ITG กับบางมุมมองของเกณฑ์การประเมินผลภาครัฐด้านการบริหารจัดการสารสนเทศ (ITM)

พ.ค. 30, 2009

การบริหารจัดการความเสี่ยงตามหลักการของ COSO – Enterprise Risk Management ที่คณะกรรมการประเมินผลภาครัฐ นำมาใช้ในเกณฑ์การประเมินผลการบริหารความเสี่ยงตามที่ได้กล่าวมาแล้วในครั้งก่อน ๆ นั้น หลายมุมมองจะเกี่ยวข้องกับการประเมินความเสี่ยงที่เกิดจากการบริหารและควบคุมสารสนเทศที่มีผลต่อ Business Process และ Business Objective ขององค์กรอย่างเป็นกระบวนการ ตามขอบเขตของ IT Governance ที่เกี่ยวข้องกับ COBIT – Control OBjcetive for Information and Technology ตามหลักการของ ITGI ซึ่งประกอบไปด้วย หลักการบริหารกรอบใหญ่ ๆ 4 ด้าน คือ
1. การวางแผนและการจัดการองค์กร (Planning & Organization – PO)
2. การจัดหาและการนำระบบออกใช้งานจริง (Acquisition & Implementation – AI)
3. การส่งมอบและการบำรุงรักษา (Delivery & Support – DS)
4. การติดตาม (Monitoring – M)

การบริหารและการจัดการกับความเสี่ยงตามหลักการของ COSO ก็เกี่ยวข้องกับการเลือกวิธีการควบคุมความเสี่ยง โดยเฉพาะอย่างยิ่งเกี่ยวข้องอย่างมากต่อความเสี่ยงด้านเทคโนโลยี ที่มีผลกระทบต่อ Business Process ที่อาจเกิดช่องว่างของจุดอ่อนและการทุจริตตามที่เป็นข่าวในสถาบันการเงินหลายแห่งของไทยเมื่อเร็ว ๆ นี้ ซึ่งความเสี่ยงของเทคโนโลยีดังกล่าวต้องการความรู้ และประสบการณ์ทางด้านการจัดการกับเทคโนโลยีผสมผสานอย่างแยกไม่ได้กับความเข้าใจในเรื่องการบริหารความเสี่ยง ตามหลักการของ COSO – ERM

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

ความเชื่อมโยงของการบริหารความเสี่ยงระหว่าง COSO กับ COBIT กับผู้บริหาร

วันนี้ ผมจึงขอนำเสนอแนวทางของเกณฑ์การประเมินผลของภาครัฐ บางมุมมองที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ในปี 2552 แยกพิจารณาออกเป็น 2 ส่วน สรุปได้ดังนี้

ส่วนที่ 1
1. การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ

ส่วนที่ 2
2. การบริหารการจัดการสารสนเทศ
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

แนวทางการแบ่งกลุ่มองค์กรตามความสำคัญที่มีผลกระทบต่อสังคมและสาธารณชนโดยรวม

– การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) ของ ISO 27001

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

มาตรฐาน IT Security ของศูนย์คอมพิวเตอร์หลัก ตาม ISO 27001 ในหมวด Physical/Environmental Control

– การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

มาตรฐานการมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน
2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และนโยบายต่างๆ ของรัฐบาล
2.5.1 การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต ทั้งการให้บริการภายในและภายนอกองค์กร
2.5.2 ความสะดวกในการให้บริการของประชาชน / พนักงาน / ผู้มีส่วนได้เสีย เช่น การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online
2.5.3 การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ
2.5.4 One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว
2.5.5 ระบบ Back Office ที่สามารถ Share ข้อมูลกับหน่วยงานอื่นทั้งภายใน และภายนอกองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล
2.5.6 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการภายในและภายนอกองค์กร
2.6.1 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
2.6.2 การนำระบบเข้ามาช่วยการสื่อสารทั้งภายในและภายนอกองค์กร
2.6.3 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)
2.6.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

การบริหารและการควบคุมความเสี่ยงเป็นภาพใหญ่ของทุกองค์กร ที่ต้องคำนึงถึงสภาพแวดล้อมของธุรกิจ โดยเฉพาะอย่างยิ่งกิจกรรมที่เกี่ยวข้องกับกรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของ COSO ซึ่งอาจขยายความให้ครอบคลุมไปถึงความเสี่ยงทางด้านเทคโนโลยี (IT Security Risk) ได้ในทุกมุมมอง ดังนั้น ฝ่ายบริหารของทุกองค์กรควรพิจารณาและทบทวนความเข้าใจในเรื่องที่เกี่ยวข้องกับ IT Security Governance ซึ่งสัมพันธ์กับ IT Governance และ Corporate Governance อย่างแยกกันไม่ได้

และผมจะขยายความในเรื่อง IT Security Governance ในมุมมองของ COSO – ERM ซึ่งมีหลายเรื่องที่มีความสัมพันธ์กันอย่างใกล้ชิดและน่าสนใจยิ่ง ในโอกาสต่อ ๆ ไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 20, 2009

หลังจากที่ผมได้นำเสนอเรื่องของ Healthcare IT Security ของคุณหมอสุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมากในปัจจุบันนี้ รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ ไปแล้วนั้น

วันนี้ ผมจะเล่าสู่กันฟังถึงเรื่องการนำ IT Governance เข้ามาสู่การประเมินศักยภาพการบริหารความเสี่ยงของรัฐวิสาหกิจ โดย สคร. ก. การคลัง เพราะ ITG เป็นส่วนหนึ่งของ CG หรือ Corporate Governance ที่แยกกันไม่ได้ และมีองค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อน CG และ ITG อย่างสำคัญ ก็คือ การบริหารความเสี่ยงตามกรอบของ COSO – ERM ซึ่งผมได้นำ Slide มาเสนอแล้วในครั้งที่ผ่านมา

Translating Vision and Strategy to Performance Measurement

Translating Vision and Strategy to Performance Measurement

เกณฑ์การประเมินการบริหารความเสี่ยง ระดับที่ 5 : การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4

2. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ
2.1 แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร
2.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด
2.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

3. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
3.1 คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจาก การลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น
3.2 คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

4. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร หรือ

การที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 20, 2009

หลังจากที่ผมได้นำเสนอเรื่องของ Healthcare IT Security ของคุณหมอสุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมากในปัจจุบันนี้ รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ ไปแล้วนั้น

วันนี้ ผมจะเล่าสู่กันฟังถึงเรื่องการนำ IT Governance เข้ามาสู่การประเมินศักยภาพการบริหารความเสี่ยงของรัฐวิสาหกิจ โดย สคร. ก. การคลัง เพราะ ITG เป็นส่วนหนึ่งของ CG หรือ Corporate Governance ที่แยกกันไม่ได้ และมีองค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อน CG และ ITG อย่างสำคัญ ก็คือ การบริหารความเสี่ยงตามกรอบของ COSO – ERM ซึ่งผมได้นำ Slide มาเสนอแล้วในครั้งที่ผ่านมา

Translating Vision and Strategy to Performance Measurement

Translating Vision and Strategy to Performance Measurement

เกณฑ์การประเมินการบริหารความเสี่ยง ระดับที่ 5 : การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation)
1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 4

2. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ
2.1 แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร
2.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคลหรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยงและกรอบการบริหารความเสี่ยงที่แต่ละบุคคลหรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคลหรือสายงานนั้นเป็นผู้รับผิดชอบ ว่าความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด
2.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงานเพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

3. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
3.1 คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจาก การลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น
3.2 คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

4. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

คุณค่าเพิ่มจากการขับเคลื่อนการบริหารโดยใช้ ITG และศักยภาพที่ได้รับในมุมมองของ Intangible Assets

นอกจากนี้ยังรวมถึงการที่องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร หรือ

การที่องค์กรมีการบริหารความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 15, 2009
Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 15, 2009
Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance กับ COSO – ERM

พ.ค. 12, 2009

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance กับ COSO – ERM

พ.ค. 12, 2009

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การนำ IT Governance ไปประยุกต์ใช้ในการกำกับในหน่วยงานของรัฐบางประการ

พ.ค. 9, 2009

อีกมุมมองหนึ่งของ IT Governance คือ ดุลยภาพของกระบวนการบริหารความเสี่ยง กับการลงทุนทางด้าน IT โดยมีผลตอบแทนที่เหมาะสม ที่พิจารณาจาก Intangible Assets และ Tangible Assets ในระดับองค์กร

IT Governance เป็น หน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่นๆ ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็นกรอบ และองค์ประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย กลยุทธ์เพื่อสร้างศักยภาพ คุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนอย่างรู้คุณค่าให้กับองค์กรควบคู่กันไปกับหลักการกำกับดูแลกิจการที่ดีที่แยกกันไม่ได้ ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการตั้งแต่การวางแผน การจัดองค์กร การจัดพนักงาน การดำเนินการและการควบคุม
เทคโนโลยีสารสนเทศสร้างความเสี่ยงใหม่ๆ การสูญเสียโอกาสที่มีผลต่อประสิทธิภาพ ประสิทธิผลในการดำเนินการ การปฏิบัติตามนโยบาย กฎหมาย ระเบียบ ประกาศ คำสั่ง ฯลฯ รวมทั้งผลกระทบต่อความน่าเชื่อถือและความถูกต้องของการตรวจสอบและการจัดทำรายงาน ซึ่งเป็นหัวใจของการบริหารและการควบคุมภายในอย่างคาดไม่ถึงในการบริหารงานระดับต่างๆ ขององค์กร ดังนั้นการผสมผสานความสามารถด้านต่างๆ ขององค์กรกับศักยภาพของระบบงานและการจัดการเทคโนโลยีสารสนเทศที่ดี จึงเป็นทั้งหน้าที่ความรับผิดชอบที่ไม่อาจหลีกเลี่ยงได้ของคณะกรรมการและผู้บริหารระดับสูงของทุกองค์กรในปัจจุบัน

IT Governance ทำให้เกิดการบริหารและการบูรณาการที่เป็นระบบ มีระเบียบ เป็นขั้นตอน ลดความซ้ำซ้อน ลดความเสี่ยง เพิ่มศักยภาพโดยทำงานข้ามสายงานได้ และประสานงานระหว่างองค์กรได้อย่างรวดเร็ว ทันเวลา มีประสิทธิภาพสอดประสานกับ การดำเนินงานระดับต่างๆ จากการใช้ความสามารถและศักยภาพของเทคโนโลยีสารสนเทศ และทรัพยากรต่างๆ เพื่อการผลักดันความสำเร็จ ของการจัดการทั่วทั้งองค์กรอย่างเป็นกระบวนการ

ดังนั้น สคร. และกระทรวงการคลังจึงขับเคลื่อนกระบวนการบริหาร IT Governance ซึ่งเป็นกลไกหนึ่งของการขับเคลื่อน Corporate Governance ควบคู่กันไปกับการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง ซึ่งเป็นองค์ประกอบที่สำคัญในการสร้างคุณค่าเพิ่มและการเติบโตอย่างยั่งยืนในทุกองค์กร

ผมจึงขอนำเสนอหลักการและหลักเกณฑ์การประเมินคุณภาพการบริหารและการจัดการ การบริหารความเสี่ยง รวมทั้งการบริหารการจัดการสารสนเทศ ในบางส่วนของ สคร. โดยกระทรวงการคลังที่ได้กำหนดขึ้น และนำมาใช้ในการประเมินผลการบริหารการจัดการองค์กรของรัฐวิสาหกิจมา 4 ปีแล้ว

ITG & Value Creation

ITG & Value Creation

หลักเกณฑ์การประเมินการบริหารความเสี่ยงที่รวมการประเมินการบริหารการจัดการ IT Governance ของ สคร. แบ่งผลประเมินออกเป็น 5 ระดับ ได้แก่

ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงใน เชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น ระบุความเสี่ยงจากต้นเหตุเป็นส่วนใหญ่ แต่ยังมีกระบวนการบริหารความเสี่ยงแยกเป็นส่วนๆ รัฐวิสาหกิจมีการจัดทำคู่มือการบริหารความเสี่ยงแล้วแต่ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนฯ และไม่ต่างจากอดีต ที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 3 การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีการบริหารความเสี่ยงแบบบูรณาการ รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 3 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนฯ แต่ดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 4 การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 3 ซึ่งกลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 4 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนฯ และดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 5 การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 4 และมีกระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 5

รายละเอียดที่เกี่ยวข้องกับแนวทางการประเมินดังกล่าว จะได้นำมาเผยแพร่ต่อไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »