ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 4

ธันวาคม 13, 2016

โลกที่พลิกโฉม กับ ความเชื่อ ที่ผ่านกระบวนการกำกับของคณะกรรมการฯ และผู้นำประเทศ

ตอนที่3 ผมได้พูดถึงเรื่อง Internet of Things ที่เกี่ยวข้องกับการเข้าสู่ยุคที่สิ่งของสามารถเข้าถึงและเชื่อมต่อกันได้โดยผ่านอินเตอร์เน็ต ซึ่งมีผลทำให้การใช้ชีวิตประจำวันของเรา รวมทั้งการกำกับ การบริหารจัดการ การควบคุมและการตรวจสอบ การบรรลุเป้าหมายที่เป็นความต้องการของผู้มีผลประโยชน์ร่วม มีข้อสังเกตุและส่งผลไปยังแนวโน้มให้คณะกรรมการ ผู้บริหาร ที่มีภารกิจในการสร้างคุณค่าเพิ่ม (Value Creation) ตามความต้องการของผู้มีผลประโยชน์ร่วม ที่มีความต้องการที่แตกต่างกันนั้น ได้พบกับความท้าท้ายทางด้านเทคโนโลยี ที่สามารถเชื่อมต่อข้อมูลกับทั่วโลกไว้ในมือถือ ที่เล็กเพียงฝ่ามือ ที่ทำให้เราเข้าถึงข้อมูลได้ทั่วโลก ซึ่งสร้างคุณประโยชน์ต่างๆ มากมาย แต่ในอีกมุมมองหนึ่ง หากเราเข้าใจว่าเหรียญมีสองด้านแล้ว ก็อาจกล่าวได้ว่า คณะกรรมการ และผู้บริหาร ที่มีหน้าที่ในการกำหนดวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ในการก้าวไปสู่การสร้างคุณค่าเพิ่ม มีภัยที่แอบแฝง ที่มีความน่ากลัวเป็นอย่างมาก สำหรับความไม่พร้อมในการรับมือกับโลกธุรกิจที่ได้เปลี่ยนโฉมอย่างรวดเร็ว ด้วยเทคโนโลยีสารสนเทศที่มีใช้กันในทุกวันนี้

ประเด็นตามวรรคต้นก็คือ ประเทศชาติ องค์กร คณะกรรมการ ผู้บริหาร ผู้ปฏิบัติงาน มีความพร้อมที่จะสามารถสร้าง “ความน่าเชื่อถือ” ให้เกิดกับผู้มีผลประโยชน์ร่วม (Stakeholders) ในยุคดิจิตอลที่มีการพัฒนารวดเร็วได้อย่างไร และในฐานะที่ คณะกรรมการต้องมีความรับผิดชอบในการกำกับในโลกยุคใหม่ ที่แยกกันไม่ได้ระหว่างโลกธุรกิจ และโลกยุคดิจิตอล หรือยุค Internet of Things จะต้องคำนึงถึงการเปลี่ยนแปลงที่ยิ่งใหญ่ ที่เป็นการเปลี่ยนแปลงที่เรียกว่าเป็นลักษณะที่พลิกโฉม ต่อการดำเนินงานทางธุรกิจ ที่มีผลกระทบมาจากความก้าวหน้าทางเทคโนโลยี และนวัตกรรมต่างๆ ที่เกิดขึ้นอย่างรวดเร็ว โดยเฉพาะอย่างยิ่ง ผู้ให้บริการทางด้านการเงิน การบริการ ซึ่งอาจกล่าวได้ว่า ธุรกิจมีผลกระทบกระเทือนอย่างรุนแรงที่มีผลต่อความอยู่รอดของธุรกิจที่ได้เปลี่ยนแปลงหรือพลิกโฉม (Disrupt) การทำงานของคณะกรรมการ ที่มีหน้าที่ในการกำกับและดูแลกิจการของบริษัทต่างๆ ที่ควรจะประเมินศักยภาพ ความสามารถในการกำกับจากพลังของเทคโนโลยีใหม่ๆ ที่สร้างความได้เปรียบ หรือเสียเปรียบอย่างมีนัยสำคัญ ต่อการแข่งขัน และการเติบโตอย่างยั่งยืนในอนาคต โดยที่องค์กรไม่ถูก Disrupted จากยุค Internet of Things

นั่นคือ ความท้าทายที่สำคัญยิ่งที่แนวทางการกำกับในโลกยุคปัจจุบัน และในอนาคต การทำหน้าที่ของคณะกรรมการได้อย่างถูกต้อง สอดคล้องกับยุคของดิจิตอล ควรมีความตื่นตัวทางด้านเทคโนโลยี และต้องมองเห็นถึงประโยชน์ของเทคโนโลยีเชิงกลยุทธ์ที่ผ่านทางโทรศัพท์สมาทโฟน  (Smart Phone) ที่ผมอาจกล่าวได้ว่า ความมั่นคง ความปลอดภัย และการก้าวไปสู่ระดับการแข่งขัน ในโลกของดิจิตอลนั้น หากองค์กรใดไม่ใช้กลยุทธ์หรือประโยชน์ของเทคโนโลยีผ่านสมาทโฟนเป็นหลักก็จะมีปัญหาต่างๆ ในเรื่องความเสี่ยงภัย ที่มีผลกระทบ “ความเชื่อถือ” ซึ่งควรพิจารณาในลักษณะคุณประโยชน์ และผลกระทบจากความเสี่ยงจากการใช้เทคโนโลยีสารสนเทศยุคดิจิตอล ที่มีนวัตกรรมเป็นตัวขับเคลื่อนอย่างสำคัญ ที่ก่อให้เกิด Cybercrime and Cybersecurity แนวความคิดเบื้องต้นในช่วงนี้ ผมจึงอยากจะใช้คำว่า “Think negative but go in a positive way.”

Digital Transformation มีทั้งด้านสว่าง ด้านมืดหรือสีเทา ซึ่งนำไปสู่ความท้าทายของกระบวนการกำกับ การบริหาร ที่สามารถตอบความต้องการของผู้มีผลประโยชน์ร่วมได้เป็นอย่างดี หรือไม่ก็ได้

นั่นคือ รูปแบบการดำเนินธุรกิจแบบใหม่ ที่ถือเป็นกลยุทธ์ในยุคดิจิตอล ที่ผมใคร่ขอเน้นว่า กระบวนการสื่อสารควรจะรวดเร็ว ให้เหมาะสมกับ ยุค Internet of Things – IOT ที่การวางกลยุทธ์ควรจะใช้ หรือเชื่อมกับ Smart Phone

การเปลี่ยนโฉม การใช้ชีวิตของผู้คนทั่วโลกในทุกด้าน ซึ่งเกิดจาก Internet of Things – IOT / Digital Era เป็นความเปลี่ยนแปลงที่ขยายออกไปในวงกว้างอย่างต่อเนื่องไม่หยุดยั้งและรวดเร็ว เนื่องจากโครงสร้างพื้นฐานของประเทศต่างๆ และของประเทศไทยได้พัฒนาไปมาก โดยที่ต้นทุนของอุปกรณ์และองค์ประกอบต่างๆ ทางเทคโนโลยีมีราคาถูกลงมากยิ่งขึ้น ซึ่งมีข่าวว่า ต่อไป Smart Phone ที่มีราคาถูกและสามารถใช้การได้จะมีราคาเพียงเครื่องละประมาณ $10  ดังนั้นการเข้าถึงและการนำโทคโนลยีมาใช้ในแต่ละองค์กรที่มีผลต่อเศรษฐกิจ การเงิน การลงทุน การอุตสาหกรรม การให้บริการ และสังคม จะนำมาสู่การเปลี่ยนแปลงที่สำคัญยิ่ง ในโลกธุรกิจที่ได้พลิกโฉมใหม่ ซึ่งจะมีผลต่อการเปลี่ยนแปลงของผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน ในแทบจะทุกธุรกิจ ดังนั้น ในทีมของคณะกรรมการควรจะมีกรรมการ ที่มีความรู้ความสามารถในการกำกับการบริหารเพื่อการสร้างคุณค่าเพิ่ม ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม ที่นำเทคโนโลยีมาใช้และมีบทบาทสำคัญต่อการสร้างคุณค่าเพิ่มที่มีองค์ประกอบหลักๆ คือ การวางกลยุทธ์ และพันกิจ และนโยบายที่จะพาองค์กรก้าวไปสู่ผลประโยชนฺ์ที่องค์กรจะได้รับ ควบคู่กับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่ดีที่เหมาะสม ในรูปแบบของการกำกับแบบบูรณาการ ตามกรอบการดำเนินงานทางธุรกิจ สำหรับการกำกับดูแลและการบริหารจัดการไอทีระดับองค์กร และในระดับประเทศ ที่เรียกรวมๆ กันว่า Governance Enterprise of IT – GEIT ตามที่ผมได้เขียนไว้แล้วในบทความเรื่อง การพัฒนาเศรษฐกิจดิจิตอลกับความยั่งยืน เพื่อความก้าวหน้าของประเทศ

digital-threatscredit image: http://www.techprevue.com

ในปัจจุบัน หน่วยงานกำกับที่สำคัญๆ  เช่น กลต. ธปท. คปภ. และอาจจะรวมทั้ง สคร. และหน่วยงานที่ทำหน้าที่กำกับ (Regulators) และหน่วยงานที่ถูกกำกับ (Regulated Entities) ภายใต้การสังกัดของหน่วยงานที่เกี่ยวข้องดังกล่าว กำลังก้าวมาสู่แนวทางการกำกับยุคใหม่ที่อาจเรียกกว้างๆ ได้ว่า เป็นการกำกับในยุค GEIT ที่พิจารณาแนวทางกำกับความเสี่ยงทางด้านดิจิตอล ที่มีผลกระทบต่อผู้มีผลประโยชนน์ร่วม โดยพิจารณาจากมุมมอง การจัดการ การกำกับเทคโนโลยี และธุรกิจที่ได้ผลิกโฉมโดยการเปลี่ยนรูปแบบและกระบวนการกำกับการบริหารยุคใหม่อย่างเหมาะสม โดยเฉพาะทาง กลต. มีความก้าวหน้าในเรื่องนี้เป็นอย่างมาก

มาถึงขั้นตอนนี้ ผมก็แค่อยากจะย้ำว่า องค์กรของท่านมีความพร้อมแล้วหรือยัง ในการกำกับและการบริหารความเสี่ยงในรูปแบบใหม่ ซึ่งถึงแม้จะมีประโยชน์ในการมีการใช้เทคโนลยีใหม่ๆ เหนือจินตนาการ แต่ก็มีความเสี่ยงภัยใหม่ๆ ที่มีผลกระทบอย่างรุนแรงต่อธุรกิจของท่านได้ เช่น นอกจากความเสี่ยงทางด้าน IT Risk แล้ว ยังมีความเสี่ยงทางด้าน Cyber และการโจมตีที่เป็นอันตรายต่อข้อมูลที่เป็นความสำคัญของบริษัทที่เกิดขึ้นอยู่ตลอดเวลา ซึ่งในมุมมองนี้ คณะกรรมการ และผู้บริหารบริษัทต่างๆ  ที่มีความเข้าใจและคิดเพียงว่า จะป้องกันการโจมตีและ Cyber อย่างไร แต่ควรคิดว่าจะรับมืออย่างไร หลังถูกโจมตีทาง Cyber

ทั้งนี้เพราะ การโจมตีส่วนใหญ่ เกิดจากการโจมตีจากภายนอก เพราะผู้ไม่ปราถนาดี หวังประโยชน์ทางด้านการเงิน โดยมีรูปแบบในการโจมตีหลากหลาย ตั้งแต่รูปแบบที่มีการโจมตีอย่างง่ายๆ ไปจนถึงรูปแบบที่มีความซับซ้อน รูปแบบการโจมตีง่ายๆ ได้แก่ การส่งมัลแวร์มาทางอีเมล์ โดยปลอมเนื้อหา และผู้ส่งอีเมล์ที่ดูน่าเชื่อถือ เพื่อให้ผู้ที่เกี่ยวข้องดาวโหลดไฟล์หรือกดลิงก์ และเปิดช่องทางให้ผู้ไม่ปราถนาดีหรือคนร้าย เจาะเข้าไปยังคอมพิวเตอร์และแพร่กระจายไปยังระบบที่เชื่อมต่ออยู่  เรื่องนี้ คณะกรรมการและผู้บริหารระดับสูง มีโอกาสได้รับผลกระทบที่ไม่มีผลเฉพาะชื่อเสียงขององค์กร แต่มีผลกระทบในฐานะผู้รับผิดชอบด้วย

ทั้งนี้เพราะ ตามข่าว มีบริษัทที่มีชื่อเสียงหลายแห่งทั่วโลก ถูกผู้ถือหุ้นและผู้มีผลประโยชน์ฟ้องร้องหลังถูกโจมตีทาง Cyber เพื่อขโมยข้อมูลที่สำคัญ ดังนั้น คณะกรรมการ และผู้บริหารระดับสูง ต้องดูแลให้แน่ใจว่า ทั่วทั้งองค์กร ได้กำหนดนโยบาย การบริหารความเสี่ยง การควบคุม และการตรวจสอบที่ได้มาตรฐานหรือ มีกรอบตาม Good Practice ที่ยอมรับกันทั่วโลก เพื่อสร้าง “ความเชื่อถือ” จาก Internet of Things หรือภัยจากเทคโนโลยี

เรื่องที่ผมได้กล่าวตามข้างต้นนั้น มีผลกระทบต่อ โลกที่พลิกโฉมกับความเชื่อที่ผ่านกระบวนการกำกับของคณะกรรมการ ที่เกี่ยวข้องกับ “ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development” ทั้งสิ้น ครับ

เรื่องในตอนที่ 4 นี้ ท่านผู้อ่านคงสังเกตุนะครับว่า ผมย้ำในเรื่องเกี่ยวข้องกับความน่าเชื่อถือ จะเกิดขึ้นได้ในโลกยุคดิจิตอล และวิวัฒนาการในการพัฒนานวัตกรรมทางการเงิน การบริหาร การจัดการ การแข่งขัน และอื่นๆ ที่มีผลกระทบต่อเศรษฐกิจและสังคม เพื่อการเจริญเติบโตอย่างยั่งยืนของประเทศไทยเราทั้งสิ้น และใคร่ขอย้ำว่า ความเสี่ยงภัยที่เกิดจาก Internet of Things / Digital Disruption / Digital Era  ในยุคปัจจุบันและจะมีการเปลี่ยนแปลงอีกมากมายในอนาคต โดยเฉพาะธุรกิจการเงินและการบริการ และการผลิต รวมทั้งความมั่นคงของประเทศนั้น จะขึ้นอยู่กับ ความเป็นผู้นำของประเทศ ความเข้าใจของคณะกรรมการ กรรมการตรวจสอบ ผู้บริหารระดับสูง ผู้ปฏิบัติงานในระดับต่างๆ ที่มีส่วนเกี่ยวข้องกับความพึงพอใจของผู้มีผลประโยชน์ร่วม ที่มีความต้องการที่แตกต่างกัน

สรุปในตอนที่ 4 นี้ว่า Reputation Risk และการสร้างความน่าเชื่อถือเพื่อการเจริญเติบโตอย่างยั่งยืนนั้น ขึ้นอยู่กับผู้นำของประเทศและขึ้นอยู่กับผู้นำขององค์กรเป็นสำคัญ

กระบวนการก้าวสู่ Digital transformation นั้น มีความเสี่ยงที่ท้าทายคณะกรรมการฯ คณะกรรมการตรวจสอบ ผู้บริหารระดับสูง ควรพิจารณาหลายประการ ซึ่งผมจะเล่าสู่กันฟังในตอนต่อๆ ไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 3

ตุลาคม 4, 2016

ผลประโยชน์ทางสังคมกับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

การวางเป้าหมายกับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน ควรมองภาพไปข้างหน้าในระยะยาวว่า การพัฒนาใดๆ ที่ไม่สามารถตอบสนองความต้องการของสังคมได้ หรือไม่สามารถจัดการความขัดแย้งทางผลประโยชน์ของผู้มีผลประโยชน์ร่วมที่มีความต้องการแตกต่างกันได้ หรือสังคมไม่มีความเชื่อถือต่อประเทศ/องค์กรที่แน่นอนว่า สังคมโดยรวมจะมุ่งประเด็นไปที่ ประเด็นความไม่น่าเชื่อได้ของคณะกรรมการและ/หรือผู้บริหาร ที่มีนัยสำคัญ เช่น หากรัฐหรือภาคเอกชน ที่ไม่สามารถจัดการผลประโยชน์ทางสังคม ที่ประชาชนส่วนใหญ่ต้องการได้ในระยะสั้น และในระยะยาว ก็ขาดนโยบาย ขาดวิสัยทัศน์ ขาดพันธกิจ ที่สังคมต้องการ เพื่อตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างมาก โดยเฉพาะทางด้านเทคโนโลยีสารสนเทศ เช่น เศรษฐกิจดิจิตอล และ/หรือ Internet of Things ซึ่งอาจจะมีความหมายไปถึงกระบวนการพัฒนาทุกสิ่งจะเกี่ยวข้องกับกระบวนการสื่อสารที่เรียกว่า “อินเทอร์เน็ต” ที่เชื่อมโยงอุปกรณ์ ผลิตภัณฑ์ และการบริการต่างๆ ในทุกเรื่อง ในทุกมุมมอง ที่จะให้อุปกรณ์ที่มีเทคโนโลยีล้ำยุคสามารถสื่อสารกันเองได้ โดยตอบสนองความต้องการของผู้ใช้แบบบูรณาการ อย่างที่อาจเรียกได้ว่า ไร้ขอบเขตจำกัด ที่ขับเคลื่อนไปด้วยกันกับระบบการสื่อสารและการใช้ platform ซึ่งในที่นี้หมายถึง เทคโนโลยีพื้นฐานของเทคโนโลยีหรือกระบวนการอื่น หรือ ฐานของระบบนั้นๆ  ถ้าเป็นวงการเกมส์ Platform ก็จะหมายถึงเครื่องที่ใช้เล่น เช่น PC, PS3, PS4, Xbox หรืออาจจะพิจารณาในมุมมองของการตลาด ซึ่งมุ่งเน้นไปยัง  SMAC – Social, Mobile, Analytical/Big data, Consumeration of IT, Cloud

digital-is-iot

ทั้ง 5 องค์ประกอบหลัก ที่เกี่ยวข้องกับสังคมของการพัฒนาเพื่อการเติบโตอย่างยั่งยืนนี้ จะเกี่ยวข้องกับยุคดิจิตอล และนวัตกรรมทางด้านเทคโนโลยี ซึ่งมีผลไปยังเศรษฐกิจและสังคมในทุกมิติ ไม่ว่าจะเป็นเรื่องของการผลิต การให้บริการ ที่ก่อให้เกิดการสร้างคุณค่าเพิ่มอเนกอนันต์ ต่อผู้ใช้ผลิตภัณฑ์ที่มีคุณภาพในราคาที่ถูก และเป็นมิตรกับสิ่งแวดล้อมและสังคมเป็นอย่างมาก

ตามที่ผมได้เกริ่นนำในวรรคต้นที่เกี่ยวข้องกับ SMAC ทั้ง 5 องค์ประกอบนี้นั้นก็คือ Internet of Things นั่นเอง ตัวอย่างเช่น การเชื่อมโยง internet เข้ากับอุปกรณ์ของใช้ทั้งที่มีตัวตน และไม่มีตัวตนเข้าด้วยกันเพื่อก่อให้เกิดคุณค่าเพิ่มในการใช้สอยในอัตราที่เพิ่มขึ้นอย่างทวีคูณ ซึ่งในอนาคตไม่ไกลนัก พฤติกรรมของมนุษย์จะเปลี่ยนแปลงไปและมีความสะดวกสบายอย่างมากมาย

ดุลภาพและความเข้าใจของการใช้เทคโนโลยีสารสนเทศเพื่อรองรับการเติบโตของยุคดิจิตอล

การสร้างดุลภาพและความเข้าใจในการพัฒนาบุคลากรให้มีความรู้ความสามารถที่จะใช้โอกาสของการพัฒนาเทคโนโลยีในทุกมิติ เพื่อประโยชน์ต่อประเทศชาติและสังคมนั้น ผู้กำกับและผู้บริหารภาครัฐและภาคเอกชน ต้องมีวิสัยทัศน์และกำหนดเป้าหมายที่ชัดเจน ในการวางแผนระยะยาว เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม ในการสร้างคุณค่าเพิ่มให้เกิดขึ้นได้อย่างยั่งยืน โดยมีหลักการ กระบวนความคิดในการทำงาน ที่สามารถนำไปใช้จนเกิดเป็นวินัย ฝังรากลึกเข้าไปในมโนธรรม จริยธรรม และวัฒนธรรม เพื่อให้เกิดการเรียนรู้สิ่งใหม่ๆ และเกิดการพัฒนาไปสู่การเรียนรู้ไปตลอดชีวิต เพราะเทคโนโลยีและนวัตกรรมที่เกี่ยวกับการมี การใช้เทคโนโลยี ได้ก้าวหน้าไปอย่างรวดเร็ว จนทำให้ผู้กำกับและผู้บริหารบางส่วนอาจจะตามไม่ทันกับสภาพแวดล้อมที่เอื้อต่อการพัฒนางาน และพัฒนาคน ให้เหมาะสมกับรูปแบบของการพัฒนาองค์กรเพื่อให้เกิดความยั่งยืนยุคใหม่

การพัฒนาประเทศและองค์กรให้เป็นไปตามเป้าหมายการพัฒนาฯ

การกำหนดเป้าหมายที่ชัดเจน เป็นจุดเริ่มต้นของการพัฒนประเทศและองค์กรให้ประสบความสำเร็จ อาจจะเริ่มต้นด้วยการประเมินตนเอง ในระดับประเทศและระดับองค์กร ซึ่งผมได้กล่าวไปบ้างแล้วในตอนที่ 1 นั้น เราลองมาศึกษาแนวความคิดที่เกี่ยวข้องกับเป้าหมายในการสร้างสังคมที่ดี ซึ่งเป็นเป้าหมายที่สูงกว่า เป้าหมายการสร้างองค์กรที่ดี ซึ่งในยุคปัจจุบันมีนัยและมีความสำคัญยิ่ง ในการทำความเข้าใจเพื่อก้าวไปสู่ประเทศและองค์กรที่มีการพัฒนาเพื่อการเติบโตอย่างยั่งยืน ตามบทบาทและหน้าที่ที่รับผิดชอบในระดับต่างๆ ได้ ดังนั้น ความคิดที่เกี่ยวข้องกับการสร้างระบบ การกำกับดูแล และการบริหารจัดการระดับองค์กรที่ดีนั้น ควรจะถูกผลักดันโดยผู้มีผลประโยชน์ร่วมที่เกี่ยวข้อง เพื่อการสร้างคุณค่าเพิ่มหรืออาจจะกล่าวได้ว่า เป็นการสร้างคุณค่าเพิ่มตามหลักการระบบธรรมาภิบาล หรือ Governance ที่ต้องคำนึงถึงความก้าวหน้าทางเทคโนโลยีสารสนเทศ และนวัตกรรมต่างๆ ทั้งทางด้านการเงิน การผลิต การบริการ เพื่อให้สังคมได้รับประโยชน์อย่างเต็มที่ โดยมีต้นทุนการบริหารจัดการที่มีประสิทธิผล และมีประสิทธิภาพเหมาะสมกับผู้ใช้ นั่นคือ Governance ยุคใหม่ จะต้องเป็น Governance of Enterprise IT – GEIT

Governance of Enterprise IT – GEIT เพื่อการเติบโตอย่างยั่งยืน

GEIT สามารถลดช่องว่างของความเหลื่อมล้ำต่างๆ ไม่ว่าจะเป็นทางด้านสังคม ด้านเศรษฐกิจ การเงิน การบริการ การผลิต การศึกษา ฯลฯ เพื่อการเติบโตอย่างยั่งยืนได้อย่างไรนั้น ผมได้เกริ่นนำไว้ในวรรคแรกของตอนที่ 3 นี้แล้ว ในเรื่องที่เกี่ยวข้องกับ Internet of Things ซึ่งผมขอเล่ารายละเอียดให้ท่านผู้อ่านในตอนต่อไปนะครับ

1 ความเห็น | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 2

สิงหาคม 10, 2016

เทคโนโลยีสารสนเทศและการสื่อสาร กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

หากประเทศไทยของเรา องค์กรของเรา ครอบครัวของเรา พ่อแม่ของเรา และ ตัวของเราเอง อาจขาดทัศนคติ ขาดวิสัยทัศน์ ขาดการเปิดใจ หรือเป็นคนช่างสังเกต ช่างคิด ช่างวิเคราะห์ถึงสภาพแวดล้อมที่แตกต่างกันไปอย่างมากมาย ในยุคดิจิตอลปัจจุบัน ถึงผลกระทบที่เกิดขึ้นต่อการพัฒนาของประเทศต่างๆ ที่มีความแตกต่างกันมาก สำหรับประเทศตะวันตกหรือประเทศในสหรัฐอเมริการกับประเทศต่างๆ ในตะวันออก เอเชีย และอาฟริกา ว่าทำไมระดับความเจริญ ระดับการพัฒนา ที่สะท้อนถึงความก้าวหน้าในมิติต่างๆ ของการพัฒนาบ้านเมืองในประเทศของเขา การพัฒนาคนของเขา ที่ส่วนใหญ่มาจากการพัฒนาทางความคิด ในเชิงวิเคราะห์อย่างสร้างสรรค์ และมีการพัฒนานวัตกรรมต่างๆ ทั้งในเชิงการผลิตสินค้า และบริการ เชิงการบริหารการจัดการที่ดี เชิงการวิเคราะห์ความเสี่ยง เชิงการวิเคราะห์การควบคุม และมิติอืนๆ ที่เกี่ยวข้องกับการพัฒนา เพื่อประโยชน์ในการสร้างคุณค่าเพิ่มให้กับคนในประเทศของเขา รวมทั้งการเรียนการสอน และการสื่อสารที่เชื่อมโยงและมีความคิดตั้งแต่การพัฒนาในวัยเด็ก ให้รู้จักคิด รู้จักถาม รู้จักสังเกตสิ่งแวดล้อม การสร้างวินัย การอบรมบ่มนิสัยเด็กๆ ไปจนเติบโตไปถึงผู้ใหญ่ และก้าวไปสุ่วัยการทำงาน ก็มีกาาสื่อสารในการปรับปรุงต่างๆ ให้เหมาะสม มีการพัฒนากระบวนความคิด กระบวนการเรียนรู้ตลอดชีวิต ที่ผสมผสานกับการพัฒนาทางเทคโนโลยีสารสนเทศ ที่ก่อให้เกิดนวัตกรรมใหม่ๆ การสร้างงานใหม่ๅ การสร้างบริการใหม่ๆ และการสร้างโอกาสใหม่ๆ เพื่อให้ได้เปรียบในเชิงการแข่งขันระหว่างคนในประเทศ และระหว่างประเทศ ซึ่งจะตามมาด้วยโอกาสในการสร้างงานใหม่ๆ ด้วยนวัตกรรมและเทคโนลีใหม่ๆ เพื่อการสร้างอนาคต และสร้างตำแหน่งงาน ให้กับคนในประเทศองเขาเพื่อรองรับการเปลี่ยนแปลง และผลกระทบที่เกิดจากความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ซึ่งสะท้อนมายังการสร้างผลิตภัณฑ์มวลรวมของประเทศ และวัดความก้าวหน้าและผลสำเร็จกันได้ด้วยรายได้ หรือผลิตภัณฑ์ต่อหัวที่แสดงถึงความสามารถของประเทศโดยรวม เพื่อแสดงถึงการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

ตามที่ผมกล่าวข้างต้นนั้น ท่านเชื่อไหมครับว่า ประเทศที่มีวิสัยทัศน์ดังกล่าวข้างต้น สามารถรักษาการพัฒนาเพื่อการเติบโตอย่างยั่งยืนในอนาคตได้อีกยาวไกล หากไม่มีการเปลี่ยนแปลงจุดยืนของประเทศที่ถ่ายทอดลงมาตามลำดับ ด้วยวิธีการสื่อสารที่ทันสมัยและเหมาะสม อย่างทั่วถึงไปยังประชาชนทุกวัยของเขา

โปเกม่อน โก กับการสร้างคุณค่าเพิ่มจากเกมยุคดิจิตอล

ก่อนที่เกมส์นี้จะมาถึงประเทศไทยในวันที่ 6 สิงหาคม 2559 นั้น เราส่วนใหญ่ก็ได้เห็นความดังของโปรแกรมเกมส์นี้ ผ่านจอทีวี ที่เผยแพร่ด้วยภาพแสดงความตื่นเต้นของประชาชนในประเทศต่างๆ ที่ได้เล่นเกมส์แสนสนุกและท้าทายมากของเกมส์นี้ และผู้พัฒนาโปรแกรมเกมส์โปเกม่อน โก สามารถทำรายได้อย่างมหาศาล เพียงการเปิดตัวไม่กี่สัปดาห์ ทั้งๆ ที่เป็นเพียงเกมส์ออนไลน์เกมส์หนึ่ง แต่อาศัยความรู้ความเข้าใจที่ผสมผสาน และสร้างจินตนาการของเกมส์นี้ให้สนุกโดยผ่านเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการใช้บอร์ดแบรนด์ 4G++ หรือ wifi ที่มีความเร็วในการรับ-ส่งข้อมูลมากพอที่สามารถเชื่อมโยงกับระบบ GPS ในการจับสถานที่ต่างๆ เพื่อการเล่นเกมส์นี้ได้ทั่วแห่งทั่วโลก แม้กระทั่งในบ้านของเราเอง และเกมส์นี้เป็นเกมส์เสมือนจริง / Virtual โดยใช้ศักยภาพทางด้านเทคโนโลยี GPS ของ Google กับผู้พัฒนาโปรแกรมเกมส์ Pokemon Go ของ Nintendo ซึ่งผมเองได้ทดลองเล่นในวันที่ 7 สิงหาคม 2559 ที่หัวหิน และกลับมาเล่นต่อที่บ้าน เพื่อศึกษาว่าทำไมเกมส์นี้จึงเป็นที่นิยมกันแพร่หลายทั่วโลกอย่างน่าแปลกใจ ซึ่งสังเกตจากความสนใจจากผู้คนในประเทศฝรั่งเศส ประเทศออสเตรเลีย ประเทศอเมริกา และอีกหลายประเทศทั่วโลกที่มีการเปิดบริการเกมส์นี้ให้เล่นแล้ว

ความสนุกของโปรแกรมเกมส์นี้ เท่าที่ผมได้ทดลองเล่นก็คือ ผมสามารถจับตัวโปเกม่อนได้ง่ายๆ ที่บ้านผมเอง โดยตัวการ์ตูนได้แสดงเป็นภาพเสมือนตัวผมเองที่อยู่ในซอยบ้านผมที่ปรากฎในแผนที่จริงตาม GPS ที่แสดงตำแหน่งที่ผมอยู่ รวมทั้งสภาพแวดล้อมในแถบบริเวณบ้านผม ซึ่งผมตื่นเต้นตั้งแต่วินาทีแรกที่ผมเห็นภาพเสมือนจริงเหมือนสภาพแวดล้อมที่ผมคุ้นเคย และแปลกใจว่าผู้พัฒนาโปรแกรมเกมส์นี้ทำได้อย่างไร ความสนุกอยู่ที่ผมต้องติดตามอ่านคำสั่งที่มีขั้นตอนที่ชัดเจนเป็นภาษาอังกฤษ ให้หาตัวโปเกม่อน ที่อยู่ในบ้านผม และใกล้กับผมเอง ซึ่งในที่สุดผมก็หาจนเจอโดยใช้เวลาไม่มากนัก ตอนนี้เป็นตอนที่ได้ความสนุกมากที่สุด ซึ่งเป็นความฉลาดของผู้พัฒนาโปรแกรมเป็นอย่างยิ่ง เพราะผู้ที่เล่นใหม่ทุกคน สามารถจับโปเกม่อนที่อยู่ใกล้ตัวได้ในเวลาไม่นาน และก็สามารถเก็บตัวโปเกม่อนไว้ในลูกบอลได้ ขั้นตอนต่อไปของเกมส์นี้ก็คือ สั่งว่าให้ไปหาตัวโปเกม่อนที่เสาไฟฟ้าข้างบ้าน ผมจึงต้องลงจากบ้านที่อยู่ชั้นสอง ลงไปชั้นล่างที่ใกล้กับเสาไฟฟ้า และในที่สุดพบก็พบโปเกม่อนตัวที่ 2 ตามที่โปรแกรมบอกมา ตัวที่ 2 นี้ เริ่มต้องใช้ความพยายามมากขึ้น โดยเคลื่อนตัวเองให้ออกจากบ้านมาหาโปเกม่อนใกล้ๆ บ้าน เป็นการออกกำลังกายชนิดหนึ่งในเบื้องต้น ที่สามารถทำให้ภรรยาผม ซึ่งคอยจ้องดูการกระทำของผมนึกสนุกไปด้วย หากผมยังมีลูกเล็กๆ ลูกคงตามผมลงไปจับโปเกม่อนตัวที่ 2 ด้วยแน่ๆ ความสนุกสนาน ความใกล้ชิดก็จะเกิดขึ้นระหว่างบุคคลในครอบครัวมากขึ้น และมีการเรียนรู้ด้วยกัน จากคำสั่งที่มาเป็นภาษาอังกฤษ ซึ่งเราสามารถที่จะสื่อสารกับคนในครอบครัวได้ เป็นการเรียนรู้จากของจริงโดยไม่เบื่อหน่ายเลย

จากนั้นโปรแกรมก็จะสั่งต่อให้ไปหาโปเกม่อนตัวที่ 3 ซึ่งอาจจะอยู่ใกล้บ้าน หรือต้องเดินมากขึ้น หรือบางท่านที่เล่นอาจจะพบโปเกม่อนตัวที่ 3 ในบ้านอีก เช่น ศาลพระภูมิ ซึ่งในเมืองไทยจะผูกตัวโปเกม่อนให้เข้ากับวัฒนธรรม และความเชื่อ ในสถานที่ต่างๆ และขั้นตอนต่อไปก็จะออกไปไกลยิ่งขึ้น อย่างเช่น ลูกของผมไปจับโปเกม่อนที่สวนพฤกษชาติใกล้บ้าน ซึ่งผู้คนที่อยู่ในสวนนี้ต่างเล่นโปเกม่อน โก กันอย่างสนุกสนาน ทำให้รู้จักกับผู้คนที่เข้ามาใช้บริการในส่วนนี้อย่างสนิทสนมและเป็นกันเอง โดยไม่เขอะเขิน ซึ่งแตกต่างจากการไปออกกำลังกายของผมและลูกๆ ที่เคยไปออกกำลังกายในสถานที่แห่งนี้ในอดีต ที่ส่วนใหญ่จะคุยกับบุคคลในครอบครัวเท่านั้น แนวคิดนี้ จึงเป็นการสร้างมิตรภาพ ความรักความสมานฉันท์ ของบุคคลในชุมชนอย่างนุ่มนวล ทำให้เรารู้จักทักทายกันมากขึ้น ง่ายขึ้น ยิ้มแย้มเข้าหากันอย่างสนิทใจ โดยมีเพียงโปรแกรม Pokemon Go นี้ เป็นเกมส์ในการสื่อสารที่แสนวิเศษ

นอกจากนี้ โปรแกรมเกมส์นี้ ท่านผู้อ่านที่ติดตามทางทีวี และผู้ที่เล่นเกมส์นี้มากกว่าผมคงจะได้รับประสบการณ์ในการหาตัวโปเกม่อนตัวต่อๆ ไป ในสถานที่อื่นๆ และในบางกรณี ต้องเดินทางไปต่างประเทศ เพื่อจับตัวโปเกม่อนที่ถูกออกแบบไว้ให้มีเฉพาะภายในประเทศนั้น หรือสถานที่ที่กำหนดไว้เท่านั้น เมื่อเช้าวันอังคารที่ 9 สิงหาคม 2559 ผมดูทีวี มีภาพชายหนุ่มคนหนึ่งในประเทศอเมริกาที่จับตัวโปเกม่อนต่างสายพันธ์ุได้ 145 ตัว ครบกำหนดตามโปรแกรมที่กำหนดไว้ และเขาได้ให้สัมภาษณ์ว่าจะยังคงติดตามเกมส์นี้ต่อไปเพราะสนุกมาก และเชื่อมั่นว่าผู้พัฒนาโปรแกรมเกมส์นี้จะมีเวอร์ชั่นใหม่ๆ ออกมาตามลำดับ และน่าสนใจยิ่งกว่านี้

การสร้างโอกาสทางธุรกิจจากบทเรียน Pokemon GO V.01

เท่าที่ผมเล่าให้ท่านผู้อ่านฟังโดยย่อนั้น ท่านเห็นภาพและเกิดจินตนาการหรือความสงสัยประการใดบ้างหรือไม่ครับว่า ผู้พัฒนาโปรแกรมเกมส์นี้ มีความคิดอย่างไร และนำนวัตกรรมทางเทคโนโลยีสารสนเทศและการสื่อสารยุคใหม่ มาประยุกต์ให้เข้ากับเกมส์ที่ดูเสมือนจริง และทำให้เกิดความสนุกสนาน รวมทั้งการสร้างคุณค่าเพิ่มให้กับบริษัทผู้พัฒนา และผู้มีผลประโยชน์ร่วมของกลุ่มผู้พัฒนา และต่อสังคมในประเทศของเขา และทั่วโลกได้อย่างไร ถึงแม้ว่า การจับตัวโปเกม่อนในช่วงต่อๆ ไป จะเป็นความท้าทายที่นอกเหนือจากการจับตัวโปเกม่อนที่บ้านง่ายๆ อาจต้องไปตามจับยังสถานที่อื่นๆ เช่น ที่สนามหลวง วัดพระแก้ว สวนหลวง ร.9 และสถานที่น่าสนใจต่างๆ ของประเทศไทย และทั่วประเทศที่มีสถานที่ท่องเที่่ยว และบางครั้งต้องไปจับตัวโปเกม่อนในน้ำ หรืออาจจะเลยเถิดไปกว่านั้นก็คือต้องไปตามจับโปเกม่อนในสถานที่เป็นความลับของทางราชการ ก็จะเกิดทั้งความสนุกและความเสี่ยงของผู้เล่นกันไป จินตนาการแบบนี้เขาทำกันได้อย่างไร สร้างกันได้อย่างไร เช่น ตัวอย่างง่ายๆ อย่างที่ผมเล่าให้ฟังในวรรคก่อน ผมไม่เคยเล่นเกมส์ แต่เพียงแค่ดาวโหลดโปรแกรมมาจากระบบ Cloud ซึ่งระบบนี้สามารถใช้งานและสร้างศักยภาพในการบริหารจัดการเทคโนโลยีสารสนเทศ และสามารถลดต้นทุนได้อย่างมหาศาล ถ้ารู้จักการบริหารความเสี่ยงที่เหมาะสม อย่าลืมนะครับว่า การบริหารความเสี่ยงมี 2 มิติใหญ่ๆ ก็คือ ความเสี่ยงที่เป็นเชิงลบ ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของประเทศ ขององค์กร ของสายงานต่างๆ ในองค์กร และผลกระทบเชิงลบต่อบุคคลากรในองค์กร หรือประเทศนั้น หรือแม้แต่ตัวเราเอง และความเสี่ยงในเชิงบวกที่สามารถสร้างคุณค่าเพิ่มได้จากเหตุการณ์ที่เกิดขึ้น เช่น

ในกรณีความเสี่ยงเชิงลบที่มีผลกระทบที่อาจก่อให้เกิดความเสียหายได้ เช่น กรณีโปเกม่อน ที่ถูกผูกเข้าไว้ให้ไปหาในสถานที่ที่เป็นความลับทางทหาร ความลับของทางราชการ หรือตัวโปเกม่อนที่ไปอยู่บ้านคนอื่น หรือแม้กระทั่งอยู่ในน้ำ หากผู้เล่นมุ่งมั่นจะจับตัวโปเกม่อนให้ได้ แม้กระทั่งยามวิกาลโดยการบุกรุก อาจจะไม่ตั้งใจ เข้าไปในสถานที่ต้องห้ามอย่างไม่รู้ตัว ก็พิจารณาได้ว่า เป็นการฝ่าฝืนข้อห้ามหรือเป็นการกระทำที่มิชอบในการบุกรุกสถานที่ราชการ หรือสถานที่ที่เป็นความมั่นคงทางทหาร ก็อาจจะเกิดความเสียหายร้ายแรงถึงขึ้นเสียชีวิตได้ หรืออย่างน้อยอาจถูกจับได้ตามที่เป็นข่าวทางทีวี เป็นต้น ซึ่งกรณีนี้ ผู้พัฒนาโปรแกรมเกมส์โปเกม่อน ซึ่งเป็นผู้ผูกตัวโปเกม่อนไว้ในสถานที่ต่างๆ ทั้งในระบบเปิด เช่น ที่บ้านของเรา ที่บ้านของคุณ สถานที่ทำงานของคุณ สถานที่ทำงานของเรา เพื่อเป็นการสร้างความตื่นเต้นให้ผู้เล่นที่ดาวโหลดโปรแกรมนี้ได้พบกับตัวโปเกม่อนได้อย่างง่ายดาย กรณีเช่นนี้ ผมเรียกว่า เป็นการผูกตัวโปเกม่อนไว้กับระบบเปิด โดยมีวิธีการที่ผมเข้าใจว่า ผู้พัฒนาโปรแกรมได้ผูกระบบ GPS เข้ากับสมาร์ทโฟนของผู้เล่นเกมสนี้ในขณะนั้น ในเวลานั้น เมื่อเป็นเช่นนี้ การ mapping ตัวโปเกม่อนเข้ากับตัวผู้เล่นที่เขาอยู่หรือใช้งานในตอนต้น ผู้เล่นก็สามารถจับตัวโปเกม่อนได้อย่างง่ายดายและน่าตื่นเต้นยิ่ง เป็นความสุขที่เกิดขึ้นทันทีที่เล่นเกมส์นี้

ในกรณีความเสี่ยงเชิงบวก ตัวอย่างง่ายๆ ก็คือ การสร้างคุณค่าเพิ่มจากโอกาสทางธุรกิจจากโปรแกรมเกมส์นี้ โดยประชาสัมพันธ์ให้ไปจับตัวโปเกม่อน ในสถานที่ที่เป็นร้านอาหาร หรือที่พัก เช่น ศาลาแม่ริม ที่เชียงใหม่ หรือสถานที่อื่นๆ เช่น สถานที่ท่องเที่ยวต่างๆ วัดวาอาราม โรงแรม เป็นต้น สามารถสร้างคุณค่าเพิ่มได้ โดยอาศัยแนวความคิดของผู้พัฒนาโปรแกรมเกมส์นี้มาใช้ให้เกิดประโยชน์กับธุรกิจของตนเอง เช่น การผูกระบบ GPS กับสถานที่ที่เราต้องการสร้างคุณค่าเพิ่ม และประชาสัมพันธ์ว่ามีโปเกม่อนสายพันธุ์หายาก อยู่ในสถานที่นั้นๆ ก็จะเรียกความสนใจให้กับผู้เล่นเกมส์นี้ได้เป็นอย่างมาก ให้เข้ามาในสถานที่ที่เราประชาสัมพันธ์อย่างง่ายดายและต้นทุนต่ำ ยกตัวอย่างเช่น ตั้ง ศาลาแม่ริม เชียงใหม่ หรือที่สยามพารากอน เป็น Pokestop เพื่อเป็นจุดจับโปเกม่อนมากมาย หรือหลายสายพันธุ์ได้ ซึ่งจะเป็นจุดดึงดูดให้ผู้คนมาใช้หรือรับบริการมากขึ้น เป็นต้น

ท่านสามารถสร้างคุณค่าเพิ่มจากโปรแกรม Pokemon Go ได้หรือยังครับ

หากการเล่นสนุกตามเกมส์โปเกม่อน สามารถบันดาลใจให้ท่านเกิดความคิดเชิงบวก และเชิงลบที่ผสมผสานกันอย่างลงตัว เพื่อให้เกิดเชิงบวกสุทธิ ในการสร้างคุณค่าเพิ่มกับธุรกิจของท่าน หรือตัวท่านเอง ผมเข้าใจในเบื้องต้นว่า เราลองศึกษาและผูกความเข้าใจใน Logic / ตรรกะ เชิงความคิดต่อยอดให้มากกว่าที่ผมอาจเข้าใจได้ไม่มากนัก ตามที่กล่าวข้างต้นได้ก็น่าจะเป็นประโยชน์อย่างยิ่ง ต่อการสร้างความเชื่อในมิติที่ว่า เทคโนโลยีสารสนเทศก็คือทรัพย์สิน หรือ Asset ที่ทรงคุณค่ายิ่งในโลกดิจิตอลปัจจุบันนี้ครับ นี่คือการสร้างความเชื่อที่เป็นไปตามหลักการ และเป็นไปตามกรอบความคิดที่มีนิมิตร เชื่อมโยงนวัตกรรมที่เกิดจากความเข้าใจในด้านเทคโนโลยีสารสนเทศ ที่มีความเกี่ยวพันกับธุรกิจที่สามารถสร้างคุณค่าเพิ่มในระดับประเทศและระดับองค์กร ระดับสายงาน และตัวเราเองได้ ซึ่งจะนำไปสู่การพัฒนาที่เติบโตอย่างยั่งยืนขององค์กร และประเทศชาติได้ในที่สุด ครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเชื่อ กับ การพัฒนาการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 1

กรกฎาคม 5, 2016

หลังจากที่ผมได้จบบทความเรื่อง เศรษฐกิจดิจิตอล หรือ Digital Economy ซึ่งเขียนมารวม 15 ตอน ไปแล้วนั้น ผมได้จบเรื่องเศรษฐกิจดิจิตอลลงในเรื่องที่เกี่ยวข้องกับการบริหารความเสี่ยง ที่เกี่ยวข้องกับกระบวนการกำกับของ Regulators การบริหารการจัดการของผู้บริหารระดับสูง ซึ่งเป็นเรื่องของ Management ซึ่งได้แยกบทบาทที่ชัดเจนของความรับผิดชอบที่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม ซึ่งเป็นผู้ขับเคลื่อนความต้องการสร้างผลประโยชน์ที่จะได้รับควบคู่กับ การบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่มีประสิทธิภาพ โดยสรุปก็คือ การสร้างคุณค่าเพิ่ม หรือ Value Creation เพื่อสนองตอบความต้องการต่างๆ ของผู้มีผลประโยชน์ร่วม ที่มีความต้องการที่แตกต่างกัน หากท่านผู้อ่านสนใจก็สามารถติดตามได้จากบทความนี้ตามที่กล่าวแล้วนะครับ

ท่านผู้อ่านบางท่านได้แบ่งปันเรื่อง Digital Economy กับผม หลังที่ผมได้จบบทความแล้ว หรือถามผมว่าทำไมไม่อธิบายเรื่องความเสี่ยงที่เกี่ยวข้องกับการกำกับ และการบริหาร รวมทั้งการจัดการกับทรัพยากรที่แยกกันไม่ได้ในการสร้างคุณค่าเพิ่ม ผมได้ตอบไปว่า เป็นคำถามที่ดีมากครับ แต่บทความเศรษฐกิจดิจิตอลจะต้องต่อไปอีกหลายตอนมากๆ ซึ่งอาจทำให้ผู้อ่านบางท่านเบื่อเสียก่อน ผมจึงมาแฝงเรื่องดังกล่าวมากับบทความเรื่องนี้ “ความเชื่อ กับ การพัฒนาการเติบโตอย่างยั่งยืน” (Trust and Sustainable Development) ซึ่งจะครอบคลุมในภาพกว้างของการบริหารความเสี่ยงในบางมิติที่เกี่ยวข้องกับ “ความเชื่อ” ซึ่งเป็นธงในการขับเคลื่อนการพัฒนาการเติบโตอย่างยั่งยืน และอีกหลายมิติต่างๆ ที่เกี่ยวข้อง เรื่องนี้ก็คงได้คุยกับผู้อ่านได้หลายตอนเหมือนกัน เพราะเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวดว่า เราจะพัฒนาการเติบโตทางเศรษฐกิจ การเงิน การลงทุน และการบริการ ในมิติต่างๆ ของประเทศได้อย่างไร ถ้าหากขาดความเชื่อ

ความหมายของความเชื่อ

ความเชื่อมีการให้คำนิยามที่หลากหลาย แล้วแต่มุมมองและนิมิต รวมทั้งพื้นฐาน ประสบการณ์ของแต่ละบุคคล ผมจึงไม่ค้นคว้านำมากล่าวในที่นี้ แต่ผมขอให้คำจำกัดความ “ความเชื่อ” ในมุมมองของผมโดยทั่วๆ ไป ดังนี้

  • ความเชื่อ คือ สิ่งที่ยังไม่เกิดขึ้น แต่จะเป็นจริงได้ในอนาคต ซึ่งขึ้นกับปัจจัยต่างๆ ที่เกี่ยวข้องและการเปลี่ยนแปลงที่เกิดขึ้น
  • ความเชื่อ คือ ความมั่นใจ การพึ่งพาอาศัย การไว้วางใจ
  • ความเชื่อ คือ การยอมรับว่าสิ่งใดสิ่งหนึ่งเป็นความจริง หรือเป็นสิ่งที่เราไว้ใจ
  • ความเชื่อ คือ ความมั่นใจโดยมีเหตุผลหนักแน่น
  • ความเชื่อ คือ ความยุติธรรมและการปฏิบัติโดยเท่าเทียมกัน

ความหมายของความเชื่อ ในมุมมองของการกำกับดูแล และการบริหารจัดการ ยุคไอที

  • ความเชื่อ คือ องค์ประกอบและปัจจัยต่างๆ ที่เกี่ยวข้องกับการที่ทำให้เรามั่นใจว่าจะบรรลุเป้าหมายในอนาคต ได้อย่างมีประสิทธิผลและมีประสิทธิภาพ
  • ความเชื่อ คือ การมีหลักการ การมีมาตรฐาน ที่สามารถปฏิบัติได้ และเป็นที่ยอมรับกันโดยทั่วไปอย่างกว้างขวาง
  • ความเชื่อ คือ การมีกรอบความคิด กรอบการดำเนินงาน ที่สามารถสนองตอบความต้องการของผู้มีผลประโยชน์ร่วมที่เหมาะสมได้
  • ความเชื่อ คือ กระบวนการตัดสินใจที่จะใช้ในการกำกับ การบริหาร การจัดการแบบบูรณาการ เพื่อการกำหนดแนวทางในการลงทุน ทางด้านเศรษฐกิจ การเงิน การบริการ และอื่นๆ

ความหมายของการพัฒนาการเติบโตอย่างยั่งยืน ยุคไอที

  • คือ การพัฒนาทางความคิด เพื่อสร้างนิมิตในการสร้างคุณค่าเพิ่ม สนองตอบความต้องการของผู้บริโภคในทุกมิติ โดยการใช้เทคโนโลยีเข้าช่วยในกระบวนการดำเนินงาน โดยคำนึงถึงสภาพแวดล้อม กฎหมายและกฎเกณฑ์ที่เป็นสากล
  • คือ การพัฒนาสร้างผลผลิต และการให้บริการ ที่สามารถตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม ทั้งปัจจุบันและในอนาคต โดยคำนึงถึงการเปลี่ยนแปลงของสภาพแวดล้อม ที่เกี่ยวข้องกับการพัฒนาทางความคิด การมีนิมิตทางนวัตกรรมและการใช้เทคโนโลยียุคใหม่ มาใช้ร่วมกับกระบวนการผลิต การลงทุน การให้บริการ และการกำกับ รวมทั้ง การบริหารการจัดการที่เกี่ยวข้องอย่างบูรณาการ และสามารถสนองตอบความต้องการของผู้ที่เกี่ยวข้อง โดยสามารถให้ผู้บริโภคหรือผู้ใช้บริการเข้าถึง ผลิตภัณฑ์ และบริการนั้น ได้โดยสะดวกและรวดเร็ว และมีต้นทุนการให้บริการที่ต่ำ มีความเป็นธรรม
  • การพัฒนาอย่างยั่งยืนมีลักษณะที่เป็นบูรณาการ (Integrated) คือทำให้เกิดเป็นองค์รวม (Holistic) หมายความว่า องค์ประกอบทั้งหลายที่เกี่ยวข้องจะต้องมาประสานกันครบองค์ และมีลักษณะอีกอย่างหนึ่งคือ มีดุลยภาพ

ภาพนิ่ง2

การประเมินตนเองเบื้องต้นที่เกี่ยวข้องกับ ความเชื่อ และการเติบโตอย่างยั่งยืน

ก่อนอื่น เราคงต้องถามตัวเราเองหรือทีมงานว่า เรากำลังประเมินตนเองในเรื่องนี้เพื่อใคร ในระดับใด เช่น ในระดับโลก ในระดับประเทศ ในระดับองค์กร ในระดับสายงาน หรือในระดับบุคคล และพิจารณาในมุมมองใด เช่น ในมิติของ Regulators หรือ Operators ที่เกี่ยวหรือไม่เกี่ยวกับผู้มีผลประโยชน์ร่วม ทั้งในระดับภายในประเทศ หรือต่างประเทศ ทั้งนี้เพราะ การคำนึงถึงวัตถุประสงค์และเป้าหมายต้องชัดเจน ไม่กำกวม  มิฉะนั้น กระบวนการประเมินตนเองก็จะมีจุดอ่อนมากมายที่จะมีผลกระทบต่อความเชื่อ และการเติบโตอย่างยั่งยืนของเป้าหมายที่เราต้องการบรรลุถึงนั้น ทั้งนี้ ท่านผู้อ่านสามารถติดตามเรื่องการประเมินตนเอง (Control Self Assessment) ที่ผมเคยได้เล่าสู่กันฟังไปแล้ว เช่น

  1. แนวการประเมินตนเองในแบบ Objective – Based โดยมีแนวทางย่อๆ คือ Objective -> Controls -> Residual Risks -> Assessment
  2. แนวการประเมินตนเองในแบบ Risk – Based โดยมีแนวทางย่อๆ คือ Objective -> Risks -> Controls -> Residual Risks -> Assessment
  3. แนวการประเมินตนเองในแบบ Control – Based โดยมีแนวทางย่อๆ คือ Agreement on existing risks and Controls -> Assessment
  4. แนวการประเมินตนเองในแบบ Process – Based โดยมีแนวทางย่อๆ คือ Process Objectives -> Activity -> Level Objectives -> Assessment
  5. แนวการประเมินตนเองในแบบ Situational Approach โดยมีแนวทางย่อๆ คือ Enables -> Hindrances -> Discuss -> Solutions to Hindrances

ทั้งนี้ ท่านอาจเลือกแนวทางการประเมินตนเองในแบบหนึ่งแบบใด หรือแบบผสม ขึ้นกับวัตถุประสงค์ที่ท่านต้องการเป็นสำคัญ นอกจากนี้ ในกรอบการดำเนินงานทางธุรกิจ สำหรับการกำกับดูแลและการบริหารจัดการไอทีระดับองค์กร หรือ GEIT – Governance of Enterprise IT ก็อาจใช้เป็นแนวทางหนึ่งในการประเมินความพร้อมของประเทศ ขององค์กร ของหน่วยงาน และแม้แต่บุคลากรได้เป็นอย่างดี และจะเหมาะสมอย่างยิ่งต่อการก้าวไปสู่ความเชื่อ และการพัฒนาการเติบโตอย่างยั่งยืนแบบบูรณาการที่แท้จริง และเป็นสากล ที่จะได้รับการยอมรับ “ความเชื่อถือ” จากผู้ที่มีผลประโยชน์ร่วมทั่วโลก ซึ่งผมได้เล่าสู่กันฟังแล้วในเรื่องที่เกี่ยวข้องกับ Digital Economy 15 ตอน

คำถามบางประเด็น บางมุมมอง สำหรับเป้าหมายที่เราต้องการจะบรรลุถึง ทั้งในระดับประเทศ และในระดับองค์กร ที่เกี่ยวข้องกับความเชื่อ

  • ประเทศไทย สามารถจะบรรลุเป้าหมายในการเป็นประเทศที่พัฒนาแล้วในปี 2575 ได้หรือไม่ หากขาดความเชื่อ
  • เศรษฐกิจดิจิตอล กับการกำกับดูแลและการบริหารการจัดการไอทีระดับประเทศ และระดับองค์กร มีความชัดเจนในกรอบการดำเนินงานที่นำไปสู่เป้าหมายที่ชัดเจนในระดับ Regulators และ Operators หรือยัง เพราะอะไร
  • ทำไมองค์กรบางแห่งที่อยู่ภายใต้กำกับของภาครัฐ จึงไม่สามารถปฏิบัติตามมาตรฐานของรัฐ และมาตรฐานสากลที่ทำให้เกิดความเสียหายระดับประเทศได้  องค์กรเหล่านี้เขาขาดอะไรในแนวความคิดและแนวปฏิบัติ
  • ทำไมหน่วยงานบางแห่ง จึงถูกฟ้องร้องเรียกค่าเสียหายจำนวนเงินมหาศาล ในเรื่องเดียวกันที่ซ้ำๆ กัน ทั้งที่ผ่านการกำกับดูแล ของหน่วยงานกำกับมาแล้ว อะไรคือความเสี่ยงที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม และการรักษาคุณค่าที่มีอยู่
  • หากหน่วยงานกำกับ ทั้งภายในและภายนอก ไม่มีนโยบายและไม่มีมาตรฐานการกำกับดูแลแบบบูรณาการ ที่เชื่อมโยงระหว่าง Corporate Governance กับ IT Governance เพื่อการสร้างคุณค่าเพิ่มในยุคการพัฒนาที่รวดเร็วทางด้านไอที แนวทางในการกำกับดูแลกิจการที่ดี ที่ขาดกระบวนการกำกับและจัดการทางด้านไอที  ยังควรพิจารณาว่าเหมาะสมกับสภาพแวดล้อมยุคใหม่ทางด้านไอทีหรือไม่
  • การกำหนดผลประโยชน์ที่จะได้รับควบคู่กันไปกับการบริหารความเสี่ยงที่เหมาะสม และการใช้ทรัพยากรที่มีประโยชน์สูงสุด เชื่อมกับปัจจัยเอื้อในการกำกับดูแล และการกำหนดขอบเขตของการกำกับดูแล มีการกำหนดบทบาทหน้าที่ กิจกรรม และความสัมพันธ์ที่ชัดเจน ระหว่างผู้มีส่วนได้เสียกับหน่วยงานกำกับดูแล และผู้บริหาร รวมทั้งการดำเนินงานและปฏิบัติตามคำสั่งนั้น มีการกำหนดผู้รับผิดชอบที่ชัดเจนในแต่ละกิจกรรมหรือไม่
  • คณะกรรมการและผู้ับริหาร มีความเข้าใจและให้ความสำคัญของปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จในการบริหารแบบบูรณาการเพียงไร ในเรื่องที่เกี่ยวข้องกับปัจจัยต่อไปนี้

1. หลักการ นโยบาย และกรอบการดำเนินงาน

2. กระบวนการ

3. โครงสร้างองค์กร

4. วัฒนธรรม จริยธรรม และพฤติกรรม

5. สารสนเทศ

6. บริการโครงสร้างพื้นฐานและระบบงาน

7. บุคลากร ทักษะ และศักยภาพ

 

นอกจากนี้ ก็ยังมีคำถามอื่นๆ ที่เป็นประเด็นย่อยๆ แต่มีนัยสำคัญมากต่อการกำกับดูแล และการบริหารจัดการที่ดี ในองค์ประกอบและปัจจัยต่างๆ  ที่เกี่ยวข้องมากมาย ทั้งหมดนี้จะอยู่ภายใต้กรอบการประเมินตนเองของผู้ที่เกี่ยวข้อง ว่ามีความพร้อมเพียงใด และควรจะปรับปรุงเรื่องใด ก่อนและหลัง ในการดำเนินงาน เพื่อสร้าง “ความเชื่อ” ที่สามารถต่อยอดไปยังการพัฒนาการเติบโตอย่างยั่งยืน

ในตอนต่อๆ ไป ผมจะมาเล่าสู่กันฟังในมิติต่างๆ ที่เกี่ยวข้องกับความเชื่อ ซึ่งเป็นรากฐานที่สำคัญยิ่ง และเกี่ยวข้องกับกรอบการดำเนินงานทางธุรกิจ สำหรับการดูแลและการจัดการ เพื่อก้าวสู่การพัฒนาการเติบโตอย่างยั่งยืน นะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Digital Economy in Thailand – เศรษฐกิจดิจิตอล (ตอนที่ 11)

ตุลาคม 14, 2015

โครงสร้างการกำกับดูแลและการบริหารแบบบูรณาการ ตามนโยบายเศรษฐกิจดิจิตอล

ในตอนที่ 10 นั้น ผมได้พูดถึงการกำกับเศรษฐกิจดิจิตอลแบบบูรณาการ ควรเป็นหน้าที่ของรัฐบาล มิใช่หน่วยงานกำกับภาครัฐ และได้กล่าวต่อไปว่า เจ้าของนโยบายเศรษฐกิจดิจิตอล ควรเป็นรัฐบาล โดยนายกรัฐมนตรี และรัฐมนตรีที่เกี่ยวข้อง ที่ควรเป็นผู้กำกับดูแลภาคการบริหารแบบบูรณาการ และได้กล่าวต่อไปว่า รัฐบาลนั่นเอง ควรจะเป็นผู้กำหนดกรอบและการบริหารเศรษฐกิจดิจิตอลแบบบูรณาการนั้นอย่างไร และในท้ายที่สุด ผมได้เชื่อมโยงเรื่องข้างต้นกับแนวทางการแก้ไขปัญหาจุดอ่อน ที่อาจจะมี ของกระบวนการพัฒนาเศรษฐกิจดิจิตอลแบบบูรณาการ โดยมีรายละเอียดตามที่ปรากฎในเศรษฐกิจดิจิตอลตอนที่ 10 แล้วนั้น

ตอนท้ายของตอนที่ 10 ผมได้นำเสนอเป็นแผนภาพ แนวทางการบริหารเศรษฐกิจดิจิตอลแบบบูรณาการ ซึ่งเข้าใจว่า จะช่วยให้การอธิบาย การกำกับงานดังกล่าวของรัฐบาลต่อผู้ที่เกี่ยวข้องนั้น มีความสะดวกในกรอบแนวความคิดที่ผมนำเสนอ (โปรดดูแผนภาพดังกล่าวในตอนที่ 10) จากแผนภาพดังกล่าวนั้น ค่อนข้างชัดเจนในตัวของมันเอง เพียงแต่ ความหมาย ที่เขียนไว้ว่า “กรอบการดำเนินงานเศรษฐกิจดิจิตอลแบบบูรณาการ” ซึ่งควรจะดำเนินงานโดยหน่วยงานกำกับภาครัฐ และควรจะเชื่อมโยงกับหน่วยงานกำกับนอกภาครัฐ ตามภาพนั้นคืออะไร และจะมีนโยบาย มีกลยุทธ์ มีโครงการต่าง ๆ อย่างไร ที่รัฐควรจะกำหนดให้หน่วยงานกำกับภาครัฐ และหน่วยงานกำกับนอกภาครัฐตามแผนภาพนั้น ได้ดำเนินการอย่างถูกต้อง และน่าจะเหมาะสมภายใต้หลักการของ การกำกับดูแลกิจการที่ดี เพื่อสร้างคุณค่าเพิ่ม (Governance) ที่สนองตอบต่อความต้องการของผู้มีผลประโยชน์ร่วมในทุกระดับของกระบวนการจัดการที่ควรคำนึงถึงสภาพแวดล้อม วิวัฒนาการทางเทคโนโลยี ที่สร้างความเชื่อมั่นต่อความต้องการของผู้่มีส่วนได้เสีย ในมิติต่าง ๆ ที่เกี่ยวข้องคือ ประเทศจะได้รับผลประโยชน์จากนโยบายเศรษฐกิจดิจิตอล โดยมีการบริหารความเสี่ยงที่ได้ดุลยภาพกับการใช้ทรัพยากรของประเทศให้เกิดประโยชน์สูงสุด

ตามวรรค 2 นั้น กล่าวสั้น ๆ ได้ว่า เป็นองค์ประกอบที่เกี่ยข้องกับ Governance เผื่อสนองตอบความต้องการของผู้มีส่วนได้เสีย ที่มุ่งประเด็นไปยังการสร้างคุณค่าเพิ่ม ไม่ว่าจะในมิติของมาตรวัดสำหรับการประยุกต์ใช้ในแนวกำกับ และแนวปฏิบัติ (Lead Indicator – ดัชนีวัดผลนำ)  และมาตรวัดความสำเร็จตามเป้าหมาย (Lag Indicator – ดัชนีวัดผลตาม) ที่เกี่ยวกับการวัดศักยภาพและทักษะของบุคคลากร การบริหารสารสนเทศ การบริหารโครงสร้างพื้นฐานและระบบงาน และการให้บริการ รวมทั้งปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จอื่น ๆ คือ กระบวนการทำงานที่เหมาะสม โครงสร้างของการกำกับตามที่อธิบายไว้ในแผนภาพตอนที่ 10 และแน่นอนว่าต้องเชื่อมกับวัฒนธรรม จริยธรรม และพฤติกรรม ของบุคลากรที่เกี่ยวข้องทั้งมวล  (มีรายละเอียดที่ไว้คุยกันต่ออีกมากในหัวข้อนี้) ซึ่งทุกปัจจัยดังกล่าวจะเชื่อมโยงกับหลักการ นโยบาย และกรอบการดำเนินนงานของ เศรษฐกิจดิจิตอล (Digital Economy)

ผมได้เขียนมาตามข้างต้นทั้ง 3 แล้ว และดูภาพประกอบตามโครงสร้างของการกำกับและดูแลการบริหารแบบบรูณาการตามนโยบายเศรษฐกิจดิจิตอล ก็ดูเหมือนว่ายังสับสนต่อการสื่อสารในระดับหนึ่งพอสมควรนั้น ขอให้ท่านดูแผนภาพตามที่ปรากฎในตอนที่ 10 (ช่วงตอน B) ซึ่งเป็นแผนภาพที่จะอธิบายได้ในตัวของมันเอง และไม่สับสนว่า เป้าหมายระดับประเทศตามระบบเศรษฐกิจดิจิตอล ซึ่งเป็นเรื่อง Non – IT นั้น จะสามารถเชื่อมโยงกลับเป้าหมายที่เกี่ยวข้องกับ IT ระดับประเทศอย่างไร และเกี่ยวข้องในมิติใดกับความต้องการของผู้มีผลประโยชน์ร่วม ในการสร้างคุณค่าเพิ่มตามนโยบายเศรษฐกิจดิตอล และทุกปัจจัยดังกล่าวนั้น จะสำเร็จไม่ได้ถ้าหากขาดการเชื่อมโยงกับเป้าหมายของปัจจัยเอื้อระดับประเทศ คือ Enabler Golas

ภาพนิ่ง1

GEIT – Governance Enterprise of IT ควรจะเป็นคำตอบของการกำกับดูแลและการบริหารจัดการ Digital Economy ของประเทศ

ดังนั้นในตอนที่ 11 นี้ ผมกำลังจะสรุปว่า หากการพัฒนาเศรษฐกิจดิจิตอลแบบบูรณาการ โดยการวิเคราะห์ปัญหาหรือจุดอ่อนที่อาจจะเกิดขึ้น หรืออาจจะมีอยู่ในปัจจุบัน (As – Is) ในกระบวนการพัฒนาเศรษกิจดิจิตอล ที่พิจารณาและควรจะเข้าใจถึงต้นเหตุ (Root Cause) ของความเสี่ยงและการควบคุม ควบคู่กันไปกับตัววัดความสำเร็จที่จะเกิดจากนโยบายเศรษฐกิจดิจิตอลของรัฐบาลนั้น ผู้ที่เกี่ยวข้องควรจะทำการเปรียบเทียบกับ กรอบการดำเนินงานและการกำกับดูแล รวมทั้งการบริหารจัดการ IT ระดับประเทศอย่างไร เพื่อสนองตอบต่อนโยบาย Digital Economy นั่นคือ การเปรียบเทียบ As – IS กับ To – Be ที่ยึดหลักการ Best Practice และ Standard ในการกำกับดูแลกิจการที่ดี (Governance) เพื่อสร้างคุณค่าเพิ่มที่เชื่อมโยงระหว่าง เป้าหมายที่เกี่ยวข้องกับไอทีระดับประเทศ ในบริบทของ Digital Economy กับเป้าหมายการได้รับประโยชน์จากนโยบาย Digital Economy ระดับประเทศ สนองตอบนโยบายเศรษฐกิจดิจิตอลของรัฐบาล

ดังนั้น To – Be ในที่นี้ตามความเข้าใจของผมก็คือ การนำหลักการและการกำกับดูแลกิจการที่ดีที่ผสมผสานระหว่าง  IT Related Goals – National Wide) เชื่อมโยงกับเป้าหมายของเศรษฐกิจดิจิตอล (Digital Economy Goals / Policies) ที่จะก่อให้เกิดการสัมฤทธิ์ผลของกระบวนการสนองตอบต่อ Governance of Enterprise IT (GEIT) ระดับประเทศ เพื่อสนองตอบนโยบายเศรษฐกิจดิจิตอลของนโยบายอย่างแท้จริง มีที่อ้างอิง เป็นที่ยอมรับของนานาประเทศทั่วโลก ในเรื่องที่เกี่ยวข้องกับการใช้ IT ขับเคลื่อนเป้าหามายของธุรกิจ ในลักษณะทั่วไปที่ทุกองค์กรได้ยอมรับกันอย่างแพร่หลาย และสามารถนำมาประยุกต์ใช้กับการขับเคลื่อน Digita Economy ระดับประเทศได้อย่างมั่นใจ นั่นคือ รัฐบาลอาจใช้ Best Practice / Standards ที่เกี่ยวข้องกับหลักการ GEIT ตามที่กล่าวโดย

  1.  กำหนดทิศทางการกำกับดูแลโดย การกำหนดกระบวนการดำเนินงาน Digital Economy ได้อย่างมั่นใจ
  2. สร้างความมั่นใจในการส่งมอบผลประโยชน์ให้กับ Stackeholder อย่างทั่วถึง
  3. สร้างความมั่นใจในกระบวนการบริหารความเสี่ยงที่เหมาะสมที่สอดคล้องระหว่าง IT Risks และ Enterprise Risks
  4. สร้างความมั่นใจในการใช้ทรัพยากรของประเทศที่สนองตอบนโยบายเศรษฐกิจดิจิตอลให้ได้ประโยชน์สูงสุด และ
  5.  สร้างความมั่นใจในความโปร่งใสต่อผู้มีส่วนได้เสียที่เชื่อมโยงความสัมพันธ์ระหว่างข้อ 1. – ข้อ 5. ที่ทุกระบวนการมีความสัมพันธ์กันอย่างลึกซึ้ง

รัฐบาลจึงมีหน้าที่เพียงควบคุมกระบวนการกำกับดูแล IT ระดับประเทศ เพื่อสนองตอบนโยบาย Digital Economy ซึ่งเป็น IT-Based โดยการประเมิน สั่งการ และเฝ้าติดตาม ผลสัมฤทธิ์ของกระบวนการตามที่กล่าว ตามหลักการกำกับดูแลกิจการที่ดีที่สามารถมอบหมายให้กับคณะรัฐมนตรีกระทรวงต่าง ๆ ใช้เป็นนโยบายในการกำกับหน่วยงานภาครัฐ และหน่วยงานกำกับนอกภาครัฐ ซึ่งจะมีผลทำให้เกิดการบริหารแบบบูรณาการที่ควบคุมได้โดยนโยบายทางด้าน Governance ในมิติของ GEIT และแน่นอนว่าควรจะมีมาตรฐานการกำกับและการบริหารอื่น ๆ  ในส่วนที่เกี่ยวข้อง เช่น Information Security / Cyber Security ซึ่งเป็นไปตามกรอบและหลักการของ Governance of Enterprise IT (GEIT)

ซึ่งกรอบดังกล่าว จะทำให้เกิดกระบวนการกำกับดูแลแบบบูรณาการที่เข้าใจได้ตรงกัน ทั้งในระดับรัฐบาล กระทรวง ทบวน กรม ทั้งภาครัฐและภาคเอกชนที่สามารถสื่อสารกันได้สะดวก เพราะมีมาตรฐานของการกำกับดูแล และการบริหารจัดการไอทีระดับประเทศ / องค์กร มาใช้อย่างเป็นสากล สำหรับรายละเอียดที่อยู่ภายใต้กรอบการกำกับตามแนว GEIT ดังกล่าวแล้วก็เป็นหน้าที่ของฝ่ายบริหารในกระทรวง ทบวน กรม ของหน่วยงานภาครัฐและเอกชนที่เกี่ยวข้อง ซึ่งก็อยู่ภายใต้กรอบตามแนวทางกำกับโดยใช้หลักการ Enterprise of IT หรือกรอบการดำเนินงาน ทางด้านเศรษฐกิจดิจิตอลระดับประเทศ /องค์กร / ธุรกิจ ซึ่งจะเกี่ยวกับ 1. การวางแนว จัดทำแผน และจัดระบบ 2. การจัดสร้าง จัดหา และนำไปใช้ 3. การส่งมอบให้บริการและสนับสนุน 4. การเฝ้าติดตามวัดผล และประเมินผล ตามที่ได้กล่าวไว้ในตอนต้น ๆ แล้วครับ

ความสับสนในกระบวนการสื่อสารและทำความเข้าใจในบทบาทหน้าที่ของภาครัฐและเอกชน ก็น่าจะมีการสื่อสารทำความเข้าใจกันได้สะดวก เพราะใช้ภาษาและกรอบในการดำเนินงานเดียวกันในทุกองค์กร ทั้งในประเทศและระหว่างประเทศ ซึ่งอาจจะมีรายละเอียดแตกต่างกันบ้างเล็กน้อย ในบริบทที่เกี่ยวข้องกับวิธีการดำเนินงาน วัฒนธรรม และโครงสร้าง++ ที่อาจจะแตกต่างกัน แต่ยังไม่ได้เป็นอุปสรรค์ต่อกระบวนการทำงานที่ใช้มาตรฐาน / Best Practise เดียวกัน

 

 

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 13)

ตุลาคม 8, 2014

จากที่ผมได้เล่าถึงการได้ร่วมตรวจสอบธนาคารพาณิชย์กับ OCC (Office of the Comptroller of the Currency) และ FDIC (Federal Deposit Insurance Corporation) เมื่อปี 2521 นั้น ก็จะเห็นว่ามีความเหมือนหรือแตกต่างกันอย่างไร ในวิธีและกระบวนการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา จากของทั้ง 2 สถาบัน ซึ่งจะเห็นได้ว่า OCC ใช้แนวการตรวจสอบในแบบ Around The Computer เพียงอย่างเดียว ไม่เหมือนกับ FDIC ที่ใช้วิธีการตรวจสอบในแบบ Through The Computer ควบคู่ไปกับวิธีการตรวจสอบแบบ Around The Computer ด้วย สำหรับครั้งนี้ ผมจะเล่าต่อถึงการตรวจสอบของ OCC ว่ามีขอบเขตของการตรวจสอบ ความถี่ แผนการตรวจสอบ รายงานการตรวจสอบ รวมถึงวิธีการตรวจทานรายงานและการติดตามผล อย่างไรบ้าง

ขอบเขตของการตรวจสอบ (Scope of Examination)

ผู้ตรวจสอบควรมีการศึกษาข้อมูลขั้นต้น (Preliminary Review) ถึงหน้าที่ต่าง ๆ ของงานด้าน EDP ทั้งหมดก่อน แล้วจึงใช้วิธีตรวจสอบโดยละเอียด (Examine in Depth) ถึงงานแต่ละด้านเพื่อดูถึงข้อบกพร่องของการควบคุมภายใน ถ้าปรากฏว่า มีข้อบกพร่องที่เป็นสิ่งสำคัญก็จำต้องพิจารณาขยายขอบเขตของการตรวจสอบด้านการให้กู้ยืมและให้เครดิตมากยิ่งขึ้น (Concurrent Commercial Examination) เนื่องจากว่ามีความสัมพันธ์โดยตรงกับระบบงานที่ใช้อยู่ (Automated Applications) ถ้าวิธีการควบคุมภายในของงาน EDP ช่วงดังกล่าวบกพร่อง ก็ไม่อาจใช้ข้อมูลที่ได้จากระบบนั้น เพื่อการตรวจสอบงานด้านเกี่ยวกับธุรกิจ (Commercial) ของธนาคารนั้นได้

ความถี่ของการตรวจสอบ (Frequency of Examination)

การตรวจสอบศูนย์ข้อมูลต่าง ๆ นั้นถือเกณฑ์ปีละครั้ง (Annual Basis) และอย่างช้าที่สุดต้องไม่เกินกว่า 18 เดือนต่อครั้ง ในกรณีที่พบว่าการควบคุมภายในบกพร่องมาก ก็จำเป็นต้องมีการตรวจสอบให้บ่อยครั้งยิ่งขึ้น บางครั้งก็จะต้องมีการไปตรวจสอบ เพื่อติดตามความก้าวหน้าในการแก้ไขข้อผิดพลาดของธนาคาร ตามที่ระบุไว้ในรายงานการตรวจสอบ

ประเด็นคำถามที่ช่วยในการตรวจสอบ

แผนการตรวจสอบ (Work Program)

ทุกครั้งที่ตรวจสอบจะต้องมีการจัดทำแผนการตรวจสอบสำหรับศูนย์ข้อมูลแต่ละแห่ง เรียงลำดับขั้นตอนให้เรียบร้อยแล้วส่งให้ Regional EDP Associate เพื่อพิจารณา หลังจากนั้น Regional Office จะเป็นผู้เก็บรักษาและแจกจ่ายรายงานนั้นตามควรแก่กรณี และต้องจัดให้มีวิธีป้องกันรักษา Work Program ดังกล่าวอย่างรัดกุมทุกขั้นตอน

รายงานการตรวจสอบ (Report of Examination)

รายงานการตรวจสอบด้าน EDP จะต้องทำให้เสร็จโดยสมบูรณ์ในระหว่างการตรวจสอบขั้นตอนของงานใดที่มิอาจตรวจสอบได้ (Nonapplicable Sections) จะต้องเปิดเผยไว้ให้ชัดเจนในรายงาน ข้อบกพร่องต่าง ๆ ที่รายงานไว้จะต้องปรึกษาหารือกับเจ้าหน้าที่ผู้รับผิดชอบ และผู้บริหารของศูนย์ข้อมูลนั้น การสรุปสนทนาครั้งสุดท้าย (A Final Discussion) จะต้องกระทำกับผู้บริหารชั้นสูงสุดของธนาคารและของแผนก EDP แม้จะไม่มีข้อบกพร่องที่จะยกขึ้นเป็นข้อสังเกตหรือคำวิจารณ์ (Adverse Criticiam) ก็ตาม

ความรับผิดชอบในการควบคุมดูแลรายงานการตรวจสอบทั้งหมด เป็นหน้าที่ของ Regional Office ต้องรายงาน และเอกสารประกอบทั้งหมดจะต้องไม่อยู่ในความครอบครองของเจ้าหน้าที่ผู้ตรวจ นานเกินกว่าระยะเวลาอันสมควร หลังจากที่ได้มีการสรุปผลการตรวจสอบเสร็จสิ้นเรียบร้อยแล้ว

หลังจากเสร็จสิ้นการตรวจสอบแล้ว จะต้องจัดการกับรายงานการตรวจสอบ ดังนี้

  • รายงานการตรวจสอบฉบับร่าง (Examiner’s Pencil Copy) จะต้องส่งไปยัง Regional Office เพื่อตรวจทาน (Review) จัดพิมพ์ (Processed) และจัดส่ง (Distribution) ต่อไป
  • จะจัดส่งรายงานให้แก่ Washington Office, ศูนย์ข้อมูลที่ได้รับการตรวจสอบ (The Data Center Examined) และสาขา (Subregional Office) ของธนาคารที่ใช้บริการของศูนย์ข้อมูลดังกล่าว และสำเนารายงานฉบับที่ส่งให้สาขาของธนาคารนี้ จะต้องเก็บไว้รวมกับกระดาษทำงานจากการตรวจสอบด้านอื่น ๆ (Commercial Examination Work Papers) เพื่อใช้อ่านเป็นการเตรียมการตรวจสอบครั้งต่อไป รายงานอีกฉบับหนึ่งจะต้องส่งให้กับ Subregional Office ของผู้ตรวจการ EDP ที่มีหน้าที่พิจารณาติดตามและแนะนำในการตรวจครั้งต่อไป
  • ภายใต้ดุลยพินิจของ Regional Administrator อาจมีการส่งสำเนารายงานการตรวจสอบให้แก่ National Bank ทุกธนาคารที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ตรวจสอบก็ได้ หรือ Regional Administrator อาจใช้วิธีแจ้งไปยังธนาคารสมาชิกที่ใช้บริการของศูนย์คอมพิวเตอร์ที่ได้รับการตรวจสอบดังกล่าวว่า ได้ตรวจสอบศูนย์คอมพิวเตอร์นั้นเสร็จสิ้นแล้ว หากธนาคารใดประสงค์จะได้รายงานการตรวจสอบดังกล่าว เพื่อไปศึกษารายละเอียดก็ให้เขียนจดหมายไปขอได้จาก Regional Office
  • สำเนารายงานการตรวจสอบบางฉบับ อาจจะจัดส่งให้สถาบันอื่นที่มีหน้าที่ควบคุมธนาคารพาณิชย์ (Other Regulatory Agencies) รวมทั้ง State Examining Authorities ด้วย ตามที่ขอมาโดยถือเป็นการแลกเปลี่ยนซึ่งกันและกัน (On a Reciprocal Basis)
  • ถ้าปรากฎว่าศูนย์ข้อมูลใดให้บริการแก่ธนาคารหลายแห่งที่ตั้งอยู่ต่างท้องที่กัน (National Bank Region) ก็จำเป็นต้องส่งรายงานการตรวจสอบให้กับ Regional Office ที่เกี่ยวข้องเป็นผู้แจกจ่ายให้แก่ Subregional Office ที่เห็นว่าเหมาะสม

วิธีการตรวจสอบระบบงาน

วิธีตรวจทานรายงานและการติดตามผล

เมื่อทำรายงานการตรวจสอบเสร็จแล้ว แต่ก่อนที่จะจัดส่งรายงานฉบับสุดท้าย (Final Report) ไป ควรจะได้มีการตรวจสอบความถูกต้องเกี่ยวกับตัวเลข สภาพการทำงานของศูนย์ข้อมูลเนื้อหาของรายงาน การตรวจสอบ ตลอดจนวิธีปฏิบัติในการติดตามผล การตรวจทานรายงานนี้จะต้องกระทำโดย National EDP Associate ส่วน Washington Office จะเป็นผู้ตรวจทานเกี่ยวกับความต่อเนื่องของการตรวจสอบ (Continuity) เนื้อหาและความเพียงพอของการติดตามผล

รายงานหน้าการวิเคราะห์จะทำโดยผู้ตรวจสอบด้าน EDP และส่งให้แก่ Regional Office พร้อมกับร่างรายงานการตรวจสอบ ซึ่ง Regional Office จะเป็นผู้ตรวจสทานรายงานการตรวจสอบดังกล่าว พร้อมทั้งให้คะแนนเพื่อจัดอันดับศูนย์ข้อมูลดังกล่าวนั้น โดยมีสำเนาการให้ และจัดอันดับจัดส่งไปพร้อมกับรายงานการตรวจสอบ ได้แก่ Washington Office และผู้ตรวจการด้วย

การเขียนคำวิจารณ์รายงานการตรวจสอบจะเป็นหน้าที่ของ EDP Associate และมีสำเนาถึง Washington Office

คณะกรรมการสนับสนุนด้าน EDP ของสำนักงานวอชิงตัน จะเป็นผู้กำหนดมาตรฐานและนโยบายในการตรวจสอบ นอกจากนี้ คณะกรรมการดังกล่าวยังพร้อมที่จะให้คำปรึกษา ทั้งทางเทคนิคและวิธีการในกรณีที่มีปัญหายุ่งยากหรือมีเหตุการณ์ผิดปกติ

วิธีการตรวจสอบระบบงานอีกรูปแบบหนึ่ง

ผมได้เล่าประสบการณ์ในการไปดูงานการตรวจสอบด้าน EDP Audit ในช่วงเวลา ปี 2521 ซึ่งเวลาก็ผ่านมาเนิ่นนานถึง 36 ปีแล้วนั้น ก็เพื่อให้ท่านผู้อ่านได้ทราบความเป็นมาของวิวัฒนาการการตรวจสอบทางด้าน IT Audit ซึ่งในยุคก่อนเรียกว่า EDP Audit ว่ามีความแตกต่างอย่างไรกับการตรวจสอบในยุคปัจจุบัน ซึ่งเทคโนโลยีและมาตรฐานการบริหารงานทางด้านเทคโนโลยีสารสนเทศ ซึ่งมีความสัมพันธ์กับการบริหารงานทางด้านธุรกิจอย่างแยกกันไม่ได้ ตามแนวการบริหารและการจัดการที่ดี และยอมรับกันทั่วโลกขนาดนี้ก็คือ การบริหารในแนวของ GEIT – Governance Enterprise of IT หรือ COBIT 5 ซึ่งเป็น Integrated Single Framework ที่ในมุมมองของการบริหาร IT ทุกมุมมองจะสนับสนุนมุมมองทางด้าน Business Goals ในทุกมุมมอง และกลับกัน… นี่คือ ความแตกต่างกันอย่างมากในการบริหารยุคเดิม ซึ่งมักจะบริหารและจัดการตรวจสอบในแบบ Silo-Based  หากท่านผู้อ่านติดตามในตอนต่อ ๆ ไป ก็จะได้พบกับวิวัฒนาการของการตรวจสอบทางด้าน IT ยุคใหม่ ซึ่งเป็น IT Audit ที่เชื่อมโยงกระบวนการทางด้าน IT ให้เข้ากับกระบวนการทางด้าน Enterprise Goals หรือ Business Goals ผสมผสานกับการพิจารณาที่เชื่อมโยงไปยัง Process Goals และต่อยอดลงไปยัง Enabler Goals ซึ่งเป็นปัจจัยเอื้อที่นำไปสู่ความสำเร็จในการบริหารทางด้านเทคโนโลยีสารสนเทศ และทางด้านธุรกิจ

ดังนั้น กระบวนการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ จะสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้ในทุกมุมมอง  ได้อย่างมั่นใจ นั่นคือการสร้าง Value Creation ผ่านองค์ประกอบที่สำคัญของหลักการ Governance ที่ประกอบไปด้วย การได้รับผลประโยชน์ (ตามมุมมอง BSc.) ที่สัมพันธ์กับการบริหารความเสี่ยงที่ดี และการบริหารทรัพยากรที่ดีอย่างมีดุลยภาพ โดยมีกระบวนการที่คณะกรรมการพึงต้องรับผิดชอบในการประเมินผล สั่งการ และเฝ้าติดตาม ในเรื่องกระบวนการที่เกี่ยวข้องกับ Governance ใน 5 กระบวนการหลัก ๆ ก็คือ

  • มั่นใจในการกำหนดกรอบการดำเนินการกำกับดูแลและการบำรุงรักษา
  • มั่นใจในการส่งมอบผลประโยชน์
  • มั่นใจในความเสี่ยงที่เหมาะสม
  • มั่นใจในการใช้ทรัพยากรให้ได้ประโยชน์สูงสุด
  • มั่นใจในความโปร่งใสต่อผู้มีส่วนได้เสีย

ท่านที่ติดตามต่อไปจนไปถึงขั้นตอนท้าย ๆ ของวิวัฒนาการ IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ซึ่งจะใช้เวลาอีกนานพอสมควร จะได้พบกับกระบวนการบริหาร กระบวนการตรวจสอบ ที่แตกต่างไปอย่างสิ้นเชิง กับอดีตที่ผ่านมาในช่วงเวลาถึง 36 ปี และมากกว่านั้น สำหรับตอนนี้จะเป็นตอนสุดท้ายสำหรับการเล่าเรื่องประสบการณ์การตรวจสอบทางด้าน EDP Audit ในยุคแรก ๆ ของวิวัฒนาการการตรวจสอบทางด้าน IT ของประเทศ ซึ่งจะเกี่ยวข้องกับวิวัฒนาการของการบริหารทางด้านเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี และกระบวนการกำกับ ควบคุม เทคโนโลยีสารสนเทศ ซึ่งจะแยกกันไม่ได้ระหว่าง IT Related Goals กับ Enterprise Goals ซึ่งจะได้กล่าวในอีกหลาย ๆ ตอนต่อไปนะครับ

 

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 12)

กันยายน 29, 2014

จากครั้งที่แล้ว ผมได้พูดคุยเกี่ยวกับการตรวจสอบคอมพิวเตอร์ที่ผมได้มีโอกาสร่วมตรวจสอบธนาคารพาณิชย์ กับ OCC (Office of the Comptroller of the Currency) เมื่อปี 2521 ไปบ้างแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบในแบบ Evaluation หรือ Around the Computer ซึ่งจะต่างจาก FDIC (Federal Deposit Insurance Corporation) ที่มีการตรวจสอบในแบบ Through the Computer แล้วผมจะเล่าให้ฟังว่า ทำไม OCC ถึงเลือกที่จะใช้การตรวจสอบแบบ Evaluation หรือ Around the Computer

การตรวจสอบในแบบ Evaluation หรือ Around the Computer

การ Evaluation ของ OCC ก็คือ การตรวจสอบด้านคอมพิวเตอร์ของ EDP Examiner นั่งเอง ทั้งนี้เพราะ OCC พิจารณาว่า การ Evaluation แต่เพียงอย่างเดียวก็บรรลุวัตถุประสงค์ของ EDP Examination ทุกประการ ดังนั้น OCC จึงค้นคว้าวิธีการตรวจสอบคอมพิวเตอร์ด้วยวิธีการ “ประเมิน” งานด้านที่เกี่ยวข้องจนกระทั่งเป็นที่ยอมรับกันอย่างกว้างขวาง ซึ่งต่อมาทั้ง FDIC และ FRS ก็ได้นำวิธีการ Evaluation ทุกขั้นตอนของ OCC ไปใช้ในทางปฏิบัติจนกระทั่งปัจจุบันนี้ แต่ FDIC มีวิธีการเพิ่มเติมเป็นพิเศษของตนเองตามลำพัง คือการตรวจในแบบ Through the Computer โดยใช้ Software Package ช่วยในการตรวจสอบด้าน Financial Examination ด้วย

การประเมินผล อาจกระทำที่ธนาคารพาณิชย์ และ/หรือ ณ ศูนย์ปฏิบัติการคือ Data Center ซึ่งดำเนินการโดยธนาคารพาณิชย์นั้น ๆ เอง หรือประเมินผลที่บริษัทผู้รับประมวลข้อมูลให้ธนาคาร การประเมินผลจะใช้เวลาระหว่าง 2 สัปดาห์ ถึง 12 สัปดาห์ ทั้งนี้ขึ้นกับ

  • จำนวน Data Center ซึ่งอาจมีหลายแห่ง
  • ขนาดของ Data Center
  • ระบบงาน
  • ปริมาณงานและชนิดของงาน
  • ผลการตรวจสอบครั้งก่อน

การ Evaluation จนกระทั่งถึงการออกรายงานการตรวจสอบคอมพิวเตอร์ของ OCC มีขั้นตอนในการดำเนินงานเช่นเดียวกับที่กล่าวไว้ในขั้นตอนการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์ของ FDIC ทุกประการ

การ Evaluation ของ EDP Examiner มี Work Program ในการปฏิบัติงานอย่างละเอียดในแต่ละส่วนงานที่เกี่ยวข้องกับคอมพิวเตอร์ ซึ่งมีหัวข้อและเป้าหมายกว้างในการตรวจสอบดังนี้

1. การประเมินการตรวจสอบของผู้สอบบัญชีของธนาคาร เพื่อ :-

ก) เพื่อกำหนดขอบเขตการปฏิบัติงานของผู้ตรวจสอบ ทั้งนี้เพราะผู้ตรวจสอบจะทราบสิ่งต่อไปนี้

  • ปัญหาและข้อบกพร่องที่ตรวจพบโดยผู้สอบบัญชีของธนาคาร
  • การตรวจสอบของผู้สอบบัญชีธนาคารว่าปฏิบัติงานตรวจสอบในสิ่งที่ควรจะได้ตรวจหรือไม่ เพราะผู้ตรวจสอบของ OCC จะขอดู Work Sheets ของผู้สอบบัญชีภายในของธนาคารด้วย

ข) ติดตามแก้ไขข้อบกพร่องตามที่ปรากฎในรายงาน

ค) สามารถทราบความสนใจของฝ่ายบริหารว่า สนใจเรื่องราวที่เกี่ยวกับคอมพิวเตอร์หรือไม่ ทั้งนี้ โดยดูจากการรายงานการประชุมว่ามีการพิจารณาและสั่งการประการใดบ้าง ในส่วนที่เกี่ยวกับข้อ comment และข้อแนะนำในรายงานตรวจสอบ

2. การประเมินการจัดการของฝ่ายบริหาร ก็เพื่อ :-

ก) พิจารณาการจัดองค์การ โดยเฉพาะในส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ว่ามีหน่วยงานที่พอเพียงหรือไม่

ข) พิจารณาถึงการมอบหมายหน้าที่การงานและขอบเขตการรับผิดชอบให้กับแต่ละบุคคล ซึ่งมีส่วนรับผิดชอบในการบริหารงานเหมาะสมหรือไม่

ค) พิจารณาถึงนโยบายและการแก้ไขปัญหาของฝ่ายบริหาร

3. การประเมินรายงานและคำสั่งงาน (Systems and Programming) เพื่อ :-

ก) พิจารณาว่า ธนาคารสามารถดำเนินการได้ตามปกติหรือไม่ ถ้าเกิดกรณีต่อไปนี้

  • ไฟไหม้
  • น้ำท่วม
  • แผ่นดินไหว
  • ไฟฟ้าดับ
  • โทรศัพท์ขัดข้อง
  • อุปกรณ์คอมพิวเตอร์เสียหายหรือขัดข้อง

ทั้งนี้ เพราะปัญหาที่เกิดขึ้นกับธนาคารจะมีผลกระทบกระเทือนถึงประชาชนโดยตรง

ข) พิจารณาว่ามีการปฏิบัติตามคู่มือการปฏิบัติงานที่ได้วางไว้เป็นบรรทัดฐานหรือไม่ และคู่มือดังกล่าวยังมีผลในทางปฏิบัติเพียงใด

4. การประเมินผลด้านการปฏิบัติงาน (Computer Operation) เพื่อ :-

ก) พิจารณาถึงความพอเพียงของกระบวนการปฏิบัติงานในแต่ละขั้นตอนของการประมวลข้อมูลว่ามีความน่าเชื่อถือได้เพียงใด เมื่อได้ปฏิบัติตามระบบงานที่ได้เขียนเป็นลายลักษณ์อักษรไว้แล้ว

ข) พิจารณาถึงการควบคุมการประมวลข้อมูลทุกขั้นตอนว่า กระทำอย่างมีประสิทธิภาพเพียงใด อาจมีจุดอ่อนที่ใดได้บ้าง และมีการป้องกันอย่างไร และจะตรวจพบได้เพียงใด

สรุปงานของ EDP Examiner ขณะปฏิบัติงานด้านตรวจสอบประกอบด้วย :-

  • ปฏิบัติงานด้าน Review System ปัจจุบันธนาคารที่กำลังใช้งาน ประมาณร้อยละ 40
  • ปฏิบัติงานด้าน Review System ใหม่ที่ธนาคารจะนำมาใช้ในอนาคต ประมาณร้อยละ 30
  • ปฏิบัติงานด้านเทคนิคให้กับ Regular Examiner หรือ Financial Examiner ประมาณร้อยละ 20
  • ปฏิบัติงาน Review ด้าน Data Center ประมาณร้อยละ 10

เหตุผลที่ OCC ไม่ใช้วิธีการตรวจสอบในแบบ Through the Computer

เป็นที่น่าสังเกตว่า Comptroller of the Currency ใช้วิธีการ Evaluation ซึ่งพิจารณาได้ว่า เป็นแนวทางการตรวจสอบในแบบ “Around the Computer” แต่เพียงอย่างเดียว โดยไม่มีวิธีการตรวจสอบในแบบ “Through the Computer” ซึ่ง FDIC ใช้ในการปฏิบัติควบคู่กับวิธีการ “Around the Computer” ด้วย

เหตุผลที่ Comptroller of the Currency ไม่ใช้ Software Package หรือวิธีการ “Through the Computer” ในการตรวจสอบคอมพิวเตอร์อาจสรุปได้ดังนี้

1. มีปัญหามากในการใช้ปฏิบัติงาน พิจารณาว่าไม่คุ้มกัน เช่น ธนาคารเปลี่ยนแปลงฟอร์มหรือเทคนิคใหม่ ๆ ผู้ตรวจก็จำต้องแก้ไข Software Package และต้องศึกษาเทคนิคนั้น ๆ ให้รู้ซึ้งด้วย ส่วนมากใช้เวลา และในหลาย ๆ กรณีที่ต้องแก้ไข Software Package เนื่องจากธนาคารเปลี่ยน Operating System อาจใช้เวลาเกินกว่าที่ประมาณไว้มาก และการตรวจโดยใช้ Software Package มักพับกับปัญหาเช่นนี้เสมอ ๆ

2. ต้องใช้ความชำนาญของผู้ตรวจสอบมาก สิ้นเปลืองมาก และก็ไม่ได้เป็นที่แน่ใจว่าผู้ตรวจสอบประเภทนี้สามารถแก้ไขปัญหาได้ทุกเรื่อง เนื่องจากเวลาส่วนใหญ่หรือแทบทั้งหมดใช้ไปในงานตรวจสอบ จนกระทั่งไม่มีเวลาศึกษาเทคนิคใหม่ ๆ

3. การตรวจสอบโดยใช้ Software Package เพียงแต่ทำให้รู้สึกว่าเป็นการตรวจสอบอิสระที่ไม่จำเป็นต้องใช้ข้อมูลของธนาคาร แต่ในทางปฏิบัติต้องอาศัยพนักงานและความร่วมมือจากธนาคารพาณิชย์ที่ถูกตรวจสอบอยู่มาก เช่น

  • การให้เวลาปฏิบัติการ
  • การเลือก File ในการ Generate ข้อมูล
  • การชี้แนะเทคนิคต่าง ๆ ที่เกี่ยวข้องในการ Process ข้อมูล เป็นต้น
  • ผู้ตรวจสอบไม่อาจควบคุมการ Process งานทุกขั้นตอนได้

4. ผู้ตรวจสอบภายในของธนาคารส่วนใหญ่ก็ใช้ Software Package ในการตรวจสอบ ดังนั้น การประเมินการตรวจสอบภายในก็น่าจะพอเพียง ทั้งนี้เมื่อพิจารณาว่ารายละเอียดต่าง ๆ ควรเป็นหน้าที่ของผู้ตรวจสอบภายในของธนาคารเอง เพราะมีหน้าที่โดยตรงอยู่แล้ว

5. การใช้ Software Package ในการตรวจสอบแบบ Through the Computer นั้น แต่ละ Package ไม่อาจใช้กับงานที่จะตรวจทุกชนิดได้ (ยกเว้น Package ง่าย ๆ ที่ไม่มีประโยชน์ในการใช้งานในกาคปฏิบัติมากนัก) ดังนั้น แต่ละงานจะต้องใช้ แต่ละ Package ที่เกี่ยวข้อง นอกจากนี้ ถ้าเป็นคอมพิ้วเตอร์ต่างชนิด ต่างระบบ ก็ไม่อาจใช้ Software Package อันเดียวกันได้ ถึงแม้จะเป็นงานชนิดเดียวกันก็ตาม ดังนั้น จึงนับว่าสิ้นเปลืองมาก

6. การกำหนดข้อมูลขั้นต่ำที่จำเป็นต้องใช้ในการตรวจสอบให้ธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์จัดทำในรูป Report ได้เช่นเดียวกับข้อมูลที่จะได้จากการตรวจสอบด้วยวิธีธรรมดาหรือในแบบ Around the Computer ดั้งนั้น การตรวจสอบคอมพิวเตอร์โดยใช้วิธีการประเมินตามขั้นตอนที่ปฏิบัติอยู่ก็ได้ผลเช่น

7. การใช้ Software Package ของ FDIC เป็นเพียงเครื่องมือที่ช่วยในการตรวจสอบด้าน Financial ซึ่งช่วยงานตรวจสอบของ Financial Examiner เท่านั้น ไม่มีผลในการตรวจสอบเกี่ยวกับคอมพิวเตอร์โดยตรง เช่น 120 Package (Installment Loan Package) ที่ใช้ในการตรวจสอบ Installment Loans พัฒนาขึ้นเพื่อให้ผู้ตรวจ Installment Loans ซึ่งเป็นงานของ Financial Examiner ได้ตรวจสะดวกและรวดเร็วโดยได้ข้อมูลที่ต้องการเท่านั้น

ขั้นตอนของการวางแผนการตรวจสอบ EDP Audit / EDP Audit Plan – IT Audit Plan

สำหรับรูปภาพ ซึ่งเป็นแผนภาพการตรวจสอบ EDP Audit ในยุคแรก ๆ ของการตรวจสอบทางด้าน IT ซึ่งบางส่วนก็ยังสามารถประยุกต์มาใช้ในการวางแผนการตรวจสอบ IT Audit ในยุคปัจจุบันได้ ซึ่งขึ้นกับบริบทและสภาพแวดล้อม รวมทั้งระบบงานและเป้าประสงค์ของการตรวจสอบ และปัจจัยอื่น ๆ ที่เกี่ยวข้อง ผมจึงขอนำเสนอด้วยแผนภาพที่เข้าใจได้ง่าย ๆ และน่าจะเป็นประโยชน์ต่อผู้ตรวจสอบ ทั้งงานด้านทั่วไป (General Auditor) และ ผู้ตรวจสอบด้านคอมพิวเตอร์ (IT Auditor / IT Examiner)  รวมไปถึง IT Audit for Non-IT Auditor ซึ่งทาง สวทช. ได้จัดให้มีการอบรมหลักสูตรนี้ติดต่อกันมาเป็นปีที่ 7 แล้ว ดังนั้น ผู้บริหารที่ต้องการติดตามร่องรอยการบริหาร (Management Trail) และผู้ตรวจสอบ ซึ่งต้องการติดตามร่องรอยการประมวลงาน ซึ่งรวมทั้งขั้นตอนการดำเนินงานตรวจสอบ (Audit Trail) ก็อาจศึกษาแนวทางการตรวจสอบ เพื่อวางแผนการตรวจสอบซึ่งเป็นขั้นตอนที่มีความสำคัญยิ่ง ทั้งนี้ เพื่อทดสอบการควบคุมความเสี่ยง จากทางด้าน IT Risk ที่มีผลต่อ Business Risk รวมทั้งหาหลักฐานที่เกี่ยวข้องมาสนับสนุนความเห็นของผู้ตรวจสอบตามความจำเป็นต่อไป

ขั้นตอนการวางแผนการตรวจสอบ1

ขั้นตอนการวางแผนการตรวจสอบ2

ขั้นตอนการวางแผนการตรวจสอบ3

ขั้นตอนการวางแผนการตรวจสอบ4

ขั้นตอนการวางแผนการตรวจสอบ5

ขั้นตอนการวางแผนการตรวจสอบ6

ขั้นตอนการวางแผนการตรวจสอบ7ขั้นตอนการวางแผนการตรวจสอบ8

อนึ่ง ท่านผู้อ่านที่ได้ติตตามแผนภาพในเรื่องเกี่ยวกับ Audit Around the Computer และ Audit Through the Computer รวมทั้ง Test Data Method – TDM ในการเล่าเรื่องที่เกี่ยวข้องใน 2 ครั้งที่ผ่านมานั้น ก็เพื่อสร้างความคิด ความเข้าใจกับท่านผู้อ่านว่า ในยุคแรกของการตรวจสอบทางด้าน IT Audit ซึ่งเรียกว่า EDP Audit ในยุคนั้น เขามีวิธีการตรวจสอบกันอย่างไรโดยสังเขป ไม่ว่าจะใช้โปรแกรม หรือใช้ Manual ในการตรวจสอบก็ตาม

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 11)

กันยายน 13, 2014

สวัสดีครับทุกท่าน จากประสบการณ์ที่ผมได้ร่วมตรวจสอบ EDP Examiner กับ FDIC (Federal Deposit Insurance Corporation) และได้เล่าสู่กันฟังไปหลายตอนแล้วนั้น วันนี้ผมจะขอเล่าถึงการตรวจสอบที่ผมได้ร่วมกับ OCC (Office of the Comptroller of the Currency) ตามที่ได้กล่าวทิ้งท้ายในครั้งก่อนกันบ้างว่า จะมีความเหมือนหรือแตกต่างกันอย่างไร สำหรับงานตรวจสอบด้านคอมพิวเตอร์ของทั้ง 2 สถาบันดังกล่าว ซึ่งเป็นงานการตรวจสอบคอมพิวเตอร์ในยุคที่ผ่านมา เมื่อปี 2521 ติดตามกันต่อได้เลยครับ

การตรวจสอบคอมพิวเตอร์ของ OCC

ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examiners)

The Comptroller ได้แต่งตั้งผู้ตรวจสอบที่มีประสบการณ์ในการตรวจสอบให้ปฏิบัติงานเป็นผู้ตรวจสอบด้านคอมพิวเตอร์ (EDP Examiners) และได้จัดให้บุคคลเหล่านี้เข้ารับการฝึกอบรมเป็นพิเศษ เพื่อให้เป็นผู้ที่มีความสามารถในการที่จะตรวจสอบระบบการผลิตข้อมูลด้วยคอมพิวเตอร์ของธนาคารและของศูนย์บริการด้านคอมพิวเตอร์ (Service Center) ต่าง ๆ ที่ธนาคารใช้บริการอยู่

ผู้ตรวจการด้านคอมพิวเตอร์จะรายงานต่อ Regional Administrator ซึ่งตนสังกัดอยู่ แต่อย่างไรก็ตาม งานทางด้านเทคนิคต่าง ๆ ของการตรวจสอบด้าน EDP ยังคงอยู่ในความรับผิดชอบของฝ่ายกิจการธนาคาร (The Banking Operation Department) ในวอชิงตัน จำนวนของผู้ตรวจการ สถานที่ทำงาน และตารางเวลาการปฏิบัติงานของผู้ตรวจการดังกล่าว ยังคงขึ้นอยู่กับ Regional Administrator ซึ่งเป็นผู้บริหารงานของแต่ละ office การคัดเลือกผู้ตรวจการและการจัดให้เข้ารับการอบรมต้องประสานงานและได้รับอนุมัติจากสำนักงานตรวจสอบคอมพิวเตอร์ (EDP Examination Division) ในวอชิงตัน มาตรฐานและการดำเนินการฝึกอบรมให้ถือเป็นความรับผิดชอบของ Washington Office

ผู้ตรวจการด้าน EDP มีหน้าที่ในการตรวจสอบการผลิตข้อมูลด้วยคอมพิวเตอร์ในแต่ละธนาคาร และในศูนย์บริการซึ่งผลิตข้อมูลให้แก่ธนาคาร

แผนการปฏิบัติงาน (Work Programs) และรายงานการตรวจสอบจะจัดทำขึ้นโดยเฉพาะสำหรับแต่ละกิจการที่ตรวจสอบ วัตถุประสงค์ของการตรวจสอบก็เพื่อที่จะวัดผลการควบคุมภายในของระบบการผลิตข้อมูลด้วยคอมพิวเตอร์

ความจำเป็นของแต่ละท้องถิ่น ความสนใจและความชำนาญงานของผู้ตรวจการแต่ละคนจะเป็นปัจจัยที่กำหนดระยะเวลาที่จะใช้ในการตรวจสอบของผู้ตรวจการด้าน EDP ผู้ตรวจการด้าน EDP จะต้องเป็นผู้ที่มีความสนใจในงานด้านการผลิตข้อมูลด้วยเครื่องจักรนี้เป็นอย่างมาก เพื่อที่จะให้เป็นผู้ตรวจการที่มีประสิทธิภาพอยู่เสมอ

ผู้ตรวจการด้าน EDP ของ The Comptroller จะต้องเป็นผู้ที่คุ้นเคยกับงานด้านการตรวจสอบกิจการค้า กิจการทรัสต์ และกิจการธนาคารระหว่างประเทศ (International Bank) หรือเคยผ่านงานดังกล่าวมาบ้าง อย่างน้อยที่สุดต้องเป็นผู้ที่สามารถเข้าใจถึงกิจการดังกล่าวโดยตลอด ดังนั้น จึงอาจกล่าวได้ว่า ผู้ตรวจสอบคอมพิวเตอร์ (EDP Examine) จะต้องรู้ถึงแนวการตรวจสอบในแบบธรรมดามาแล้วเป็นอย่างดี และโดยปกติ EDP Examiner มักจะได้รับการคัดเลือกหรือมาจากความสมัครใจของผู้ตรวจสอบธรรมดา (Financial Examiner) ที่มีประสบการณ์การตรวจกิจการของธนาคารโดยทั่วไปมาแล้ว

การตรวจสอบคอมพิวเตอร์ (EDP Examination)

การตรวจสอบด้าน EDP ประกอบด้วยหลักการที่จะประเมินผลการควบคุมภายในที่มีอยู่ในศูนย์ประมวลผลแต่ละแห่ง ศูนย์ประมวลผลที่ดำเนินการประมวลผลข้อมูลและเก็บรักษาบันทึกข้อมูล (Master File Records) ของธนาคารทุกศูนย์จะต้องได้รับการตรวจสอบรายละเอียดด้านล่างนี้จะแสดงถึงลักษณะของศูนย์ประมวลผลที่จะต้องได้รับการตรวจสอบจากสำนักงานของ Comptroller

  • ศูนย์ประมวลผลข้อมูลของธนาคารที่ตั้งอยู่ในที่ทำการ (In-House Data Processing Center)
  • สาขาย่อยของศูนย์ประมวลผลของธนาคาร
  • กิจการในเครือของธนาคาร (Affiliates of National Bank) หรือ สาขาของธนาคาร (Subsidiaries of Bank Holding Companies) ซึ่งให้บริการผลิตข้อมูลแก่ธนาคาร
  • สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการด้านการประมวลผลข้อมูลแก่ธนาคาร (National Bank)
  • ระบบคอมพิวเตอร์ขนาดเล็ก (Minicomputer Systems) ของธนาคารที่ธนาคารใช้บันทึกข้อมูลเข้า Master Files ของระบบ Computer

ศูนย์ประมวลผลต่อไปนี้ไม่ต้องได้รับการตรวจสอบโดยสำนักงานของ Comptroller คือ

  • State Banks หรือสาขาของ State Banks ซึ่งให้บริการประมวลผลข้อมูลแก่ National Bank
  • ศูนย์ประมวลผลซึ่งมิใช่ของธนาคาร National Bank หรือสาขาของ National Bank และมิได้ให้บริการดังกล่าวแก่ National Bank

ส่วนเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่งใช้ประโยชน์เฉพาะ เพื่อการถ่ายทอดข้อมูลจากเอกสารต้นฉบับและส่งผ่าน (Transmitting) ไปยังศูนย์ประมวลผลเพื่อผ่านบัญชี (Posted), ประมวลผล (Processed) และ บันทึกข้อมูลและใช้เพื่อรับผล (Output) จากศูนย์และส่งกลับไปเพื่อแสดงผล ณ จุดต่าง ๆ ตามที่ต้องการ

การตรวจสอบระบบดังกล่าว ซึ่งมักเรียกว่า “Front-End Devices” มีข้อแนะนำดังต่อไปนี้

เมื่อใดก็ตามที่ธนาคารที่ตรวจสอบมีระบบ Front-End System เชื่อมโยงกับศูนย์คอมพิวเตอร์มากกว่า 1 แห่ง ผู้ตรวจการจะต้องเลือกไปตรวจสอบและดูความเหมาะสม 1 แห่ง และในการตรวจสอบครั้งต่อไปจะต้องเลือกแห่งใหม่ไม่ซ้ำกับที่เดิม แต่เนื่องจากการที่สถานที่ตั้งของ Front-End System อยู่คนละแห่งกันกับศูนย์ข้อมูลที่เข้าตรวจสอบตามหมายกำหนดการ ดังนั้น การตรวจสอบ Front-End Device ซึ่งอยู่คนละสถานที่กัน อาจทำให้ขณะที่เข้าตรวจศูนย์ข้อมูลอื่นซึ่งตั้งอยู่ในท้องถิ่นดังกล่าวได้ในภายหลัง และในกรณีนี้จะต้องมีรายละเอียดระบุไว้ด้วยว่า ได้ตรวจสอบครั้งก่อนเมื่อใด ใครเป็นผู้ตรวจ มีขอบเขตเพียงใด และไม่จำเป็นต้องรายงานแยกต่างหากอีก ข้อสังเกตของการตรวจสอบ Front-End System ดังกล่าวอาจรวมเข้ากับรายงานการตรวจสอบศูนย์ข้อมูลที่ได้ตรวจสอบเมื่อก่อนหน้านี้ก็ได้

Test Data

 

การตรวจสอบประสานกัน (Concurrent Examination)

การตรวจสอบกิจการของธนาคารและศูนย์ข้อมูลของธนาคารอาจจะกระทำพร้อมกันไปก็ได้ เพื่อให้มีการประสานงานระหว่างผู้ตรวจสอบด้าน EDP และผู้ตรวจสอบด้านเงินให้กู้ยืมและให้เครดิต และด้านกิจการทรัสต์ ในกรณีที่มีปัญหาหรือพบข้อแตกต่างในระหว่างการตรวจสอบร่วมกันนี้ ผู้ตรวจการด้าน EDP จะเป็นผู้รับผิดชอบในการชี้แจงแก่ผู้บริหารระดับสูง (Senior Management) และแนะนำแก่ผู้ตรวจสอบเงินให้กู้ยืมและให้เครดิต (Examiner-Incharge of The Commercial Examination) ถึงข้อแตกต่างที่ตรวจพบ

การตรวจสอบร่วมกัน (Joint Examination)

ในบางกรณี EDP Examiner ของ Comptroller อาจตรวจสอบร่วมกับ EDP Examiner ของสถาบันอื่นที่มีหน้าที่ควบคุมธนาคาร (Other Regulatory Authorities) ก็ได้ เช่น ผู้ตรวจสอบของ FDIC และ/หรือ FRB

ผู้ตรวจการควรพยายามประสานงานเพื่อตรวจสอบกิจการต่อไปนี้

กิจการในเครือ (Affiliate) ของ National Bank หรือสาขา (Subsidiary) ของ Holding Company ของธนาคารซึ่งเป็นผู้ให้บริการผลิตข้อมูลแก่ National และ State Banks)

สถาบันการเงินที่มิใช่ธนาคาร (Nonbanking Companies) ซึ่งให้บริการแก่ National และ State Banks

องค์การที่ตั้งขึ้นเพื่อให้บริการแก่ธนาคาร (Bank Services Corporations) ทั้งในรูปของการลงทุนร่วมกันหรือสหกรณ์ (Joint Ventures or Cooperations) ซึ่งให้บริการดังกล่าวได้แก่ National และ State Banks

สำหรับการตรวจสอบคอมพิวเตอร์กับ OCC ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามการตรวจสอบในแบบ Evaluation หรือ Around The Computer กันครับ

 

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 9)

มิถุนายน 23, 2014

จากการที่ผมได้ฝึกอบรม ในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) และ Course in Examining a Computerized Bank II (CECB-II) จากสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา ดังที่ได้เล่าสู่กันฟังในครั้งก่อนแล้วนั้น

ผมยังมีโอกาสได้ดูงานและฝึกงานกับ FDIC ที่ Franklin State Bank เมือง Franklin Township รัฐ New Jersey และ OCC (Office of the Comptroller of the Currency) ที่ Boulevard National Bank เมื่อง Chicago รัฐ Illinois ในปี 2521 ซึ่งทั้ง 2 แห่งนี้เป็นการฝึกงานภาคปฏิบัติ โดยผมได้ร่วมออกตรวจสอบธนาคารพาณิชย์กับ EDP Examiner ที่ตรวจสอบด้านคอมพิวเตอร์โดยเฉพาะ หลังจากที่ผมได้เข้ารับการอบรมที่ FDIC ไปแล้ว และจากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันนี้ ทำให้ผมได้รับความรู้และคิดว่าเป็นประโยชน์อย่างมากที่จะนำมาเล่าสู่กันฟัง เพื่อให้ผู้ตรวจสอบ รวมถึงผู้ที่สนใจงานการตรวจสอบคอมพิวเตอร์ ได้รับรู้ถึงวิวัฒนาการของการตรวจสอบ จากอดีตจนถึงปัจจุบัน

จากการได้ร่วมตรวจสอบกับทั้ง 2 สถาบันดังกล่าว FDIC และ OCC ได้แยกงานตรวจสอบคอมพิวเตอร์ต่างหากจากงานตรวจสอบธรรมดา โดยเรียกผู้ตรวจสอบคอมพิวเตอร์ว่า EDP Examiner และเรียกผู้ตรวจสอบงานด้านอื่น ๆ ว่า Regular Examiner หรือ Financial Examiner และยังแยก Financial Examiner ออกไปอีกตามลักษณะของงานดังนี้

– Trust Examiner
– Compliance Examiner
– Commercial Examiner

ข้อสังเกตระหว่าง EDP Examination และ Regular Examination สรุปได้ดังนี้

ภาพนิ่ง1

ภาพนิ่ง2

ตามข้อสังเกตข้างต้น อาจกล่าวได้ว่า EDP Examination มีลักษณะขอบเขต และวัตถุประสงค์ในการตรวจสอบแตกต่างไปกว่า Regular Examination มาก โดยในรายละเอียดของการร่วมตรวจสอบคอมพิวเตอร์กับทั้ง 2 สถาบันนี้ จะเป็นประโยชน์ต่อผู้ตรวจสอบและงานด้านการตรวจสอบคอมพิวเตอร์ได้เป็นอย่างดี ซึ่งผมจะขอเล่าถึงประสบการณ์การร่วมตรวจสอบของ FDIC ก่อนนะครับ สำหรับ OCC ผมจะเล่าถึงในโอกาสต่อ ๆ ไป

การตรวจสอบคอมพิวเตอร์ของ FDIC

EDP Examiner จะตรวจสอบเฉพาะด้านคอมพิวเตอร์เท่านั้น งานด้านอื่น ๆ โดยปกติจะไม่ตรวจสอบ โดย FDIC แบ่งงานตรวจสอบคอมพิวเตอร์เป็น 2 ประเภท คือ Evaluation และ Examination

Evaluation

ได้แก่ การประเมินผลด้าน Data Center ซึ่งกล่าวได้ว่าเป็นงานหลัก ซึ่งปกติ FDIC จะมีจดหมายพร้อมกับรายการที่ต้องการทราบไปยังธนาคารที่จะตรวจสอบเป็นการล่วงหน้า เพื่อให้เตรียมข้อมูลบางประเภทไว้ให้ EDP Examiner โดยจะแบ่งการประเมินผลด้าน Data Center เป็นดังนี้

– Internal and External Audit Coverage
– Organization
– Computer Operation
– Service Centers
– Computer Services
– Others

อย่างไรก็ดี ตั้งแต่เดือนมีนาคม 2521 เป็นต้นไป FDIC ได้มีการเปลี่ยนแนวการประเมินด้าน Data Center ใหม่ หลังจากที่ได้มีการประชุมหารือกับ Comptroller of the Currency และ FRB โดย FDIC และ FRB ได้ใช้แนวการประเมินผลด้าน Data Center ของ Comptroller of the Currency เป็นหลัก

ขั้นตอนในการ Evaluation และการออกรายงานการตรวจสอบคอมพิวเตอร์

การ Evaluation มีขั้นตอนในการดำเนินการและการปฏิบัติที่สังเกตได้ดังนี้

1. ขอพบกับผู้จัดการธนาคารที่จะตรวจสอบ

2. ขอพบกับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ และขอดูรายงานผู้สอบบัญชีภายนอก และรายงานผู้สอบบัญชีภายในของธนาคาร ในด้านที่เกี่ยวกับคอมพิวเตอร์ เพื่อนำมาประเมินงานและขอบเขตการตรวจสอบ

3. พับกับหัวหน้าผู้ควบคุมงานด้าน Data Center เพื่อซักถามงานทั่ว ๆ ไป พร้อมกับขอดูรายการที่ได้ขอให้ธนาคารจัดทำให้ว่าสมบูรณ์เพียงใด มีปัญหาอะไร และงานใดที่สัมพันธ์เกี่ยวเนื่องกันบ้าง

4. ดู Work Program เกี่ยวกับการ Evaluation แล้วกรอกรายการตาม Questionnairs ในแต่ละ Section ซึ่ง EDP Examiner จะต้องพิจารณามีอยู่ 4 Section คือ

การตรวจสอบคอมพิวเตอร์

  • ประเมินการตรวจสอบของผู้สอบบัญชีภายในและผู้สอบบัญชีภายนอก
  • ประเมินการจัดการของฝ่ายบริหาร
  • ประเมินระบบงานและคำสั่งงาน
  • ประเมินผลด้านการปฏิบัติงาน

เป้าหมายในการประเมินงานแต่ละเรื่องมีเช่นเดียวกับแนวของ OCC ทุกประการ ทั้งนี้เพราะในปัจจุบัน ทั้ง FDIC และ FRB ก็ใช้แนวการประเมินของ OCC เป็นหลัก

EDP Examiner จะติดตาม Questionnaire ในแต่ละ Section ดังกล่าว ซึ่งใช้เป็นแนวทางการตรวจสอบคอมพิวเตอร์ในขั้นปฏิบัติงาน

5. โดยปกติผู้ตรวจจะไม่อ่าน Questionnaire เพื่อสอบถามพนักงานธนาคารโดยตรง แต่จะถามเพื่อเอาข้อมูลมาตอบใน Questionnaire ของตน

6. การ Evaluation นอกจากจะได้จากการสอบถามแล้ว จากผู้รับผิดชอบในแต่ละหน่วยงานแล้ว ผู้ตรวจยังจะต้อง

  • สังเกตการปฏิบัติของพนักงานว่าเป็นไปตามที่ได้รับชี้แจงหรือไม่ด้วย
  • อ่านเอกสารต่าง ๆ ซึ่งเป็น Documenatation ของธนาคารในแต่ละหน่วยงานว่ามีพร้อมและ up-date หรือไม่ และสมบูรณ์พอที่ะจช่วยแก้ปัญหาด้านต่าง ๆ ของธนาคารหรือไม่ งานขั้นตอนนี้นับว่ามีความสำคัญ และรอบคอบ ผู้ตรวจจะต้องมีความรู้ในงานคอมพิวเตอร์ด้านต่าง ๆ ของธนาคารนั้น และตัดสินใจจาก Documentation ที่มีเป็นจำนวนมากมายในแต่ละหน่วยงาน เช่น ธนาคารขนาดกลางอาจมี Documentation ตั้งแต่หลายร้อยเล่ม จนถึงหลายพันเล่มก็ได้ ดั้งนั้น ถึงแม้ว่าผู้ตรวจจะเลือก Sampling ในการตรวจสอบเป็นปกติก็ตาม ผู้ตรวจสอบคอมพิวเตอร์จะต้องวินิจฉัยว่าควรจะดูเอกสารอะไรบ้าง ประเภทใด และควรจะดูเท่าใดถึงพอเพียง รวมทั้งจะต้องแน่ใจว่า มีการปฏิบัติตาม Documentation นั้นจริงหรือไม่ด้วย ระบบงานที่แตกต่างกัน การใช้เครื่องคอมพิวเตอร์ที่ต่างชนิดกันของธนาคารพาณิชย์ต่าง ๆ ทำให้มีความจำเป็นอย่างยิ่งที่ผู้ตรวจสอบจะต้องศึกษาและติดตามความก้าวหน้าด้านเทคนิคและความรู้ด้านใหม่ ๆ เกี่ยวกับคอมพิวเตอร์ของแต่ละบริษัทอยู่เสมอ

7. การ Evaluation ผู้ตรวจจะพบกับ Technical Term และระบบงานใหม่ ๆ อยู่เสมอ ซึ่งผู้ตรวจสอบจะรู้และถ้าจำเป็นต้องสอบถามถึงความหมายและที่มาของคำนั้น ๆ ว่าเกี่ยวข้องกับงานอะไรบ้าง และถ้าเกี่ยวกับระบบงาน จะต้องทราบว่าระบบงานนั้น ๆ ทำงานอย่างไร และจะมีผลเกี่ยวกับการตรวจสอบและการปฏิบัติงานของธนาคารโดยทั่วไปอย่างไร

8. จาก Work Program ที่ได้ข้อมูลจาก Questionnaire ใน Section ต่าง ๆ ผู้ตรวจสอบจะรวบรวมรายการที่จะ Comments ไว้ใน Work Sheet ต่างหากเพื่อนำไปหารือ EDP Examiner ที่อาวุโสกว่า

9. ข้อ Comments ต่าง ๆ พร้อมกับความเห็นของผู้ตรวจสอบจะนำไปหารือกับหัวหน้าหน่วยงานที่เกี่ยวข้อง เพื่อรับฟังความเห็นและรวบรวมคำชี้แจง ทั้งนี้เพื่อป้องกันปัญหาการโต้แย้งในภายหลัง เมื่อกระทำเป็นรูปรายงานและคำแนะนำเป็นทางการแล้ว

10. ผลของการตรวจสอบด้านคอมพิวเตอร์และคำแนะนำของผู้ตรวจการ จะนำไปสรุปสนทนากับผู้จัดการแผนก ฝ่ายคอมพิวเตอร์ หรือผู้จัดการใหญ่ หรือคณะกรรมการธนาคาร ทั้งนี้ขึ้นกับการตัดสินใจของผู้อำนวยการฝ่ายตรวจสอบด้านคอมพิวเตอร์ของแต่ละเขต

อนึ่ง การ Comments ปกติต้องกล่าวถึงคำชี้แจงของผู้ที่เกี่ยวข้องพร้อมคำแนะนำของผู้ตรวจสอบด้วย

11. สรุปสนทนาผลการตรวจสอบไม่มีเป็นลายลักษณ์อักษร

12. รายงานซึ่งเรียกว่า “Electronic Data Processing Control Evaluation” จะทบทวนโดย Review Examiner (EDP) ซึ่งทำหน้าที่ทบทวนความถูกต้องโดยการเช็คสอบความเหมาะสมของรายงานทั้งฉบับ

13. รายงานที่ผ่านการทบทวนจะผ่านความเห็นชอบจาก Director และเมื่อพิมพ์เสร็จแล้วจะถูกจัดส่งดังนี้

  • ส่งไป FDIC, Washington D.C.
  • ส่งไปยังธนาคารพาณิชย์ที่เกี่ยวข้อง
  • ส่งไปยัง OCC และ FRB ตามโครงการร่วมมือกันของสถาบันทั้ง 3 แห่ง ซึ่งเริ่มเดือนมิถุนายน 2521
  • ส่งไปยัง Services ในกรณีที่ธนาคารใช้บริการคอมพิวเตอร์จากที่อื่น
  • เก็บไว้ที่สำนักงานของแต่ละเขต

14. การจัดทำรายงาน จะจัดทำที่สำนักงานธนาคารพาณิชย์นั้น ๆ เอง โดยปกติสำหรับธนาคารพาณิชย์ขนาดกลาง การตรวจสอบและการทำรายงานการตรวจคอมพิวเตอร์นี้ใช้เวลาประมาณ 3 – 12 สัปดาห์ ทั้งนี้ขึ้นกับปริมาณงานและระบบงานของธนาคาร ตลอดจนขอบเขตของการตรวจสอบและปัญหาในการตรวจสอบครั้งก่อนกับการตรวจสอบครั้งใหม่ การจัดส่งรายงานที่ได้ผ่านการทบทวนโดย Review Examiner (EDP) ทั้ง 14 แห่ง แล้วจัดพิมพ์และส่งให้สถาบันที่เกี่ยวข้อง รวมทั้ง FDIC Washingto D.C. ด้วย ซึ่งใช้เวลานับตั้งแต่การตรวจสอบประมาณ 5 – 16 สัปดาห์

สำหรับงานการตรวจคอมพิวเตอร์ ประเภท Examination ของ FDIC ผมจะขอนำไปเล่าสู่กันฟังในครั้งหน้านะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 8)

พ.ค. 6, 2014

การวิวัฒนาการ การบริหาร การกำกับ และการตรวจสอบงานด้านคอมพิวเตอร์ในยุคก่อน ๆ ที่มีความแตกต่างไปจากงานการบริหาร การกำกับ และการตรวจสอบในยุคปัจจุบัน ซึ่งผมได้กล่าวถึงไปแล้วใน IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 ถึง 7 ตอนด้วยกันนั้น จากการพัฒนางานกำกับและตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์นี้ ทางธนาคารแห่งประเทศไทยได้มีการสื่อสารไปยังธนาคารพาณิชย์ทุกแห่ง ให้จัดตั้งสายงานตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ขึ้นมา โดยมีแนวทางการตรวจสอบที่ได้ศึกษามาจากประเทศสหรัฐอเมริกาเป็นหลักในการดำเนินงาน และต่อมาก็มีการพัฒนาและออกมาตรฐานต่าง ๆ มากมายมาใช้ประกอบในการกำกับดูแลหน่วยงานที่ใช้คอมพิวเตอร์ทุกแห่ง และผมได้กล่าวทิ้งท้ายไว้ในครั้งที่แล้วว่า จะเล่าสู่กันฟังถึงแนวทางการศึกษาและการฝึกอบรม รวมทั้งการดูงานในประเทศสหรัฐอเมริกา และในประเทศญี่ปุ่นของผม เพื่อเป็นประโยชน์ต่อผู้ที่สนใจศึกษาและติดตามงานการบริหาร การกำกับ และ การตรวจสอบงานด้านคอมพิวเตอร์ ซึ่งก็ติดตามกันต่อได้เลยครับ

การเดินทางไปเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในครั้งนั้น เป็นการเข้ารับการฝึกอบรมและดูงานเฉพาะด้านเป็นครั้งแรกของฝ่ายกำกับและตรวจสอบสถาบันการเงิน โดยมีวัตถุประสงค์ที่จะพัฒนาผู้ตรวจสอบและวางแนวทางการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ในประเทศไทย เนื่องจากการเข้ารับการฝึกอบรมและดูงานเกี่ยวกับการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ครั้งแรกนี้ ผมถือว่าเป็นเรื่องใหม่สำหรับผมอย่างแท้จริงในตอนนั้น เพราะไม่มีแนวทางใด ๆ ที่พอจะใช้ศึกษาก่อนการเดินทางได้ว่าจะดำเนินการอย่างไรบ้าง ผมทราบเพียงแต่เป้าหมายและวัตถุประสงค์ที่แน่นอน ซึ่งได้ใช้เป็นหลักในการกำหนดโครงการและแผนการอื่น ๆ ที่คิดได้ในขณะนั้น และในระหว่างการดูงานเพื่อเป็นแนวทางไปสู่เป้าหมายที่ได้รับมอบหมายดังกล่าวข้างต้นเท่านั้น

แต่กระนั้น ผมก็ได้พยายามสอบถามตนเองเสมอว่า

“เรากำลังเดินไปสู่ทิศทางที่ถูกต้องแล้วหรือไม่”

“สิ่งที่ได้รับประจำวันนั้น ทำให้เราใกล้เคียงกับเป้าหมายแล้วหรือยัง”

“เราจะทำอย่างไรที่จะช่วยให้ถึงหรือใกล้เป้าหมายได้”

การสอบถามตนเองเหล่านี้ได้กระทำเป็นประจำทุกวัน เพื่อให้นึกถึงประเด็นที่เข้าใจว่าจะทำให้ใกล้เคียงเป้าหมายมากขึ้น ผมก็จะจดบันทึกไว้เพื่อดำเนินการต่อไปในวันรุ่งขึ้น

การกระทำเช่นนี้อย่างสม่ำเสมอทำให้ประเมินว่าพอที่จะเข้าใจและเห็นแนวทางได้บ้าง ประกอบกับการที่ได้มีโอกาสร่วมการตรวจสอบกับผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ของ FDIC (Federal Deposit Insurance Corporation) และ OCC (Office of the Comptroller of the Currency) ในการตรวจสอบคอมพิวเตอร์ (EDP Examination) ในภาคปฏิบัติงานตรวจสอบจริง ๆ ของทั้ง 2 สถาบัน ซึ่งก็ทำให้ผมได้เห็นเป้าหมายที่ต้องการเด่นชันขึ้น โดยเฉพาะอย่างยิ่ง เมื่อได้ทบทวนถึงสิ่งที่ได้เรียนรู้จากการอบรมที่ FDIC Training Center ในหลักสูตร Course in Examining a Computerized Bank I และ II (CECB I-II)

fdic_splash

อย่างไรก็ดี ผมเองยังมีประสบการด้านคอมพิวเตอร์ไม่มากนัก สิ่งที่ได้ประเมินในระหว่างการฝึกอบรมและดูงานขณะที่อยู่ในประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น หรือแม้กระทั่งได้กลับมาปฏิบัติงานในประเทศไทยในตอนนั้นแล้วก็ตาม จึงอาจจะมีบางสิ่งบางอย่างที่มองข้ามไป หรือนึกไม่ถึงเพราะประสบการณ์เกี่ยวกับคอมพิวเตอร์ที่อาจมีไม่มากพอและเพิ่งเริ่มศึกษากันไม่นานนัก ประกอบกับมีงานประจำด้านอื่นที่ต้องปฏิบัติอยู่ด้วย จึงทำให้โอกาสที่จะค้นคว้าหรือศึกษางานด้านคอมพิวเตอร์ค่อนข้างจำกัด และเมื่อพิจารณาถึงความก้าวหน้าด้าน Computer Technology ที่เป็นไปอย่างรวดเร็วด้วยแล้ว ทำให้ผมตระหนักเสมอว่าโอกาสที่จะประเมินผลการดูงานด้านการตรวจสอบธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ผิดพลาดไปย่อมมีอยู่ไม่น้อย

OCC

ทั้งนี้ ผมจึงได้จัดทำรายงานการฝึกอบรมและดูงานไว้ เพื่อจะเป็นรายงานที่ทำให้ทราบว่าเป้าหมายที่ได้วางไว้ก่อนเดินทางไปฝึกอบรมและดูงานนั้น ได้รับผลเพียงใดอย่างกว้าง ๆ นอกจากนี้ยังได้รายงานในหัวข้อที่เกี่ยวกับ “สิ่งที่ได้เรียนรู้จากการดูงานด้านคอมพิวเตอร์ของธนาคารพาณิชย์ต่าง ๆ” ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้ที่จะมาทำหน้าที่เป็นผู้ตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ (EDP Examiner) ซึ่งผมจะขอนำเสนอเป็นหัวข้อตามภาพด้านล่าง เพื่อให้เห็นถึงภาพรวมของกระบวนการตรวจสอบงานทางด้าน IT Audit/IT Examination หรือในยุคนั้นเรียกกันโดยทั่วไปว่า EDP Audit ในช่วงปี พ.ศ. 2521 และก่อนหน้านั้น และหากมีโอกาสผมจะได้นำมาเล่าสู่กันฟังในบางหัวข้อตามความเหมาะสมต่อไป

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

ภาพนิ่ง4ภาพนิ่ง5

สำหรับการฝึกอบรม ผมได้อบรมในหลักสูตร Course in Examining a Computerized Bank I (CECB-I) ใช้เวลา 1 สัปดาห์ โดยเป็นส่วนหนึ่งของหลักสูตร “Bank Examination School for Senior Assistant Examiners” และ Course in Examining a Computerized Bank II (CECB-II) ใช้เวลา 2 สัปดาห์ จัดเป็นหลักสูตรอบรมเฉพาะผู้ตรวจสอบที่ผ่าน CECB-I มาแล้ว และจะได้รับการคัดเลือกให้เป็น EDP Examiner ต่อไป โดยมีวัตถุประสงค์ของการอบรม คือ

หลักสูตร Course in Examining a Computerized Bank I (CECB-I) ก็เพื่อแนะนำทฤษฎีและวิธีการตรวจสอบธนาคารพาณิชย์ด้านคอมพิวเตอร์ที่ไม่มีศูนย์คอมพิวเตอร์ของตนเอง แต่ใช้บริการของบุคคลภายนอกในการประมวลผลงานของธนาคาร

หลักสูตร Course in Examining a Computerized Bank II (CECB-II) มีวัตถุประสงค์เพื่อให้ผู้เข้ารับการอบรมเข้าใจถึงการประเมินผลของศูนย์ปฏิบัติงานด้านคอมพิวเตอร์ ในกรณีที่ธนาคารมีเครื่องคอมพิวเตอร์เพื่อประมวลผลงานด้านต่าง ๆ ของธนาคารเอง โดยเฉพาะการใช้เทคนิคการสอบถามข้อมูลในกระบวนการตรวจสอบ ตลอดจนการทำความเข้าใจเกี่ยวกับการใช้คอมพิวเตอร์ให้มากขึ้น

โดยการฝึกอบรมนี้เป็นการฝึกอบรมของสถาบัน FDIC Training Center (Federal Deposit Insurance Corporation) ที่ Arlington, Verginia ประเทศสหรัฐอเมริกา โดยมี Training Center อยู่ในอาคารที่มีบริษัทห้างร้านเช่ารวมกันอยู่หลายสำนักงาน ห้องที่ใช้ฝึกอบรมนั้นเป็นห้องที่มีเครื่องปรับอากาศทุกห้อง  มีห้องขนาดใหญ่และขนาดเล็กหลายห้อง สำหรับการประชุมแบบ Syndicate และมีห้องเครื่องคอมพิวเตอร์ขนาดเล็ก ซึ่ง ณ ช่วงเวลาที่ผมกลับจากการอบรมแล้วและจัดทำรายงานการอบรม (ปี พ.ศ. 2522) ห้องนี้ได้ใช้เป็นเครื่องคอมพิวเตอร์ของ IBM System 3 และมีเครื่องเจาะบัตรหลายเครื่องตั้งอยู่ในห้องเดียวกัน เพื่อใช้สำหรับการฝึกหัดและการทำความเข้าใจของผู้เข้ารับการอบรม ซึ่ง FDIC ก็ยังมีโครงการจะเปลี่ยนเครื่องคอมพิวเตอร์ที่ใช้ในการอบรมใหม่ในอีก 2 ปีข้างหน้า (นับจากช่วงเวลาที่ผมได้รับการอบรมนั้น) อีกทั้งยังมีเครื่องมือ เครื่องใช้ และอุปกรณ์การอบรมครบถ้วนและทันสมัยทั้งสิ้น

นอกจากนี้ FDIC ยังมีระบบ “FOCUS DISPLAYS” ซึ่งผู้เข้ารับการอบรมสามารถทดลองใช้ได้ด้วย ระบบที่กล่าวถึงนี้ สามารถดึงข้อมูลซึ่งเป็นสถิติต่าง ๆ เกี่ยวกับการตรวจสอบและข้อมูลที่เกี่ยวกับงานวิเคราะห์ธนาคารพาณิชย์ทุกธนาคารทั่วประเทศสหรัฐอเมริกาที่ประกันเงินฝากไว้กับ FDIC ให้ปรากฎทางจอรับภาพได้ในทันทีที่ต้องการทราบ และถ้าต้องการข้อมูลใดเป็นพิเศษ ก็สามารถกดปุ่มพิมพ์ข้อมูลนั้น ๆ ได้ภายในเวลาที่รวดเร็วมาก

ศูนย์ฝึกอบรมคอมพิวเตอร์ ของสถาบัน FDIC

ลักษณะของการฝึกอบรมในหลักสูตร CECB-I จะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกท (Syndicat Discussion) เป็นส่วนใหญ่ และแจกเอกสารให้ผู้เข้ารับการอบรมไปศึกษาค้นคว้าด้วยตนเอง ส่วนหลักสูตร CECB-II จะมีลักษณะเป็นการบรรยายและซักถาม และวิธีประชุมกลุ่มแบบซินดิเกทเช่นกัน แต่ส่วนใหญ่เป็นการฝึกงานการใช้เครื่องคอมพิวเตอร์ในการทำแบบฝึกหัด และการประชุมกลุ่มเพื่อฝึกซ้อม Case Study ต่าง ๆ และในเวลาพักจะให้ผู้ฝึกอบรมทดลองเครื่องและอุปกรณ์คอมพิวเตอร์ได้ตามความถนัด ซึ่งหลักสูตร CECB-II นี้ เป็นหลักสูตรเฉพาะสำหรับผู้ตรวจสอบที่จะได้รับมอบหมายให้เป็น EDP Examiner ต่อไป

การวัดผล การรับรองผล และการประเมินผล ทั้งหลักสูตร CECB-I และ CECB-II นอกจากการฟังบรรยายแล้ว ผู้เข้ารับการอบรมจะต้องแยกกันประชุมกลุ่มซินดิเกทพิจารณาปัญหาต่าง ๆ เพื่อทำความเข้าใจเพิ่มเติมเกี่ยวกับหัวข้อวิชาที่บรรยายและเป็นการฝึกฝนทบทวน การประชุมกลุ่มซินดิเกทจะนำเสนอต่อที่ประชุมใหญ่ ซึ่งจะสรุปความเห็นและอธิบายปัญหาต่าง ๆ และจะให้ผู้เข้ารับการอบรมซักถามเพิ่มเติม นอกจากนี้ยังมีการฝึกหัดการใช้เครื่องคอมพิวเตอร์ การเขียนคำสั่งงาน และการแก้ไขคำสั่งงานที่สามารถให้เครื่องคอมพิวเตอร์ปฏิบัติตามความต้องการได้ เช่น การดึงข้อมูล การจัดรูปข้อมูลที่อยู่ในม้วนเทป, ดิสก์ ให้พิมพ์ข้อมูลในแบบฟอร์มเดิม หรือในรูปแบบฟอร์มใหม่ เพื่อการตรวจสอบได้ด้วย

ทั้งนี้ในการฝึกหัดจะแบ่งผู้เข้ารับการอบรมเป็นกลุ่ม ๆ กลุ่มละ 2 คน ให้ช่วยกันเขียนคำสั่งงานเพิ่มเติมจากคำสั่งงานที่มีอยู่แล้ว และหรือแก้ไขคำสั่งงานตามที่ผู้บรรยายจะกำหนด โดยแต่ละกลุ่มจะต้องอยู่ปฏิบัติงานนั้น ๆ จนแล้วเสร็จ ถ้ามีปัญหาก็หารือผู้ฝึกสอนได้ เมื่อเขียนหรือแก้ไขคำสั่งงานเสร็จหรือเพื่อทดลองผล ผู้เข้ารับการอบรมแต่ละกลุ่มจะต้องนำไป process งานนั้นกับเครื่องคอมพิวเตอร์จริง ๆ ว่าได้ผลในรูปแบบที่ผู้บรรยายต้องการหรือไม่ แต่ละกลุ่มจะต้องปฏิบัติงานที่ได้รับมอบหมายแต่ละครั้งจนเป็นที่พอใจของผู้ฝึกสอน จึงจะถือว่าผ่านการบรรยายวิชานั้น ๆ ซึ่งนับว่าเป็นการวัดผลการสอนไปในตัว โดยไม่ต้องมีการทดสอบเป็นทางการเมื่อสิ้นสุดการอบรมอีก สำหรับการประเมินผลการอบรมนั้น ผู้เข้ารับการอบรมจะกรอกแสดงความคิดเห็นลงในแบบฟอร์มหลังจากสิ้นสุดการอบรมแต่ละหลักสูตรว่า วิชานั้น ๆ เป็นอย่างไร ได้ความรู้แค่ไหน เพียงใด ผู้สอน ๆ ได้ดีหรือไม่ ซึ่งมีลักษณะเช่นเดียวกับแบบประเมินผลการฝึกอบรม ที่ส่วนการพนักงานของธนาคารแห่งประเทศไทย จัดให้ผู้เข้ารับการอบรมแสดงความคิดเห็นเมื่อเสร็จสิ้นการอบรมเช่นกัน

สำหรับผมแล้ว การได้มีโอกาสไปร่วมรับการอบรมทั้ง 2 หลักสูตรครั้งนั้น นับว่ามีประโยชน์มาก เพราะได้รับความรู้เกี่ยวกับแนวความคิดและหลักการปฏิบัติในการตรวจสอบคอมพิวเตอร์ ได้มีโอกาสสังเกตการตรวจสอบและการดำเนินงานด้านการฝึกอบรมเกี่ยวกับคอมพิวเตอร์ ซึ่งต่อมาธนาคารแห่งประเทศไทย ได้นำมาวางเป็นแนวทางในการตรวจสอบธนาคารพาณิชย์ทุกแห่งที่ใช้คอมพิวเตอร์ได้เป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »