับต่าง ๆ ขององค์กรมั่นใจและประเมินตนเองได้ว่า องค์กรของตนมีศักยภาพและมีคุณภาพที่เกี่ยวข้องกับประสิทธิภาพและประสิทธิผลในการบริหารจัดการด้านเทคโนโลยีสารสนเทศเพียงใด ซึ่งจะมีประโยชน์อย่างยิ่งในการปรับปรุงตนเองหรือกระบวนการทำงานให้เหมาะสม เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนตามหลักการของการกำกับดูแลกิจการที่ดี หรือ Corporate Governance ต่อไป

เกณฑ์ที่ใช้วัดอาจพิจารณาได้ดังต่อไปนี้

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

การวัดผลการบริหารเชิงกลุยทธ์ด้าน IT Management เพื่อการควบคุมและการบริหารความเสี่ยง

เกณฑ์การวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management หรือการบริหารจัดการสารสนเทศ

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

การวัดผลด้านการตอบสนองความต้องการของผู้ใช้ IT ซึ่งเป็นเรื่องสำคัญยิ่งในฐานะที่เป็นส่วนหนึ่งของ Stakeholders

ขอให้ท่านติดตาม Performance Measurement ในอีก 2 ด้านที่สำคัญตามหลักการ Balance Scorecard คือ การวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT กับการวัดผลการดำเนินงานด้านการจัดการ IT

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ปัจจัยแห่งความสำเร็จและแนวความคิดทางด้าน IT Governance บางประการ

มิถุนายน 8, 2009

การสร้างคุณค่าเพิ่มให้กับองค์กรเพื่อผลประโยชน์ของ Stakeholders ซึ่งแน่นอนว่าได้รวม Shareholders เข้าไปด้วยแล้วนั้น จะประสบความสำเร็จเป็นรูปธรรมได้ก็ต่อเมื่อคณะกรรมการ และผู้บริหารต้องส่งสัญญาณและแนวทางที่ชัดเจนในการขับเคลื่อนองค์กร โดยใช้หลักการการกำกับดูแลกิจการที่ดี หรือ CG ควบคู่กันไปกับ IT Governance ซึ่งแยกกันไม่ได้ตามที่ได้กล่าวมาในครั้งก่อน ๆ แล้ว

แนวความคิดที่จะนำไปสู่การปฏิบัติในการขับเคลื่อน CG ควบคู่กันไปกับ ITG ในมุมมองโดยรวม มีดังนี้

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

จุดมุ่งหมายของการประกอบธุรกิจที่ดีด้วย Information Technology (IT)
1.สามารถลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินกิจการ
2.สร้างแนวทางในการหารายได้ใหม่ ๆ
3.สนองตอบความต้องการขององค์กร
4.สร้างมูลค่าเพิ่มให้กับองค์กร
5.สร้างรูปแบบใหม่ในการดำเนินธุรกิจขององค์กร
6.สร้างความสามารถในการแข่งขันด้วย ITG

ปัจจัยแห่งความสำเร็จ
1. ควรคำนึงถึงตลอดเวลาว่า IT เป็นส่วนหนึ่งขององค์กรและกลยุทธ์ การดำเนินงานทางด้าน IT เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดี

2. รับรู้ปัญหาทางด้าน IT และวิธีการที่ฝ่ายจัดการว่าจ้างผู้เชี่ยวชาญภายนอกเข้ามาช่วยแก้ไขปัญหา รวมทั้งความเสี่ยงคงเหลือขององค์กร

3. การกำหนดวัตถุประสงค์ รายละเอียด และการนำ IT ไปใช้ ควรมีพื้นฐานมาจากความต้องการขององค์กร ด้วยความคิดที่เป็นระบบ และมีขั้นตอน

4. ควรพิจารณาแต่งตั้งสมาชิกในคณะกรรมการตรวจสอบที่มีความรู้ทางด้าน IT และความเสี่ยงทางด้าน IT รวมทั้ง IT Governance

5. ทรัพยากรทางด้าน IT ขององค์กร สามารถทำงานร่วมกับองค์กรอื่นได้เป็นอย่างดี องค์กรอาจถูกผลักดันจากพันธมิตร หรือคู่ค้าทางด้าน IT

6. เป้าหมายและการดำเนินการตามกลยุทธ์ ควรนำเทคโนโลยีมาใช้เพื่อเป็นการใช้ทรัพยากรที่มีอยู่อย่างคุ้มค่า และมีความสามารถที่จะสนองตอบความต้องการขององค์กรได้อย่างมีคุณภาพสูงสุด

7. การสื่อสารระหว่างฝ่ายจัดการและผู้ตรวจสอบ เพื่อสร้างวัฒนธรรมการปฏิบัติงานใหม่ ๆ ควรเป็นไปอย่างสะดวก ไม่มีขั้นตอนที่ยุ่งยาก

8. ระเบียบวิธีปฏิบัติที่ถูกกำหนดขึ้น ควรเป็นความเห็นร่วมกันระหว่างฝ่ายจัดการและคณะกรรมการขององค์กร และเป็นไปตามกฎหมายที่เกี่ยวข้องและลงนามโดยฝ่ายจัดการ

9. กลยุทธ์ในการจัดการที่กำหนดให้มีขึ้น ควรคำนึงถึงวัตถุประสงค์ของ IT ได้แก่ กลยุทธ์ทางด้าน IT ที่ควรสอดคล้องกับกลยุทธ์สู่เป้าหมายต่าง ๆ ขององค์กร ระยะเวลาการส่งมอบการบริหารความเสี่ยงและประสิทธิภาพการบริหาร โดยผู้บริหารและผู้ปฏิบัติงานควรมีความเข้าใจในเรื่อง IT

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

กลไกในการใช้ IT Governance เป็นตัวผลักดันประสิทธิภาพและการจัดการที่ดี
1. ความถี่ของการรายงานจุดควบคุมความเสี่ยงและข้อเสนอแนะต่อ คณะกรรมการขององค์กร
2. การลดต้นทุนค่าใช้จ่าย การเพิ่มประสิทธิภาพของกระบวนการปฏิบัติงานทางด้าน IT โดยการเชื่อมโยงระบบต่าง ๆ เข้าด้วยกัน
3. สร้างความหลากหลายในการประกอบธุรกิจด้วย IT
4. เพิ่มอรรถประโยชน์ของทรัพยากรทางด้าน IT ที่มีอยู่
5. เพิ่มความพึงพอใจให้แก่พนักงานผู้มีผลประโยชน์ร่วมทุกฝ่าย
6. ปรับปรุงวิธีการทำงานและความรับผิดชอบของผู้ปฏิบัติงานที่มีส่วนเกี่ยวข้องกับ IT ทั้งทางตรงและทางอ้อม
7. เพิ่มพูนความรู้ทางด้าน IT ให้แก่ฝ่ายจัดการและผู้ปฏิบัติงาน
8. เพิ่มความเชื่อมโยงระหว่าง IT กับการกำกับดูแลกิจการที่ดี
9. เพิ่มศักยภาพของกระบวนการบริหาร (Management Process) และการปฏิบัติงานตามที่วัดได้จาก Management Tools ต่าง ๆ
10. กำหนดมาตรฐานการปฏิบัติงาน และเปรียบเทียบกับมาตรฐานการกำกับดูแลกิจการที่ดี

แนวความคิดที่ปฏิบัติจริงได้ จากการวัดประสิทธิภาพการบริหารด้าน IT และการใช้ IT Governance ในระดับสายงานต่าง ๆ อย่างสอดคล้องทั่วทั้งองค์กร

1. ทำอย่างไร IT จึงจะสามารถเพิ่มประสิทธิภาพและลดต้นทุนในการจัดการ
2. ทำอย่างไร IT จึงจะให้คำแนะนำเกี่ยวกับนวัตกรรมและการบริการใหม่ ๆ ได้อย่างรวดเร็ว และลดความซ้ำซ้อนในการปฏิบัติงาน
3. ทำอย่างไร IT จึงจะช่วยเพิ่มผลตอบแทนจากการลงทุนได้มากขึ้น
4. ทำอย่างไร IT จึงสามารถกำหนดมาตรฐานการปฏิบัติงานขององค์กรได้
5. ทำอย่างไร IT ช่วยองค์กรเพิ่มลูกค้าใหม่และสร้างความพอใจให้กับลูกค้าได้
6. ทำอย่างไร IT จึงจะสนองตอบความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วมขององค์กรได้ ภายใต้งบประมาณที่ได้รับและเวลาที่กำหนด
7. ทำอย่างไร IT จึงจะช่วยองค์กรให้ปฏิบัติงานได้อย่างถูกต้องตามกฎหมายระเบียบ ข้อบังคับ หรือตามสัญญา
8. ทำอย่างไร IT จึงจะช่วยให้องค์กรบริหารความเสี่ยงที่มีอยู่อย่างโปร่งใส
9. ทำอย่างไร IT จึงจะช่วยองค์กรในการสร้างช่องทางการบริการใหม่ ๆ
10. ทำอย่างไร IT จึงจะช่วยฝ่ายจัดการสร้างผลตอบแทนให้แก่องค์กรในอัตราที่สูงขึ้น บริหารงาน และปฏิบัติงานได้รวดเร็วยิ่งขึ้น

จากข้อมูลข้างต้น ท่านพอจะมองเห็นภาพ รวมทั้งกรอบและแนวความคิดในการนำ CG และ ITG ที่เป็นนามธรรม ไปสู่ความเป็นรูปธรรมในทางปฏิบัติได้จริง และสร้างความมั่นใจอย่างสมเหตุสมผลจากการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบภายใน รวมทั้งการติดตามผล ซึ่งเรียกรวม 2 คำหลังในการอธิบายนี้ว่า เป็นการสร้างความมั่นใจต่อการบรรลุเป้าประสงค์ (Objectives) อย่างมีเหตุผลหรือใช้คำหรูๆว่า Assurance ในการก้าวไปสู่ความมั่งคั่ง และมั่นคงในการเติบโตอย่างยั่งยืน ( Sustainable Growth ) ตามหลักการของ Governance หรือการกำกับดูแลกิจการที่ดี และแน่นอนว่าจะเกี่ยวข้องกับความมั่นใจในการปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ทั้งภายในและภายนอกองค์กร (Comformance / Compliance) ซึ่งเป็นส่วนหนึ่งของ GRC ภายใต้กรอบ CG และ IT Governance หรือ ITG นั่นเองครับ…

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ปัจจัยแห่งความสำเร็จและแนวความคิดทางด้าน IT Governance บางประการ

มิถุนายน 8, 2009

การสร้างคุณค่าเพิ่มให้กับองค์กรเพื่อผลประโยชน์ของ Stakeholders ซึ่งแน่นอนว่าได้รวม Shareholders เข้าไปด้วยแล้วนั้น จะประสบความสำเร็จเป็นรูปธรรมได้ก็ต่อเมื่อคณะกรรมการ และผู้บริหารต้องส่งสัญญาณและแนวทางที่ชัดเจนในการขับเคลื่อนองค์กร โดยใช้หลักการการกำกับดูแลกิจการที่ดี หรือ CG ควบคู่กันไปกับ IT Governance ซึ่งแยกกันไม่ได้ตามที่ได้กล่าวมาในครั้งก่อน ๆ แล้ว

แนวความคิดที่จะนำไปสู่การปฏิบัติในการขับเคลื่อน CG ควบคู่กันไปกับ ITG ในมุมมองโดยรวม มีดังนี้

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

จุดมุ่งหมายของการประกอบธุรกิจที่ดีด้วย Information Technology (IT)
1.สามารถลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินกิจการ
2.สร้างแนวทางในการหารายได้ใหม่ ๆ
3.สนองตอบความต้องการขององค์กร
4.สร้างมูลค่าเพิ่มให้กับองค์กร
5.สร้างรูปแบบใหม่ในการดำเนินธุรกิจขององค์กร
6.สร้างความสามารถในการแข่งขันด้วย ITG

ปัจจัยแห่งความสำเร็จ
1. ควรคำนึงถึงตลอดเวลาว่า IT เป็นส่วนหนึ่งขององค์กรและกลยุทธ์ การดำเนินงานทางด้าน IT เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดี

2. รับรู้ปัญหาทางด้าน IT และวิธีการที่ฝ่ายจัดการว่าจ้างผู้เชี่ยวชาญภายนอกเข้ามาช่วยแก้ไขปัญหา รวมทั้งความเสี่ยงคงเหลือขององค์กร

3. การกำหนดวัตถุประสงค์ รายละเอียด และการนำ IT ไปใช้ ควรมีพื้นฐานมาจากความต้องการขององค์กร ด้วยความคิดที่เป็นระบบ และมีขั้นตอน

4. ควรพิจารณาแต่งตั้งสมาชิกในคณะกรรมการตรวจสอบที่มีความรู้ทางด้าน IT และความเสี่ยงทางด้าน IT รวมทั้ง IT Governance

5. ทรัพยากรทางด้าน IT ขององค์กร สามารถทำงานร่วมกับองค์กรอื่นได้เป็นอย่างดี องค์กรอาจถูกผลักดันจากพันธมิตร หรือคู่ค้าทางด้าน IT

6. เป้าหมายและการดำเนินการตามกลยุทธ์ ควรนำเทคโนโลยีมาใช้เพื่อเป็นการใช้ทรัพยากรที่มีอยู่อย่างคุ้มค่า และมีความสามารถที่จะสนองตอบความต้องการขององค์กรได้อย่างมีคุณภาพสูงสุด

7. การสื่อสารระหว่างฝ่ายจัดการและผู้ตรวจสอบ เพื่อสร้างวัฒนธรรมการปฏิบัติงานใหม่ ๆ ควรเป็นไปอย่างสะดวก ไม่มีขั้นตอนที่ยุ่งยาก

8. ระเบียบวิธีปฏิบัติที่ถูกกำหนดขึ้น ควรเป็นความเห็นร่วมกันระหว่างฝ่ายจัดการและคณะกรรมการขององค์กร และเป็นไปตามกฎหมายที่เกี่ยวข้องและลงนามโดยฝ่ายจัดการ

9. กลยุทธ์ในการจัดการที่กำหนดให้มีขึ้น ควรคำนึงถึงวัตถุประสงค์ของ IT ได้แก่ กลยุทธ์ทางด้าน IT ที่ควรสอดคล้องกับกลยุทธ์สู่เป้าหมายต่าง ๆ ขององค์กร ระยะเวลาการส่งมอบการบริหารความเสี่ยงและประสิทธิภาพการบริหาร โดยผู้บริหารและผู้ปฏิบัติงานควรมีความเข้าใจในเรื่อง IT

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

กลไกในการใช้ IT Governance เป็นตัวผลักดันประสิทธิภาพและการจัดการที่ดี
1. ความถี่ของการรายงานจุดควบคุมความเสี่ยงและข้อเสนอแนะต่อ คณะกรรมการขององค์กร
2. การลดต้นทุนค่าใช้จ่าย การเพิ่มประสิทธิภาพของกระบวนการปฏิบัติงานทางด้าน IT โดยการเชื่อมโยงระบบต่าง ๆ เข้าด้วยกัน
3. สร้างความหลากหลายในการประกอบธุรกิจด้วย IT
4. เพิ่มอรรถประโยชน์ของทรัพยากรทางด้าน IT ที่มีอยู่
5. เพิ่มความพึงพอใจให้แก่พนักงานผู้มีผลประโยชน์ร่วมทุกฝ่าย
6. ปรับปรุงวิธีการทำงานและความรับผิดชอบของผู้ปฏิบัติงานที่มีส่วนเกี่ยวข้องกับ IT ทั้งทางตรงและทางอ้อม
7. เพิ่มพูนความรู้ทางด้าน IT ให้แก่ฝ่ายจัดการและผู้ปฏิบัติงาน
8. เพิ่มความเชื่อมโยงระหว่าง IT กับการกำกับดูแลกิจการที่ดี
9. เพิ่มศักยภาพของกระบวนการบริหาร (Management Process) และการปฏิบัติงานตามที่วัดได้จาก Management Tools ต่าง ๆ
10. กำหนดมาตรฐานการปฏิบัติงาน และเปรียบเทียบกับมาตรฐานการกำกับดูแลกิจการที่ดี

แนวความคิดที่ปฏิบัติจริงได้ จากการวัดประสิทธิภาพการบริหารด้าน IT และการใช้ IT Governance ในระดับสายงานต่าง ๆ อย่างสอดคล้องทั่วทั้งองค์กร

1. ทำอย่างไร IT จึงจะสามารถเพิ่มประสิทธิภาพและลดต้นทุนในการจัดการ
2. ทำอย่างไร IT จึงจะให้คำแนะนำเกี่ยวกับนวัตกรรมและการบริการใหม่ ๆ ได้อย่างรวดเร็ว และลดความซ้ำซ้อนในการปฏิบัติงาน
3. ทำอย่างไร IT จึงจะช่วยเพิ่มผลตอบแทนจากการลงทุนได้มากขึ้น
4. ทำอย่างไร IT จึงสามารถกำหนดมาตรฐานการปฏิบัติงานขององค์กรได้
5. ทำอย่างไร IT ช่วยองค์กรเพิ่มลูกค้าใหม่และสร้างความพอใจให้กับลูกค้าได้
6. ทำอย่างไร IT จึงจะสนองตอบความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วมขององค์กรได้ ภายใต้งบประมาณที่ได้รับและเวลาที่กำหนด
7. ทำอย่างไร IT จึงจะช่วยองค์กรให้ปฏิบัติงานได้อย่างถูกต้องตามกฎหมายระเบียบ ข้อบังคับ หรือตามสัญญา
8. ทำอย่างไร IT จึงจะช่วยให้องค์กรบริหารความเสี่ยงที่มีอยู่อย่างโปร่งใส
9. ทำอย่างไร IT จึงจะช่วยองค์กรในการสร้างช่องทางการบริการใหม่ ๆ
10. ทำอย่างไร IT จึงจะช่วยฝ่ายจัดการสร้างผลตอบแทนให้แก่องค์กรในอัตราที่สูงขึ้น บริหารงาน และปฏิบัติงานได้รวดเร็วยิ่งขึ้น

จากข้อมูลข้างต้น ท่านพอจะมองเห็นภาพ รวมทั้งกรอบและแนวความคิดในการนำ CG และ ITG ที่เป็นนามธรรม ไปสู่ความเป็นรูปธรรมในทางปฏิบัติได้จริง และสร้างความมั่นใจอย่างสมเหตุสมผลจากการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบภายใน รวมทั้งการติดตามผล ซึ่งเรียกรวม 2 คำหลังในการอธิบายนี้ว่า เป็นการสร้างความมั่นใจต่อการบรรลุเป้าประสงค์ (Objectives) อย่างมีเหตุผลหรือใช้คำหรูๆว่า Assurance ในการก้าวไปสู่ความมั่งคั่ง และมั่นคงในการเติบโตอย่างยั่งยืน ( Sustainable Growth ) ตามหลักการของ Governance หรือการกำกับดูแลกิจการที่ดี และแน่นอนว่าจะเกี่ยวข้องกับความมั่นใจในการปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ทั้งภายในและภายนอกองค์กร (Comformance / Compliance) ซึ่งเป็นส่วนหนึ่งของ GRC ภายใต้กรอบ CG และ IT Governance หรือ ITG นั่นเองครับ…

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Corporate Governance – CG กับ IT Governance – ITG กับบทบาทของผู้บริหารระดับสูง คณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบ

มิถุนายน 1, 2009

ครั้งที่แล้วผมได้กล่าวถึงการนำหลักการของกระบวนการบริหารความเสี่ยงที่ใช้กรอบของ COSO – ERM ซึ่งเป็นองค์ประกอบหนึ่งของการกำกับดูแลกิจการที่ดี หรือหลักบรรษัทภิบาล – CG ที่มีองค์ประกอบหลัก ๆ 7 ข้อ ตามที่อธิบายด้วยภาพของต้นไม้มาแล้ว วันนี้ผมกำลังจะนำหลักการ CG มาผสมผสานกับแนวทางการบริหารกระบวนการ และการจัดการกับความเสี่ยงในมุมมองของ IT Governance โดยใช้หลักการของ COBIT ที่ประกอบไปด้วย 4 Domain และ 34 Process แต่จะขออธิบายในเรื่องหลักการ CG สั้น ๆ ดังนี้

CG หรือหลักบรรษัทภิบาล ก็คือ กระบวนการบริหารและการจัดการโดยกำหนดบทบาท ความคิดที่นำมาสู่วิธีการปฏิบัติงาน เพื่อก่อให้เกิดประโยชน์และสร้างคุณค่าเพิ่มต่อการดำเนินธุรกิจทุกประเภท และในทุกระดับขององค์กร

IT Governance and Performance Measurement

IT Governance and Performance Measurement

IT Governance ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงกับการจัดการทางด้านเทคโนโลยีสารสนเทศ เพื่อการขับเคลื่อนกลยุทธ์โดยรวมขององค์กร โดยมีผลตอบแทนที่เหมาะสม ยอมรับได้ และประเมินคุณค่าได้ ทั้งในปัจจุบันและอนาคต จากประสิทธิภาพและประสิทธิผลในการดำเนินงานที่พิจารณาจากสินทรัพย์ที่มีตัวตน (Tangible Assets) และสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) ในระดับองค์กร

Performance Measurement and Criteria Concerned

Performance Measurement and Criteria Concerned

ผมขออธิบายโดยใช้รูปภาพประกอบข้างต้น ซึ่งอธิบายได้ในตัวของมันเอง ท่านสามารถใช้ดุลยพินิจและความคิดในการสร้างคุณค่าเพิ่มในทางปฏิบัติควบคู่กับหลักการบริหารความเสี่ยง ทั้งทางด้าน IT Risk และ Non – IT Risk ตามหลักการของ COSO – ERM ต่อไป

Performance Measurement and ITG

Performance Measurement and ITG

ผมจะขออธิบายเพิ่มเติมเพื่อสร้างความเข้าใจในรายละเอียดให้มากขึ้นในครั้งต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Corporate Governance – CG กับ IT Governance – ITG กับบทบาทของผู้บริหารระดับสูง คณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบ

มิถุนายน 1, 2009

ครั้งที่แล้วผมได้กล่าวถึงการนำหลักการของกระบวนการบริหารความเสี่ยงที่ใช้กรอบของ COSO – ERM ซึ่งเป็นองค์ประกอบหนึ่งของการกำกับดูแลกิจการที่ดี หรือหลักบรรษัทภิบาล – CG ที่มีองค์ประกอบหลัก ๆ 7 ข้อ ตามที่อธิบายด้วยภาพของต้นไม้มาแล้ว วันนี้ผมกำลังจะนำหลักการ CG มาผสมผสานกับแนวทางการบริหารกระบวนการ และการจัดการกับความเสี่ยงในมุมมองของ IT Governance โดยใช้หลักการของ COBIT ที่ประกอบไปด้วย 4 Domain และ 34 Process แต่จะขออธิบายในเรื่องหลักการ CG สั้น ๆ ดังนี้

CG หรือหลักบรรษัทภิบาล ก็คือ กระบวนการบริหารและการจัดการโดยกำหนดบทบาท ความคิดที่นำมาสู่วิธีการปฏิบัติงาน เพื่อก่อให้เกิดประโยชน์และสร้างคุณค่าเพิ่มต่อการดำเนินธุรกิจทุกประเภท และในทุกระดับขององค์กร

IT Governance and Performance Measurement

IT Governance and Performance Measurement

IT Governance ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงกับการจัดการทางด้านเทคโนโลยีสารสนเทศ เพื่อการขับเคลื่อนกลยุทธ์โดยรวมขององค์กร โดยมีผลตอบแทนที่เหมาะสม ยอมรับได้ และประเมินคุณค่าได้ ทั้งในปัจจุบันและอนาคต จากประสิทธิภาพและประสิทธิผลในการดำเนินงานที่พิจารณาจากสินทรัพย์ที่มีตัวตน (Tangible Assets) และสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) ในระดับองค์กร

Performance Measurement and Criteria Concerned

Performance Measurement and Criteria Concerned

ผมขออธิบายโดยใช้รูปภาพประกอบข้างต้น ซึ่งอธิบายได้ในตัวของมันเอง ท่านสามารถใช้ดุลยพินิจและความคิดในการสร้างคุณค่าเพิ่มในทางปฏิบัติควบคู่กับหลักการบริหารความเสี่ยง ทั้งทางด้าน IT Risk และ Non – IT Risk ตามหลักการของ COSO – ERM ต่อไป

Performance Measurement and ITG

Performance Measurement and ITG

ผมจะขออธิบายเพิ่มเติมเพื่อสร้างความเข้าใจในรายละเอียดให้มากขึ้นในครั้งต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับบางมุมมองของเกณฑ์การประเมินผลภาครัฐด้านการบริหารจัดการสารสนเทศ (ITM)

พ.ค. 30, 2009

การบริหารจัดการความเสี่ยงตามหลักการของ COSO – Enterprise Risk Management ที่คณะกรรมการประเมินผลภาครัฐ นำมาใช้ในเกณฑ์การประเมินผลการบริหารความเสี่ยงตามที่ได้กล่าวมาแล้วในครั้งก่อน ๆ นั้น หลายมุมมองจะเกี่ยวข้องกับการประเมินความเสี่ยงที่เกิดจากการบริหารและควบคุมสารสนเทศที่มีผลต่อ Business Process และ Business Objective ขององค์กรอย่างเป็นกระบวนการ ตามขอบเขตของ IT Governance ที่เกี่ยวข้องกับ COBIT – Control OBjcetive for Information and Technology ตามหลักการของ ITGI ซึ่งประกอบไปด้วย หลักการบริหารกรอบใหญ่ ๆ 4 ด้าน คือ
1. การวางแผนและการจัดการองค์กร (Planning & Organization – PO)
2. การจัดหาและการนำระบบออกใช้งานจริง (Acquisition & Implementation – AI)
3. การส่งมอบและการบำรุงรักษา (Delivery & Support – DS)
4. การติดตาม (Monitoring – M)

การบริหารและการจัดการกับความเสี่ยงตามหลักการของ COSO ก็เกี่ยวข้องกับการเลือกวิธีการควบคุมความเสี่ยง โดยเฉพาะอย่างยิ่งเกี่ยวข้องอย่างมากต่อความเสี่ยงด้านเทคโนโลยี ที่มีผลกระทบต่อ Business Process ที่อาจเกิดช่องว่างของจุดอ่อนและการทุจริตตามที่เป็นข่าวในสถาบันการเงินหลายแห่งของไทยเมื่อเร็ว ๆ นี้ ซึ่งความเสี่ยงของเทคโนโลยีดังกล่าวต้องการความรู้ และประสบการณ์ทางด้านการจัดการกับเทคโนโลยีผสมผสานอย่างแยกไม่ได้กับความเข้าใจในเรื่องการบริหารความเสี่ยง ตามหลักการของ COSO – ERM

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

วันนี้ ผมจึงขอนำเสนอแนวทางของเกณฑ์การประเมินผลของภาครัฐ บางมุมมองที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ในปี 2552 แยกพิจารณาออกเป็น 2 ส่วน สรุปได้ดังนี้

ส่วนที่ 1
1. การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ

ส่วนที่ 2
2. การบริหารการจัดการสารสนเทศ
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

– การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) ของ ISO 27001

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

– การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน
2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และนโยบายต่างๆ ของรัฐบาล
2.5.1 การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต ทั้งการให้บริการภายในและภายนอกองค์กร
2.5.2 ความสะดวกในการให้บริการของประชาชน / พนักงาน / ผู้มีส่วนได้เสีย เช่น การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online
2.5.3 การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ
2.5.4 One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว
2.5.5 ระบบ Back Office ที่สามารถ Share ข้อมูลกับหน่วยงานอื่นทั้งภายใน และภายนอกองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล
2.5.6 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการภายในและภายนอกองค์กร
2.6.1 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
2.6.2 การนำระบบเข้ามาช่วยการสื่อสารทั้งภายในและภายนอกองค์กร
2.6.3 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)
2.6.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

การบริหารและการควบคุมความเสี่ยงเป็นภาพใหญ่ของทุกองค์กร ที่ต้องคำนึงถึงสภาพแวดล้อมของธุรกิจ โดยเฉพาะอย่างยิ่งกิจกรรมที่เกี่ยวข้องกับกรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของ COSO ซึ่งอาจขยายความให้ครอบคลุมไปถึงความเสี่ยงทางด้านเทคโนโลยี (IT Security Risk) ได้ในทุกมุมมอง ดังนั้น ฝ่ายบริหารของทุกองค์กรควรพิจารณาและทบทวนความเข้าใจในเรื่องที่เกี่ยวข้องกับ IT Security Governance ซึ่งสัมพันธ์กับ IT Governance และ Corporate Governance อย่างแยกกันไม่ได้

และผมจะขยายความในเรื่อง IT Security Governance ในมุมมองของ COSO – ERM ซึ่งมีหลายเรื่องที่มีความสัมพันธ์กันอย่างใกล้ชิดและน่าสนใจยิ่ง ในโอกาสต่อ ๆ ไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »