วิสัยทัศน์ของประเทศและขององค์กร กับ GRC เพื่อการเติบโตอย่างยั่งยืน

พ.ค. 21, 2011

วันนี้ผมจะนำเสนอในเรื่องที่ค้างคาใจของผมมานานแล้วก็คือ ผมอยากจะเห็น อยากได้อ่าน การกำหนดวิสัยทัศน์ของประเทศไทยที่ชัดเจน และเป็นรูปธรรม เป็นลายลักษณ์อักษร เพื่อเป็นทิศทางที่จะกำหนดพันธกิจ นโยบายและกลยุทธ์ของประเทศ รวมทั้งการจัดทำแผนงาน / โครงการต่าง ๆ ที่จะมีความชัดเจนและใช้ทรัพยากรอย่างมีคุณภาพยิ่งขึ้น หากประเทศไทยเรากำหนดวิสัยทัศน์อย่างเหมาะสม

ตามความเห็นของผมจึงได้นำเสนอวิสัยทัศน์ที่น่าจะเป็นไปได้มากของประเทศไทยที่อาจจะเรียกว่าเป็นการฉลองครบรอบ 100 ปีของการบริหารประเทศแบบประชาธิปไตย คือเริ่มตั้งแต่ปี พ.ศ. 2475 – 2575 โดยกำหนดเป็นวิสัยทัศน์ที่น่าจะท้าทายพอสมควร และเป็นเข็มทิศของประเทศว่า “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว”

ท่านผู้อ่านคิดว่าน่าจะดีไหมครับ ท่านผู้อ่านเคยได้ยิน หรือเคยเห็นว่าประเทศไทยมีการกำหนดวิสัยทัศน์ของประเทศไทยไว้ไหมครับ และเคยแปลกใจไหมว่า เราบริหารประเทศมากว่า 75 ปี ในแบบประชาธิปไตยนั้น ทิศทางที่เราต้องการจะเป็นหรือต้องการจะเห็นในอนาคตของประเทศไทยนั้นคืออะไร

นโยบายและแผนงานต่าง ๆ ที่กำหนดขึ้นมาโดยไร้ทิศทางที่กำหนดวิสัยทัศน์อย่างชัดเจนนั้น จะกำหนดแผนงานและโครงการอย่างไรให้เป็นไปอย่างสอดคล้องกันทั่วทั้งประเทศ ทั้งทางด้านเศรษฐกิจ การเงิน รวมทั้งความมั่นคงของประเทศ ถ้าหากขาดเป้าหมายที่ต้องการในอนาคต ในระดับชาติหรือองค์กร

ดังนั้นประเทศไทยจะนำแนวทางการบริหารประเทศแบบหลอมรวมและบรูณาการตามหลักการ GRC มาใช้ เพื่อให้เกิดการสอดประสานในนโยบาย รวมทั้งแผนงาน / โครงการต่าง ๆ ไม่ได้ดีเท่าที่ควร ถ้าหากขาดวิสัยทัศน์ที่ชัดเจน…

ท่านลองนึกดูนะครับว่า หากตัวท่านเองหรือองค์กรที่ท่านบริหารขาดวิสัยทัศน์ที่ชัดเจน ท่านหรือองค์กรที่ท่านบริหารจะมีทิศทางในการบริหารความสำเร็จในชีวิตของท่าน องค์กรของท่าน หรือประเทศของเราอย่างไร…

จริงอยู่ตัวเราเอง องค์กร และประเทศของเรา ก็บริหารกันมาด้วยดีตามสมควรมาโดยตลอด แต่เมื่อเทียบกับประเทศอื่น ๆ ที่มีวิสัยทัศน์ที่ชัดเจน และรวมพลังกันในการขับเคลื่อนให้วิสัยทัศน์นั้นเป็นจริง โดยการกำหนดนโยบาย กลยุทธ์ และแผนงาน / โครงการต่าง ๆ อย่างสอดประสานกันทั่วทั้งประเทศอย่างประเทศเพื่อนบ้านของเราหลายประเทศที่กำหนดวิสัยทัศน์อย่างชัดเจน เช่น ประเทศมาเลเซีย ที่กำหนดว่า “ภายใน ปี ค.ศ. 2020 ประเทศมาเลยเซียจะเป็นประเทศที่พัฒนาแล้ว” เป็นต้น

ดังนั้น ผมจึงขอนำเสนอเรื่องวิสัยทัศน์กับการบริหารประเทศแบบหลอมรวมและบรูณาการ / GRC ซึ่งอาจอธิบายประกอบกับภาพโดยย่อ ๆ ดังนี้นะครับ

ความหมายของ GRC ก็คือ G = Governance, R = Risk Management, C = Compliance
หากกล่าวเพียงแค่นี้ หลายท่านก็จะพูดว่า องค์กรของเรามี GRC แล้ว แต่แท้จริงแล้ว GRC มีความหมายมากกว่า G + R + C วิธีการง่าย ๆ ในการประเมินตนเองในเรื่องนี้ก็คือ หากองค์กรของท่านมีนโยบายเรื่อง G R C แยกต่างหากจากกัน และมีสายงานที่รับผิดชอบในเรื่องนั้น ๆ โดยเฉพาะ องค์กรของท่านถือว่ายังไม่มีการบริหารในแบบ GRC ที่แท้จริง เพราะการบริหารแบบ GRC เป็นการบริหารแบบหลอมรวมและบูรณาการ G + R + C เป็นหนึ่งเดียวเท่านั้น ผมขออธิบายตามรูปภาพย่อ ๆ ดังนี้ จากภาพเลข 6 เป็นการบริหารแบบ GRC ที่สมบูรณ์ ส่วนภาพเลข 5 เป็นการบริหารแบบ GRC ในลักษณะหนึ่งที่ยังต้องการความหลอมรวมไปสู่ GRC ภาพเลข 6 ซึ่งต้องใช้ IT – Based เป็นตัวเชื่อมในลักษณะ Technology Convergence

GRC กับวิสัยทัศน์ของประเทศและองค์กร

ท่านผู้อ่านคงอาจจะสังเกตได้นะครับว่า เว็บนี้เริ่มนำเสนอความคิดที่เกี่ยวข้องกับ วิสัยทัศน์ของประเทศไทยที่น่าจะเป็น และท้าทายก็คือ “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” นั่นคือ การบริหารประเทศหรือการบริหารองค์กร จำเป็นอย่างยิ่งที่ต้องกำหนดทิศทางของประเทศและองค์กรในอนาคตที่ชัดเจน เพื่อให้เกิดพันธกิจ นโยบาย กลยุทธ์ รวมทั้งแผนงาน / โครงการที่จะดำเนินการภายใต้กลยุทธ์และนโยบายตามพันธกิจ สู่วิสัยทัศน์อย่างเป็นระบบ ซึ่งจะก่อให้เกิดการบริหารแบบสอดประสานและบูรณาการของแผนงาน และโครงการต่าง ๆ ที่มีประสิทธิภาพและประสิทธิผล ในการบริหารทรัพยากรของประเทศและองค์กรอย่างเป็นรูปธรรม และจะก่อให้เกิดการบูรณาการ Integrated Management ในระดับต่าง ๆ เพื่อก้าวไปสู่ Integrity – Driven Performance ที่เป็นแนวทางการบริหารแบบหลอมรวม และบูรณาการที่เรียกว่า GRC อย่างแท้จริง

ความหมายของคำว่า Integrity – Driven Performance ที่น่าจะเข้าใจได้ง่าย ก็คือ การขับเคลื่อนการบริหาร และการจัดการขององค์กรไปสู่ความสมบูรณ์แบบ / Integrity โดยใช้ IT – Based ไปขับเคลื่อนกระบวนการปฏิบัติงาน ตั้งแต่ระดับบนไปสู่ระดับปฏิบัติการ อย่างเป็นระบบ และมีระเบียบ เป็นขั้นตอน เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรมีการบริหารในลักษณะบูรณาการ / Integrated ในทุกองค์ประกอบที่เกี่ยวข้องกับ Governance (CG + ITG +++), Risk Management (IT และ Non – IT ซึ่งประกอบด้วย CobiT / ITIL + COSO – ERM) และ Compliance (การปฏิบัติตามกฎหมาย กฎเกณฑ์ คำสั่ง ระเบียบ การปฏิบัติตามสัญญา +++ รวมทั้งการปฏิบัติตามมาตรฐาน / Good Practice / Lesson – Learned ต่าง ๆ ที่เกี่ยวข้อง) โดยมีการติดตามการบริหาร (Monitoring) และการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk Based Internal Audit Approach) อย่างเป็นระบบที่เน้นไปในลักษณะของ Continuous Monitoring / Auditing และการรายงาน รวมทั้ง การปฏิบัติงานที่มีประสิทธิภาพในระดับต่าง ๆ +++

ทั้งนี้ หลักการของ GRC จะสมบูรณ์ไม่ได้เลยหากประเทศหรือองค์กร ขาดหลักการและแนวทาง การมี การใช้ อย่างเป็นรูปธรรมของจรรยาบรรณ และจริยธรรม (Ethics) และการปรับเปลี่ยนวัฒนธรรม รวมทั้งสภาพแวดล้อมที่ไม่เหมาะสมและไม่สอดคล้องกับหลักการของ Governance เช่น ความโปร่งใสที่ตรวจสอบได้ (Transparency) ความรู้ความสามารถในการปฏิบัติหน้าที่ (Responsibility) ความรับผิดชอบในผลของการปฏิบัติงาน (Accountability) การปฏิบัติโดยเท่าเทียมกัน (Equitable Treatment) การมีวิสัยทัศน์เพื่อสร้างความเติบโตอย่างยั่งยืน (Creation of Long Term Value – Sustainable Growth) การดูแลสังคมและสภาพแวดล้อมที่ดี (Social and Environmental Awareness) และการส่งเสริมการปฏิบัติอันเป็นเลิศและการมีจรรยาบรรณาที่ดีในการประกอบธุรกิจ (Promotion of Best Practices)

An Integrated Approach To GRC

ทั้งนี้ การบริหารในแบบ GRC นี้จะต้องคำนึงถึง ผู้มีผลประโยชน์ร่วม และสังคม (Stakeholders) มากกว่าผู้ถือหุ้น (Shareholders) ที่ผู้บริหารประเทศและคณะกรรมการระดับสูงขององค์กรต้องเป็นผู้กำหนดวิสัยทัศน์ และนโยบายที่ชัดเจน ในลักษณะ Tone at the top ด้วยจิตวิญญาณของความรับผิดชอบต่อประเทศ / องค์กร เพื่อก้าวไปสู่พันธกิจและวิสัยทัศน์ที่กำหนดอย่างมุ่งมั่น และทุ่มเท

อย่างไรก็ดี การที่ประเทศหรือองค์กรจะบริหารได้ดีมีประสิทธิภาพในลักษณะการบริหารแบบบูรณาการและการหลอมรวมกระบวนการจัดการต่าง ๆ เป็นหนึ่งเดียว ที่มิใช่นำเพียง G + R + C มารวมกันเท่านั้น เป็นเรื่องท้าทายยิ่ง เพราะการประสานงานและกระบวนการจัดการต่าง ๆ ที่หลอมรวมแบบบูรณาการเป็นหนึ่งเดียวกันนั้น จะเกิดไม่ได้เลย ถ้าประเทศหรือองค์กร ไม่มีวิสัยทัศน์ที่ชัดเจน หรือไม่กำหนดวิสัยทัศน์ในการบริหารจัดการประเทศ หรือองค์กรอย่างเป็นรูปธรรม เพราะพันธกิจ นโยบาย และแผนงาน/โครงการต่าง ๆ ที่ตามมาจะขาดทิศทางที่ชัดเจน ที่จะก่อให้เกิดการบริหารแบบบูรณาการ (Integrated Management) เพื่อก้าวไปสู่การบริหารแบบหลอมรวมและบูรณาการ ตามแบบฉบับของ GRC ที่แท้จริงนะครับ

1 ความเห็น | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12

เมษายน 29, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

สวัสดีครับทุกท่าน ในครั้งก่อนผมได้กล่าวถึงประเด็นสำคัญที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย ผู้บริหารระดับสูงองค์กร ควรต้องพิจารณาในการควบคุมความเสี่ยง เช่น เรื่องของระบบการควบคุมความเสี่ยง นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง การสอบทานแผนงาน/โครงการใหม่ ซึ่งได้นำเสนอไปแล้วนั้น สำหรับตอนนี้จะขอนำเสนอประเด็นที่ควรพิจารณาต่อเลยนะครับ

4. มาตรฐานหรือเกณฑ์ขั้นต่ำในการพิจารณาแผนงาน/โครงการใหม่

องค์กรควรมีกระบวนการและหลักเกณฑ์ในการพิจารณาอนุมัติ การนำเสนอแผนงานหรือโครงการใหม่ ๆ อย่างรอบคอบและรัดกุม ซึ่งส่วนใหญแล้วจะเป็นการวิเคราะห์ความสำเร็จของงาน โดยเปรียบเทียบระหว่างผลสำเร็จ ตัวชี้วัด และความเสี่ยงที่ยอมรับได้ นอกจากนี้ องค์กรควรมีการจัดทํารายงาน ติดตามผลการดําเนินงานภายหลังการดำเนินงานตามแผนงาน เพื่อประเมินความสําเร็จว่าจะดําเนินกลยุทธ์อย่างไรต่อไป เช่น หากแผน
งาน/โครงการใหม่ดังกล่าวไม่ประสบผลสําเร็จ องค์กรอาจพิจารณาแนวทางแก้ไขหรือตัดสินใจยกเลิกแผนงาน/โครงการที่ต่อเนื่อง

ความเชื่อมโยงระหว่างยุทธศาสตร์ การบริหารความเสี่ยง

5. คุณภาพและประสิทธิผลของระบบการควบคุมภายใน

ระบบการควบคุมภายในจะช่วยให้องค์กรปฏิบัติงานได้อย่างมีประสิทธิผล มีรายงานที่เชื่อถือได้ มีการดูแลรักษาทรัพย์สิน และช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายที่กําหนด องค์กรควรกําหนดให้มีผู้ตรวจสอบภายในที่เป็น อิสระ ทําหน้าที่รายงานผลการตรวจสอบภายใน หรือผลการสอบทานระบบโดยตรงต่อคณะกรรมการฯ หรือคณะกรรมการตรวจสอบอย่างเป็นลายลักษณ์อักษร เพื่อดําเนินการแก้ไขได้ ทันท่วงที โดยองค์กรควรดําเนินการหรือจัดให้มีรายการต่อไปนี้

(1) มีระบบการควบคุมภายในที่เหมาะสมสําหรับประเภท และระดับความเสี่ยงที่เกิดขึ้นจากลักษณะและขอบเขตของธุรกิจ

(2) มีสายการบังคับบัญชาและหน้าที่ความรับผิดชอบที่ชัดเจน และเป็นลายลักษณ์อักษร เพื่อการควบคุมและติดตามการปฏิบัติตามนโยบาย ขั้นตอนการบริหาร ความเสี่ยง และเพดานความเสี่ยง

(3) มีการแบ่งแยกหน้าที่และการรายงานระหว่างการปฏิบัติและการควบคุมอย่างชัดเจน

(4) มีขั้นตอนการตรวจสอบ และสอบทานการควบคุมภายในด้านต่าง ๆ อย่างอิสระและเป็นรูปธรรม ได้แก่ ขอบเขตและขั้นตอนการปฏิบัติงาน การรายงาน ข้อเท็จจริงที่พบ และการแก้ไขตามผลการตรวจสอบ รวมทั้งระบบจัดการข้อมูลและระบบการรายงานต่าง ๆ

(5) มีการจัดทํารายงานผลการตรวจสอบและสอบทาน และรายงานการปฏิบัติที่ไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ต่าง ๆ รวมทั้งผลการสอบสวนและการดําเนินการแก้ไขที่เชื่อถือได้ ถูกต้อง ทันกาล และเป็นลายลักษณ์อักษร

(6) คณะกรรมการตรวจสอบหรือคณะกรรมการฯ ควรสอบทานประสิทธิผลของการตรวจสอบภายใน และการควบคุมอื่นอย่างสม่ำเสมอ เพื่อแก้ไขข้อบกพร่องที่มีนัยสําคัญได้อย่างเหมาะสมและทันกาล

6. แผนการสร้างผู้บริหารทดแทนและการฝึกอบรม

การบริหารบุคคลครอบคลุมการกําหนดโครงสร้างของฝ่ายงานที่รับผิดชอบในด้านการวางแผนคัดเลือกพนักงาน การกําหนดตําแหน่งงานและรายละเอียดลักษณะงาน การพัฒนาและฝึกอบรมที่เหมาะสม ระบบการประเมินผลการปฏิบัติงาน และผลตอบแทนการจัดการด้านโครงสร้างเงินเดือน และเครือข่ายการติดต่อสื่อสารที่มีประสิทธิผล

วัตถุประสงค์ของการบริหารบุคคล คือ
(1) เพื่อให้การดําเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับนโยบายองค์กร

(2) เพื่อให้มีบุคลากรที่มีคุณภาพเพียงพอที่จะปฏิบัติงานตามหน้าที่ความรับผิดชอบ และสามารถคัดเลือกพนักงานที่มีคุณภาพมาทดแทนได้อย่างเหมาะสม ดังนั้น ฝ่ายบริหารบุคคลจึงมีบทบาทสําคัญในการเตรียมความพร้อมด้านบุคลากรให้สอดคล้องหรือรองรับกับทิศทางกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรกําหนดรายละเอียดของลักษณะงาน (job description) ระบบการประเมินผลการปฏิบัติงาน โครงสร้างเงินเดือน ผลตอบแทน และบทลงโทษที่เหมาะสม เพื่อให้ผลการดําเนินงานและหน้าที่ความรับผิดชอบเหล่านั้น สอดคล้องกับกลยุทธ์และเป้าหมายที่กําหนดไว้ รวมทั้งควรจัดเตรียมแผนการสร้างผู้บริหารทดแทน เพื่อให้องค์กรสามารถดําเนินธุรกิจได้อย่างต่อเนื่อง

ซึ่งแนวทางหนึ่งคือ สนับสนุนผู้บริหารรุ่นใหม่ที่มีความสามารถให้มีความรู้และประสบการณ์ที่จําเป็นสําหรับการปฏิบัติงานในระดับสูงขึ้นต่อไป ทั้งนี้ ฝ่ายบริหารควรกําหนดรายละเอียดเกี่ยวกับคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่งระดับบริหาร โปรแกรมการฝึกอบรม และการฝึกงานที่จําเป็นไว้ด้วย เพื่อให้มั่นใจว่า องค์กรสามารถดํารงไว้ซึ่งผู้บริหารที่มีความสามารถ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมายควรกําหนดมาตรการ ดังนี้

(1) ทบทวนผลการปฏิบัติงานของผู้บริหารระดับสูง โดยเปรียบเทียบกับเป้าหมายที่กําหนดไว้อย่างน้อยปีละครั้ง เพื่อให้ทราบว่าผลการปฏิบัติงานอยู่ในระดับที่น่าพอใจเพียงใด สามารถดําเนินการให้บรรลุเป้าหมายที่กําหนดไว้ได้มากน้อยเพียงใด โดยอาจพิจารณาได้จากผลประกอบการทั้งในเชิงคุณภาพและเชิงปริมาณ เปรียบเทียบกับแผนดําเนินงานและงบประมาณ การลงทุน ส่วนแบ่งตลาด ความสามารถในการแข่งขัน และระดับความเสี่ยง เป็นต้น

(2) กําหนดนโยบายหรือแผนการเกี่ยวกับการสร้างตําแหน่งผู้บริหารทดแทน ควรมีการจัดทําและทบทวนนโยบายอย่างน้อยปีละครั้ง ให้เหมาะสมกับโครงสร้างองค์กรและลักษณะงาน โดยควรครอบคลุมถึงกระบวนการในการฝึกอบรม การฝึกงานที่จําเป็น รายละเอียดคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่ง เป็นต้น

(3) ทบทวนสัญญาว่าจ้างผู้บริหารภายนอกในสาระสําคัญ กรณีที่มีการว่าจ้างผู้บริหารมืออาชีพจากภายนอก ที่ปรึกษา หรือผู้เชี่ยวชาญ เพื่อปฏิบัติหน้าที่เป็นกรณีพิเศษ ควรมีการสอบทานความเหมาะสมของสัญญาว่าจ้าง เพื่อกําหนดบทบาทหน้าที่ และเกณฑ์การประเมินผลการปฏิบัติงาน และการจ่ายค่าตอบแทนที่ชัดเจน

ทั้งนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีสิทธิและอํานาจการตัดสินใจที่สําคัญ รวมทั้งสามารถสอบทานผลการปฏิบัติงานของบุคคลดังกล่าว คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรดําเนินการติดตามและควบคุมการปฏิบัติงานของบุคคลภายนอก เพื่อป้องกันไม่ให้มีการแสวงหาผลประโยชน์จากองค์กร เช่น
(3.1) กําหนดขอบเขต หน้าที่ ความรับผิดชอบในการปฏิบัติงานอย่างชัดเจน
(3.2) ร่างข้อกําหนดที่เป็นทางการ โดยให้ครอบคลุมถึงมาตรฐานขั้นต่ำของผลงานที่ยอมรับได้ และระยะเวลาในการปฏิบัติงานที่ชัดเจน
(3.3) มีการประเมินผลการปฏิบัติงานโดยเปรียบเทียบกับผลที่คาดไว้
(3.4) สัญญาว่าจ้างควรผ่านการพิจารณาจากฝ่ายกฎหมาย และได้รับความเห็นชอบโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย
(3.5) ควรกําหนดในสัญญาให้องค์กรมีสิทธิบอกเลิกสัญญาได้ หากไม่สามารถปฏิบัติได้ตามเป้าหมายที่ตกลงไว้

(4) กําหนดแนวทางและวิธีการในการให้ผลตอบแทนแก่ผู้บริหารระดับสูง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีส่วนร่วมในการพิจารณาเกี่ยวกับ ผลตอบแทนที่ให้แก่ผู้บริหารระดับสูงเพื่อให้มีความเหมาะสม โดยอาจกําหนดเป็นในรูปตัวเงินหรือไม่ใช่ตัวเงินก็ได้ ทั้งนี้ ต้องคํานึงถึงความเหมาะสมและฐานะการเงินขององค์กรในขณะนั้นด้วย

(5) การกําหนดแผนการฝึกอบรม องค์กรควรจัดสรรงบประมาณสําหรับการฝึกอบรมให้เพียงพอ และจัดหาบุคลากรที่เหมาะสม มีความรู้ความเข้าใจเกี่ยวกับการบริหารบุคคล เพื่อรับผิดชอบการบริหารโครงการฝึกอบรมขององค์กร โดยสามารถดําเนินการได้ 2 ลักษณะ คือ จัดอบรมโดยวิทยากรภายใน หรือว่าจ้างสถาบันฝึกอบรมหรือเชิญวิทยากรจากภายนอก การฝึกอบรมเป็นปัจจัยสําคัญที่จะช่วยให้องค์กรสามารถพัฒนาคุณภาพของบุคลากร อันจะช่วยให้การดําเนินงานประสบผลสําเร็จได้ตามเป้าหมาย รวมทั้งยังเป็นช่องทางหนึ่งในการสื่อสารแผนงานและเป้าหมายขององค์กรให้ พนักงานทราบ โดยอาจเป็นการอบรมเรื่องทั่วไป เช่น นโยบายขององค์กรเกี่ยวกับกลยุทธ์ธุรกิจ ภาพรวมความเสี่ยง ลักษณะธุรกิจและแผนงาน/โครงการ แนวทางการปฏิบัติงาน และนโยบายการบริหารงานบุคคล เป็นต้น หรือเป็นการอบรมสําหรับการปฏิบัติงานเฉพาะด้าน เช่น การบริหารเงิน หรือการจัดอบรมพิเศษด้านเทคนิคเมื่อมีแผนงานหรือโครงการใหม่ ๆ เป็นต้น ทั้งนี้ ควรมีแผนการอบรมที่ต่อเนื่องและเนื้อหาสอดคล้องกับเป้าหมายการดําเนินงานและกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรสนับสนุนให้พนักงานได้มีโอกาสศึกษาต่อเพื่อเพิ่มพูนความรู้ เสริมทักษะ และเป็นการเพิ่มศักยภาพของพนักงานให้ก้าวทันกับวิทยาการใหม่ ๆ ที่จําเป็นต่อการดําเนินงานในอนาคต

7. การวางแผนรองรับการดําเนินธุรกิจ (business continuity planning)

การจัดทําแผนรองรับการดําเนินธุรกิจ เป็นการเตรียมความพร้อมเพื่อให้มีการดําเนินธุรกิจอย่างต่อเนื่อง สําหรับกรณีเกิดเหตุการณ์ที่ไม่คาดคิด โดยอาจจัดทําแผนรองรับการดําเนินธุรกิจสําหรับสถานการณ์วิกฤตที่จําลองขึ้น ในหลาย ๆ กรณี เช่น กรณีวิกฤตจากการไม่สามารถปฏิบัติได้สําเร็จตามแผนกลยุทธ์ กรณีวิกฤตจากภาวะเศรษฐกิจถดถอยรุนแรง หรือกรณีวิกฤตจากอุบัติเหตุหรืออุบัติภัยทางธรรมชาติ เช่น น้ำท่วม หรือไฟไหม้อันกระทบต่อการปฏิบัติงานอย่างมาก นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และบริหารระดับสูง ควรกําหนดรายละเอียดการบริหารจัดการ และผู้มีอํานาจสั่งการและ/หรือ ลงลายมือชื่อแทนตามลําดับชั้น ในกรณีที่ผู้บริหารระดับสูงบางรายหรือส่วนใหญ่ไม่สามารถปฏิบัติหน้าที่ได้ ซึ่งแผนรองรับการดําเนินธุรกิจควรประกอบด้วย

(1) แผนรองรับด้านการปฏิบัติการ ได้แก่ แผนการกําหนดสถานที่ปฏิบัติงานและประมวลผลสํารอง และแผนป้องกันความเสียหายของระบบประมวลผลข้อมูล (electronic data processing – EDP)

(2) แผนรองรับด้านการบริหาร ได้แก่ แผนพัฒนาศักยภาพความสามารถด้านการแข่งขัน และแผนรองรับหากดําเนินการไม่สําเร็จตามแผนกลยุทธ์

สำหรับการวางแผนรองรับการดําเนินธุรกิจ (business continuity planning) เป็นเรื่องที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและให้ความสำคัญอย่างยิ่งยวด ในการเตรียมความพร้อมรับมือกรณีเกิดเหตุการณ์ไม่คาดคิดดังที่ผมได้กล่าวในข้างต้น และควรจัดให้มีการดำเนินงานตามแผนรองรับดังกล่าว ซึ่งในรายละเอียด ผมจะได้นำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

ปิดความเห็น บน ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12 | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 11

เมษายน 21, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในการติดตามและการตรวจสอบความเสี่ยงด้านกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งมีหน้าที่รับผิดชอบการดําเนินงานโดยรวมขององค์กร ต้องกําหนดแนวทางการควบคุมความเสี่ยง เช่น นโยบาย มาตรฐาน วิธีการปฏิบัติงาน ระบบการบริหารความเสี่ยง ระบบการควบคุมภายใน ระบบการติดตามและรายงานความเสี่ยง เช่น รายงานเปรียบเทียบผลปฏิบัติงานจริงกับประมาณการ รายงานตรวจสอบภายใน เป็นต้น ซึ่งในการควบคุมความเสี่ยง องค์กรควรจะพิจารณาในประเด็นที่ผมจะได้กล่าวถึงต่อไปนี้

1. ระบบการควบคุมความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรกําหนดระบบการควบคุมความเสี่ยงที่เป็นแนวทางปฏิบัติที่ดีตามแนวทางสากล หน่วยงานที่ทําหน้าที่ติดตามและควบคุมความเสี่ยงต้องเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง (risk taking function) เพื่อถ่วงดุลอํานาจในการบริหาร โดยมีการสอบยันกันเพื่อป้องกันช่องโหว่ในการควบคุมภายใน รวมทั้งต้องมีการทดสอบการควบคุมความเสี่ยงอย่างสม่ำเสมอ โดยหน่วยงานที่เป็นอิสระทั้งจากภายในและภายนอก เพื่อให้มั่นใจว่าองค์กรมีการบริหารงานตามหลักธรรมาภิบาล และมีระบบการควบคุมความเสี่ยงที่เหมาะสม

การกําหนดให้ระบบการควบคุมความเสี่ยง และหน่วยงานบริหารความเสี่ยงเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง อาจดําเนินการได้โดยแยกหน่วยงานบริหารความเสี่ยงออกไป เช่น การจัดตั้งหน่วยงานสอบทานหรือตรวจสอบภายใน และการจัดให้มีคณะกรรมการบริหารความเสี่ยง ซึ่งไม่มีหน้าที่เกี่ยวข้องโดยตรงกับการตัดสินใจทางธุรกิจหรือ การดำเนินธุรกิจประจําวัน รวมทั้งการมีบุคลากรที่มีความชํานาญ และมีคุณสมบัติที่เหมาะสมกับงานในด้านที่เกี่ยวข้อง สามารถเข้าใจลักษณะแผนงาน/โครงการ การดำเนินงานและผลกระทบจากระดับความเสี่ยงขององค์กรเกินเพดานที่กําหนดไว้ เป็นต้น

ขอบเขตหน้าที่ของคณะกรรมการบริหารความเสี่ยงมีมากกว่าการกําหนดนโยบาย และการจัดให้มีกระบวนการบริหารความเสี่ยง โดยจะครอบคลุมการสอบทานการปฏิบัติตามเพดานความเสี่ยง การกําหนดความถี่ในการสอบทาน และประเภทความเสี่ยงที่จะสอบทาน ความถี่ในการสอบทานจะขึ้นอยู่กับระดับความเสี่ยงของหน่วยงานที่รับความเสี่ยง เช่น กิจกรรมหรือการดำเนินงานทางการเงินของฝ่ายการเงินที่ควรได้รับการสอบทานทุกวัน กิจกรรมที่ไม่เกี่ยวข้องกับการเงินอาจได้รับการสอบทานเป็นรายสัปดาห์หรือรายเดือน

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรได้รับรายงานต่าง ๆ เพื่อประกอบการสอบทานและการติดตามความเสี่ยง ได้แก่ รายงานการบริหารหนี้สินและทรัพย์สิน รายงานสภาพคล่องของธุรกิจองค์กร รายงานเกี่ยวกับแผนงาน หรือโครงการที่มีระดับความเสี่ยงสูง รายงานเปรียบเทียบผลปฏิบัติงานจริงกับเป้าหมาย เป็นต้น

2. นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดนโยบายและขั้นตอนการบริหารความเสี่ยง ตามประเภทของความเสี่ยงอย่างละเอียด ถูกต้อง ชัดเจน และเป็นลายลักษณ์อักษร เพื่อใช้เป็นแนวทางการปฏิบัติงานประจําวัน รวมทั้งกําหนดเพดานความเสี่ยง เพื่อจํากัดขอบเขตความเสียหายให้อยู่ในระดับที่ยอมรับได้

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรทบทวนนโยบายและขั้นตอนการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อปรับปรุงให้เหมาะสมกับการเปลี่ยนแปลงของธุรกรรมขององค์กร หรือภาวะธุรกิจที่เปลี่ยนแปลงไปในประเด็นต่าง ๆ ดังนี้

(1) นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยงต้องครอบคลุมการระบุ การวัด การติดตามและรายงาน และการควบคุมความเสี่ยงของธุรกรรม แผนงาน/โครงการที่สําคัญ เช่น การลงทุน

(2) นโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยง ควรสอดคล้องกับวัตถุประสงค์ เป้าหมาย และความสามารถโดยรวมขององค์กร ทั้งนี้ แผนงาน/โครงการที่ไม่ได้กําหนดไว้ในนโยบายหรือที่มิได้ระบุไว้ในแผนกลยุทธ์ ต้องผ่านความเห็นชอบจากคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงก่อนทุกครั้ง

(3) ควรกําหนดนโยบายให้มีการสอบทานแผนงานหรือโครงการใหม่ ๆ เพื่อให้มั่นใจว่าองค์กรมีเครื่องมือหรือระบบที่จําเป็นในการระบุ วัด ติดตาม และควบคุมความเสี่ยง ก่อนที่จะเริ่มแผนงาน/โครงการใหม่

(4) ต้องกําหนดแยกหน้าที่ความรับผิดชอบ และสายการบังคับบัญชา ในขั้นตอนการบริหารความเสี่ยงอย่างชัดเจน เพื่อประโยชน์ในการบริหารจัดการและมีผู้รับผิดชอบโดยตรงในแต่ละแผนก กิจกรรม หรือโครงการ

(5) ต้องกําหนดเพดานความเสี่ยงอย่างชัดเจน และสามารถวัดได้

3. การสอบทานแผนงาน/โครงการใหม่

ในการบริหารองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องติดตามการเปลี่ยนแปลงของตลาด ความก้าวหน้าทางเทคโนโลยี และพยายามเสนอแผนงาน/โครงการใหม่ ๆ เพื่อยกระดับความสามารถในการแข่งขัน และตอบสนองต่อความต้องการของลูกค้า หรือผู้ใช้บริการ อย่างไรก็ตาม การเสนอแผนงานหรือโครงการใหม่สามารถเพิ่มความเสี่ยงแก่องค์กรได้ หากไม่พิจารณาอย่างละเอียดรอบคอบ

ดังนั้น องค์กรจึงต้องระมัดระวังอย่างยิ่ง สําหรับการวางแผนกลยุทธ์ในการเสนอแผนงาน/โครงการใหม่ เพื่อลดปัญหาและ ข้อผิดพลาดให้เกิดขึ้นน้อยที่สุด และควรกําหนดให้มีระบบและกระบวนการสอบทานการเสนอแผนงาน/โครงการใหม่ โดยต้องประเมินว่าจะมีผลกระทบมากน้อยเพียงใดต่อความเสี่ยงหลักขององค์กร คือ ความเสี่ยงด้านกลยุทธ์ (Strategic Risk -S) ความเสี่ยงด้านปฏิบัติการ (Operational Risk – O) ความเสี่ยงด้านการเงิน (Financial Risk – F) ความเสี่ยงด้านการปฏิบัติตามระเบียบ กฎหมาย กฎเกณฑ์ (Compliance Risk – C)

นอกจากนี้ องค์กรอาจใช้แบบจําลองเพื่อศึกษาผลกระทบที่อาจเกิดขึ้นจากแผนงาน/โครงการใหม่ต่อฐานะ รายได้และเงินลงทุนในสถานการณ์ต่าง ๆ รวมทั้งการใช้วิจารณญาณและประสบการณ์ของบุคลากรที่มีความเชี่ยวชาญประกอบการตัดสินใจ อย่างไรก็ตาม แม้ว่าแบบจําลองจะมีข้อจํากัดและไม่สามารถครอบคลุมทุกสถานการณ์ที่อาจเกิดขึ้น แต่สามารถใช้เป็นเครื่องมือที่ช่วยสร้างความมั่นใจให้กับผู้วิเคราะห์ได้ระดับหนึ่ง ทั้งนี้ องค์กรควรกําหนดกระบวนการสอบทานแผนงาน/โครงการใหม่อย่างครบถ้วน และปรับปรุงระบบการดําเนินงานและระบบควบคุมต่าง ๆ ก่อนใช้งานจริง ซึ่งควรครอบคลุมประเด็นดังต่อไปนี้

(1) การกําหนดหน้าที่การสอบทานอย่างชัดเจน องค์กรควรจัดตั้งคณะทํางานหรือคณะกรรมการย่อย ซึ่งประกอบด้วยตัวแทนระดับเจ้าหน้าที่อาวุโสจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กร เพื่อให้มั่นใจว่าองค์กรสามารถประเมินผลกระทบที่อาจเกิดขึ้นจากการเสนอแผนงาน/โครงการใหม่ได้ครบถ้วน นอกจากนี้ หน่วยงานหลัก ได้แก่ ฝ่ายบริหารเงิน และฝ่ายบริหารความเสี่ยง และหน่วยงานสนับสนุน เช่น ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายบริหารบุคคล และ ฝ่ายตรวจสอบภายใน เป็นต้น ควรเข้ามามีส่วนร่วมในการพิจารณาแผนงาน/โครงการใหม่ด้วย และควรมีการจัดทํารายงานเสนอความเห็นจากหน่วยงานต่าง ๆ ต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูงเป็นระยะ

(2) การวิเคราะห์และสอบทานแผนงาน/โครงการใหม่ หน่วยงานที่ทําหน้าที่ในการวิเคราะห์และสอบทาน จะต้องเข้าใจกระบวนการดำเนินงานของแผนงาน/โครงการใหม่อย่างชัดเจน เพื่อให้มั่นใจว่าการสอบทานครอบคลุมทุกประเด็นที่สําคัญ ได้แก่

(2.1) วัตถุประสงค์ของแผนงาน/โครงการ ระยะเวลาในการดำเนินงาน งบประมาณหรือการลงทุน

(2.2) ประโยชน์ที่คาดว่าจะได้รับ เมื่อเทียบระหว่างแผนงาน/โครงการใหม่กับแผนงาน/โครงการเดิมที่มีอยู่แล้ว

(2.3 ) ผลวิเคราะห์ความสําเร็จของแผนงาน/โครงการ

(2.4) ผลกระทบที่มีนัยสําคัญที่คาดว่าจะเกิดขึ้นต่อความเสี่ยงด้านต่าง ๆ และหน่วยงานที่เกี่ยวข้อง

(2.5) วิธีการระบุ วัด ติดตาม และควบคุมความเสี่ยงของแผนงาน/โครงการและผู้รับผิดชอบ

(2.6) ข้อจํากัดของทรัพยากรด้านต่าง ๆ ที่นำมาใช้ในระบบงาน และระบบเทคโนโลยีสารสนเทศปัจจุบัน และการเตรียมการปรับปรุงให้สามารถรองรับแผนงาน/โครงการใหม่ได้

(2.7 ) ความรู้ ความสามารถ และประสบการณ์ของพนักงานที่เกี่ยวข้อง

(2.8) การอนุมัติและความเห็นจากฝ่ายงานต่าง ๆ ที่เกี่ยวข้อง

ในการควบคุมความเสี่ยง ยังมีอีกหลายประเด็นที่คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรจะต้องพิจารณาในมุมมองของการติดตามและตรวจสอบด้านกลยุทธ์ ซึ่งผมจะขอนำเสนอต่อในครั้งหน้านะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 10

เมษายน 12, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

หลังจากที่พนักงาน หรือฝ่ายงานขององค์กรได้ปฏิบัติและดำเนินงานตามแผนกลยุทธ์ ดังที่ผมได้เล่าสู่กันฟังไปแล้วในครั้งที่ผ่านมา สิ่งสำคัญที่คณะกรรมการ และผู้บริหาร ต้องใส่ใจอย่างยิ่งยวดและจะขาดเสียมิได้ ก็คือ การติดตามและรายงานความเสี่ยง ที่ผู้บริหารต้องนำไปใช้ในการวิเคราะห์และตัดสินใจ ซึ่งผมจะขอแบ่งเป็น 2 ส่วน คือ ในส่วนแรกจะเป็นเรื่องของระบบสารสนเทศเพื่อใช้ในการบริหารจัดการ สำหรับส่วนที่ 2 จะเป็นเรื่องของรายงานการติดตาม

การติดตามและการรายงานความเสี่ยงนั้น ควรกระทำอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า ความเสี่ยงที่มีอยู่ในระดับที่ยอมรับได้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรได้รับรายงานที่เกี่ยวข้องโดยมีความถูกต้อง ทันเวลา และมีความถี่ที่เหมาะสม เพื่อให้ข้อมูลสําคัญสําหรับการตัดสินใจของผู้บริหาร

ประสิทธิผลของการติดตามความเสี่ยง ขึ้นอยู่กับความสามารถในการระบุและวัดความเสี่ยงต่าง ๆ ซึ่งต้องอาศัยระบบข้อมูลสารสนเทศเพื่อการบริหาร หรือแบบจําลอง (model) ที่เหมาะสม ถูกต้อง และรวดเร็ว เพื่อช่วยในการวิเคราะห์และตัดสินใจ ดังนั้น คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงต้องจัดให้มีการพัฒนาและปรับปรุงระบบข้อมูลสารสนเทศ ให้สามารถระบุและวัดความเสี่ยงต่าง ๆ ได้อย่างแม่นยําและน่าเชื่อถืออยู่เสมอ เพื่อรองรับธุรกรรมหรืองานที่มีความซับซ้อนและหลากหลายขององค์กร เช่น องค์กรที่ประกอบธุรกรรมที่มีความซับซ้อนเป็นอย่างมาก ควรมีระบบการรายงานและระบบการติดตามความเสี่ยงที่สามารถวัดความเสี่ยงโดยรวมได้ นอกจากนี้ ระบบสารสนเทศขององค์กร ควรมีการรวบรวมข้อมูลทั้งจากภายใน เช่น ข้อมูลทางการเงิน การบัญชี และข้อมูลจากภายนอก เช่น สภาพเศรษฐกิจ ภาวะตลาด การแข่งขัน เทคโนโลยี และกฎเกณฑ์ของทางการ เป็นต้น

ระบบสารสนเทศเพื่อการบริหาร (MIS) ระบบสารสนเทศเป็นระบบหรือขั้นตอนที่ให้ข้อมูลสําคัญเพื่อการตัดสินใจและการบริหารที่มีประสิทธิผล ซึ่งจะช่วยสนับสนุนการดําเนินงานตามแผนกลยุทธ์ โดยทั่วไปมีวัตถุประสงค์เพื่อ
• จัดหา รวบรวม และประมวลผลข้อมูล
• สนับสนุนเป้าหมายกลยุทธ์และทิศทางขององค์กร
• ลดค่าใช้จ่ายในการดําเนินงาน
• ส่งเสริมการติดต่อสื่อสารของพนักงาน
• รายงานข้อมูลที่ซับซ้อนได้อย่างทั่วถึง

ระบบสารสนเทศที่มีประสิทธิผล จะต้องสนับสนุนการดําเนินงานตามวัตถุประสงค์ เป้าหมาย และการให้บริการต่าง ๆ ขององค์กรอย่างเพียงพอ สามารถเสนอรายงานในรูปแบบที่ต้องการได้ทันเวลา และกําหนดระดับชั้นการเข้าถึงข้อมูลที่เหมาะสม ซึ่งอาจเป็นได้ทั้งระบบอัตโนมัติและระบบประมวลผลโดยพนักงาน หรือทั้งสองอย่าง ที่สําคัญคือ การกําหนดวิธีการควบคุมที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลนั้นถูกต้องตามที่ต้องการ และมีการป้องกันความผิดพลาดในการเรียกข้อมูลจากหลายระบบงาน ซึ่งอาจทําให้เกิดการรายงานและการตัดสินใจที่ผิดพลาดขึ้นได้

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องให้ความสําคัญกับการพัฒนา การติดตั้ง และการทบทวนระบบสารสนเทศอย่างสม่ำเสมอ รวมทั้งควรกําหนดนโยบาย กรอบการปฏิบัติงาน และขั้นตอนการดําเนินงานเกี่ยวกับระบบสารสนเทศที่ครอบคลุมตั้งแต่การพัฒนา การบํารุงรักษา การรักษาความปลอดภัย จนถึงการปรับปรุงหรือเปลี่ยนแปลงระบบงานให้เป็นมาตรฐาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องจัดให้มีระบบสารสนเทศเพื่อการบริหารที่ประกอบด้วย คุณสมบัติที่สําคัญ 5 ประการ ดังนี้

1) ทันกาล (timeliness) องค์กรควรมีระบบการรายงานที่สามารถจัดหา และส่งข้อมูลที่เป็นปัจจุบันไปยังผู้ใช้อย่างรวดเร็ว ทันต่อการตัดสินใจ ระบบดังกล่าวควรเก็บข้อมูล สรุปผล หรือปรับแก้ไขข้อผิดพลาดที่เกิดขึ้นได้อย่างรวดเร็ว

(2) ความถูกต้อง (accuracy) ควรมีการตรวจสอบข้อมูลนําเข้า ระบบ สารสนเทศ และผลลัพธ์ เพื่อให้มั่นใจว่ามีการประมวลผลข้อมูลอย่างถูกต้อง โดยกําหนดให้มีระบบการควบคุมภายใน การตรวจสอบและประเมินโดยผู้ตรวจสอบภายในและภายนอก และมีการสอบทาน อย่างต่อเนื่อง

(3) ความสม่ำเสมอ (consistency) การรวบรวมและประมวลผลข้อมูลควรมีความสม่ำเสมอและเป็นรูปแบบเดียวกัน เพื่อประโยชน์ในการเปรียบเทียบผลการดําเนินงานระหว่าง ฝ่ายงาน การวิเคราะห์ข้อมูลและแนวโน้มที่เปลี่ยนแปลงไป ทั้งนี้ ขั้นตอนการรายงานและรวบรวมข้อมูลอาจเปลี่ยนแปลงได้ตามความเหมาะสม คณะกรรมการฯ หรือคณะกรรมการ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดวิธีปฏิบัติและขั้นตอนการเปลี่ยนแปลงระบบดังกล่าว เป็นลายลักษณ์อักษร และสื่อสารให้เจ้าหน้าที่ที่เกี่ยวข้องรับทราบโดยทั่วถึง

(4) ความสมบูรณ์ของข้อมูล (completeness) รายงานควรมีลักษณะที่กระชับครบถ้วน เพื่อให้คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีข้อมูลที่ครบถ้วนและสอดคล้องกับประเด็นที่ต้องการตัดสินใจหรือแก้ปัญหา

(5) ความเกี่ยวข้อง (relevance) ข้อมูลที่เสนอคณะกรรมการฯ หรือ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสอดคล้องและเหมาะสมกับระดับชั้นของผู้รับข้อมูล และต้องมีข้อมูลสําคัญที่จําเป็นต่อการตัดสินใจรวมอยู่ด้วยเสมอ

รายงานการติดตาม ในการประเมินความเพียงพอ และความเหมาะสมของการติดตามความเสี่ยงและรายงานต่าง ๆ ที่เสนอต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และ ผู้บริหารระดับสูง รวมทั้งระบบข้อมูลสารสนเทศขององค์กร ฝ่ายงานต่าง ๆ ควรพิจารณาปัจจัยดังต่อไปนี้

1) วิธีการติดตามความเสี่ยงและรายงานความเสี่ยง ครอบคลุมความเสี่ยงทุกด้านและเป็นลายลักษณ์อักษร

2) ข้อมูลและวิธีปฏิบัติงานมีความเหมาะสม เป็นลายลักษณ์อักษร และมีการทดสอบความน่าเชื่อถืออย่างสม่ำเสมอ

3) รายงานผลการดําเนินงาน และการสื่อสารภายในองค์กร มีความเหมาะสมกับปริมาณและความซับซ้อนของธุรกรรมขององค์กร

4) มีการจัดทํารายงานที่เสนอต่อคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่ถูกต้อง ทันกาล และมีข้อมูลเพียงพอต่อการประเมินแนวโน้มและระดับความเสี่ยงขององค์กร

ครั้งหน้าเราไปติดตามการควบคุมความเสี่ยงกันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance และ IT Strategy ระดับองค์กรและระดับประเทศ บางมุมมองที่ต้องบูรณาการในแต่ละกระบวนการเข้าด้วยกันแบบ GRC (ต่อ)

มีนาคม 22, 2011

ครั้งที่แล้ว ผมได้กล่าวถึงแนวทางการกำหนดนโยบายที่ชัดเจน ทางด้านการบริหารความมั่นคงข้อมูลสารสนเทศที่ดี รวมทั้งแนวทางการปฏิบัติที่ชัดเจน ไม่กำกวม ในภาพรวมระดับชาติที่อาจใช้เป็นกรอบในการกำกับ หรือขับเคลื่อนการบริหารการจัดการด้านสารสนเทศที่ดี ที่สามารถแลกเปลี่ยนข้อมูล หรือหลอมรวมข้อมูลกันภายในกระทรวง ทบวง กรม ที่เป็นหน่วยงานของรััฐต่าง ๆ โดยมีกลยุทธ์ที่ผสมผสานเป็นหนึ่งเดียวในการบริหารจัดการสารสนเทศ ซึ่งจะช่วยลดการใช้ทรัพยากรของชาติได้อย่างมหาศาลในอนาคต และสร้างความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมในทุกภาคส่วน ทั้งในและระหว่างประเทศนั้น

หากประเทศเรามีนโยบายการบริหารจัดการสารสนเทศตามแนวทางและหลักการของ IT Governance โดยใช้กรอบและกระบวนการของ CobiT และ ITIL รวมทั้งมาตรฐานอื่น ๆ ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ การบริหารความเสี่ยง และการจัดการด้านคุณภาพ รวมทั้งการจัดองค์กรและความสัมพันธ์ของหน่วยงานเทคโนโลยีสารสนเทศ ซึ่งจะเกี่ยวข้องกับการกำหนดทิศทางของเทคโนโลยีสารสนเทศ ทั้งในระดับองค์กรและในระดับประเทศนั้น +++

แนวทางและขอบเขตการบริหาร IT Governance ที่เกี่ยวกับ CobiT ในเรื่องหลัก ๆ 4 เรื่อง หรือ 4 องค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อนคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศนั้น จะประกอบด้วยเรื่องใหญ่ ๆ 4 เรื่องด้วยกัน คือ 1. การวางแผนและการจัดการองค์กร 2. การจัดการและการนำระบบออกใช้งานจริง 3. การส่งมอบและบำรุงรักษา 4. การติดตามและการสอบทาน

ครั้งนี้ ผมจะก้าวข้ามจากข้อ 1. คือการวางแผนและการจัดการองค์กร ไปสู่ข้อที่ 4 คือ การติดตามและการสอบทาน กระบวนการบริหารและการจัดการสารสนเทศที่ดี หรือ IT Governance ตามหลักการของ CobiT ที่อาจสร้างเป็นมาตรฐานให้กับหน่วยงานต่าง ๆ ปฏิบัติ โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับการสร้างมาตรฐานที่ใช้เป็นกรอบหลักในระดับชาติได้คือ 1. การสร้างมาตรฐานด้าน Common Data Structure เช่น การสร้างมาตรฐานข้อมูลทางด้าน e-Payment ของธนาคารแห่งประเทศไทย ซึ่งเป็นเรื่องการสร้าง Common Data เพียงตัวอย่างเดียวจากหลาย ๆ ตัวอย่าง 2. การสร้างมาตรฐานทางด้าน Common Technology Architecture และ 3. การสร้างมาตรฐานทางด้าน Common Risk & Control Processes ซึ่งเป็นกรอบใหญ่ ๆ 3 เรื่อง เพื่อเป็นทิศทางในการก้าวสู่การหลอมรวมการพัฒนาระบบเชื่อมโยงข้อมูล ในลักษณะ Collaborative e-Government หรืออาจเรียกย่อ ๆ ว่า TH e-GIF และต่อเนื่องด้วยวิธีการทำมาตรฐานรายการข้อมูล มาตรฐานที่เป็นข้อกำหนดทางเทคนิค เพื่อใช้เป็นกรอบมาตรฐานการเชื่อมโยงธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งมีรายละเอียดต่าง ๆ มากพอสมควร และผมจะขอพูดถึงในโอกาสต่อไป

Collaborative e-Governance กับ Common Data Technology and Risk

การที่ผมก้าวข้าม Domain 2 และ 3 ของ CobiT ก็เพราะเป็นกรอบแนวทางปฏิบัติที่อาจติดตามได้จากหลาย ๆ แหล่ง โดยเฉพาะจาก ISACA ผมจึงพาท่านมาสู่ Domain ที่ 4 ซึ่งเป็นเรื่องสำคัญที่ผสมผสานระหว่างการติดตามของผู้บริหารระดับสูงภายในองค์กร ซึ่งเรียกว่า การ Monitoring ที่สามารถดำเนินการควบคู่กันไปกับ การประเมินความเสี่ยงและการตรวจสอบภายในระดับองค์กร หรือระดับประเทศได้ ตามกรอบด้านล่างนี้ครับ

Control Objective CobiT 4.1_2

ในครั้งต่อไป ผมจะอธิบายในหัวข้อของ ME 1 Monitor and evaluate IT performance (การติดตามควบคุมกระบวนการทำงานขององค์กร), ME 2 Monitor and evaluate internal control (การประเมินความพอเพียงของระบบควบคุมความเสี่ยง), ME 3 Ensure compliance with external requirements (การติดตามและประเมินการปฏิบัติตามกฎหมาย และข้อกำหนดต่าง ๆ), ME 4 Provide IT Governance (การติดตามการจัดให้มี IT Governance ที่ดีมีคุณภาพ) ซึ่งในแต่ละหัวข้อมีรายละเอียดที่ต้องติดตามต่อไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

itgthailand.com ย้าย host ใหม่

มีนาคม 3, 2011

สวัสดีครับ ทุกท่าน ผมต้องขออภัยในความไม่สะดวก หลังจากที่ http://www.itgthailand.com แห่งนี้ ไม่สามารถเข้าใช้งานได้หลายวัน เพราะมีปัญหาในเรื่องของ host ทำให้ทุกท่านไม่สามารถติดตามเนื้อหา สาระ ข่าวสารความเคลื่อนไหวจากทางเว็บได้ ผมจึงขอแจ้งให้ทุกท่านทราบว่า ตอนนี้ http://www.itgthailand.com ได้ดำเนินการย้าย host ไปที่แห่งใหม่เรียบร้อย และสามารถใช้งานได้ตามปกติแล้วครับ โดยเราได้รับการเอื้อเฟื้อ และให้การช่วยเหลือเป็นอย่างดีจาก ดร. ปริญญา หอมอเนก และคุณนิพนธ์ จาก เอซิส โปรเฟสชั่นแนล เซ็นเตอร์ (ACIS Professional Center) สถาบันที่ให้ความรู้ที่หลากหลายทางด้าน Information Security/Technology+++ ผมต้องขอขอบคุณทั้ง 2 ท่าน เป็นอย่างยิ่ง รวมถึงคุณกฤษณีย์ เกียรติไพบูลย์ แห่ง วินท์คอม เทคโนโลยี (Vintcom Technology) ที่คอยอำนวยความสะดวกแก่เราเสมอมา ทำให้ http://www.itgthailand.com นี้ยังคงสามารถดำเนินงานเผยแพร่ข้อมูล ข่าวสาร และสาระประโยชน์ให้แก่สาธารณชนผู้สนใจทุกท่านได้ต่อไป

อย่างไรก็ตาม เพื่อมิให้ทุกท่านพลาดการติดตามเนื้อหา สาระประโยชน์ จาก itgthailand ผมจะ update ข้อมูลควบคู่ไปกับ www.itgthailand.wordpress.com อย่างสม่ำเสมอ เพื่อรองรับหากเกิดกรณีที่ไม่สามารถใช้งาน itgthailand.com ได้

ขอบคุณทุกท่านที่ติดตาม itgthailand ครับ

Leave a Comment » | คุยกับผู้เขียน, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, ITG และองค์ประกอบที่เกี่ยวข้อง, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance และ IT Strategy ระดับองค์กรและระดับประเทศ บางมุมมองที่ต้องบูรณาการในแต่ละกระบวนการเข้าด้วยกันแบบ GRC

มกราคม 15, 2011

ร่ม

การกำหนดวิสัยทัศน์ระดับองค์กร และระดับประเทศ เป็นเรื่องที่มีความจำเป็นอย่างยิ่งยวด เพื่อกำหนดทิศทางและเป้าประสงค์ในอนาคตที่ชัดเจน เพื่อการเติบโตอย่างยั่งยืน โดยคำนึงถึงการบริหารทรัพยากรในแง่มุมต่าง ๆ เพื่อการขับเคลื่อนเป้าประสงค์ขององค์กรและของชาติ ไปสู่อนาคตที่ต้องการที่เป็นไปได้นั้น จำเป็นอย่างยิ่งที่ต้องสัมพันธ์กับการกำหนดพันธกิจ กลยุทธ์ ในแต่ละมุมมองที่ผสมผสานกันอย่างแยกกันไม่ได้ ในลักษณะของ Integrated Management และแนวความคิดของ Interdependency Approaches เพื่อก้าวสู่ Integrity – Driven Performance ตามหลักของ GRC ซึ่งเป็นธงใหม่ที่เป็นกรอบครอบแนวทางการกำกับดูแลกิจการที่ดี ตามหลักของ CG หรือหลักการของธรรมาภิบาล ที่ควบคู่กับ ITG – IT Governance หรือธรรมาภิบาลด้านสารสนเทศ อย่างแยกกันไม่ได้นั้น ต้องการความเป็นรูปธรรมในการจัดการ ทั้งในระดับองค์กรและในระดับประเทศ ที่ควรจะกำหนดกรอบในการพัฒนาการบริหารข้อมูลและสารสนเทศที่บูรณาการ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน และการบริหารจัดการทรัพยากรได้อย่างคุ้มค่ายิ่งในอนาคตที่ทุกองค์กร และหน่วยงานระดับประเทศต้องใช้เทคโนโลยีสารสนเทศ เข้าช่วยในการดำเนินการทั้งสิ้น

หากกำหนดนโยบายที่ชัดเจน ทางด้านการบริหารความมั่นคงข้อมูลสารสนเทศที่ดี รวมทั้งแนวทางการปฏิบัติที่ชัดเจน ไม่กำกวม ในภาพรวมระดับชาติที่อาจใช้เป็นกรอบในการกำกับ หรือขับเคลื่อนการบริหารการจัดการด้านสารสนเทศที่ดี ที่สามารถแลกเปลี่ยนข้อมูล หรือหลอมรวมข้อมูลกันภายในกระทรวง ทบวง กรม ที่เป็นหน่วยงานของรััฐต่าง ๆ โดยมีกลยุทธ์ที่ผสมผสานเป็นหนึ่งเดียวในการบริหารจัดการสารสนเทศ ซึ่งจะช่วยลดการใช้ทรัพยากรของชาติได้อย่างมหาศาลในอนาคต และสร้างความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมในทุกภาคส่วน ทั้งในและระหว่างประเทศนั้น

หากประเทศเรามีนโยบายการบริหารจัดการสารสนเทศตามแนวทางและหลักการของ IT Governance โดยใช้กรอบและกระบวนการของ CobiT และ ITIL รวมทั้งมาตรฐานอื่น ๆ ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ การบริหารความเสี่ยง และการจัดการด้านคุณภาพ รวมทั้งการจัดองค์กรและความสัมพันธ์ของหน่วยงานเทคโนโลยีสารสนเทศ ซึ่งจะเกี่ยวข้องกับการกำหนดทิศทางของเทคโนโลยีสารสนเทศ ทั้งในระดับองค์กรและในระดับประเทศนั้น +++

แนวทางและขอบเขตการบริหาร IT Governance ที่เกี่ยวกับ CobiT ในเรื่องหลัก ๆ 4 เรื่อง หรือ 4 องค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อนคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศนั้น จะประกอบด้วยเรื่องใหญ่ ๆ 4 เรื่องด้วยกันดังนี้

1. การวางแผนและการจัดการองค์กร
2. การจัดการและการนำระบบออกใช้งานจริง
3. การส่งมอบและบำรุงรักษา
4. การติดตามและการสอบทาน

Control Objective CobiT 4.1

ในตอนแรกนี้ ผมจะขอนำเสนอกระบวนการบริหาร และการสร้างคุณค่าเพิ่มในเรื่องการวางแผนและการจัดการองค์กรก่อนที่จะก้าวไปสู่เรื่องอื่น ๆ ในตอนต่อไป ทั้งนี้ ผมมีข้อสังเกตในเบื้องต้นว่า กระบวนการบริหารในแต่ละเรื่องหลัก ๆ เช่น ในเรื่องการวางแผนและการจัดการองค์กรตามกระบวนการจาก PO1 – PO10 ตามที่นำเสนอข้างต้นนั้น จะมีการจัดลำดับความสำคัญของแต่ละเรื่อง และในแต่ละกระบวนการ ซึ่งจะมีความสัมพันธ์กันอย่างแยกกันไม่ได้ ตั้งแต่ PO1 – PO10 นี่คือหลักการของ Interdependency และหลักการของ GRC ที่ ITG อยู่ภายใต้กรอบนี้

นอกจากนั้น แต่ละองค์ประกอบหลัก ทั้ง 4 รวมทั้งกระบวนการประกอบเรื่องหลัก ๆ ทั้ง 4 นั้น ก็จะมีความเกี่ยวพันและสัมพันธ์กัน ซึ่งจะเชื่อมโยงไปสู่การบริหารการจัดการสารสนเทศที่ดีและน่าเชื่อถือได้ เพื่อสร้างคุณค่าเพิ่มจากการใช้ทรัพยากรด้านเทคโลโยีที่มีคุณค่าในระยะยาว เพื่อการเติบโตอย่างยั่งยืน ตามหลักการของ CG และ ITG ภายใต้ร่มของ GRC

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Auditors and Management ตอน 2

มกราคม 5, 2011

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของ Integrated Auditors and Management ซึ่งยังพูดคุยกันค้างไว้อยู่ และในวันนี้เราจะมาคุยกันต่อ ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Auditors and Management ตอน 1

ธันวาคม 25, 2010

วันนี้ผมขอเล่าสู่กันฟังในเรื่องเกี่ยวกับ Integrated Audit และ CAE ว่าในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ อาจกล่าวได้ว่า องค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบและใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy) ในการขับเคลื่อนกระบวนการตรวจสอบไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อกระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยงจาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม

ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่ได้มองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยงจาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหารและกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพและประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้งการลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กรและภายนอกองค์กรอย่างมีนัยสำคัญยิ่ง ที่นำไปสู่การบริหารและการจัดการ รวมทั้งการตรวจสอบในลักษณะ Integrated Thinking และ Integrated Audit ในทางปฏิบัติ

จากจุดอ่อนดังกล่าว ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

เรื่องของ Integrated Auditors and Management ที่ผมเล่าในวันนี้ ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามกันต่อนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Corporate Governance and the Role of Internal Audit in Asia

พฤศจิกายน 6, 2010

จากการร่วมประชุม 2010 Asian Chief Audit Executives Leadership Forum ที่สิงคโปร์ มีเอกสารที่น่าสนใจเล่มหนึ่งที่แจกให้ผู้เข้าร่วมประชุมได้อ่าน ในชื่อเรื่องว่า Corporate Governance and the Role of Internal Audit in Asia ซึ่งดำเนินการโดย Asian Developement Bank, September 2010

ในปลายปี ค.ศ. 2007 คณะกรรมการบริหาร (EXCO – Executive Committee) ของ ACIIA (Asian Confederation of institutes of Internal Auditors) ให้การรับรองโครงการจัดทำเอกสารจากการค้นคว้าในหัวข้อ Corporate Governance and the Role of Internal Audit in Asia การจัดทำหนังสือเล่มนี้เป็นการรวบรวมบทบาทของผู้ตรวจสอบใน Asia ที่เกี่ยวข้องกับ CG เป็นหลัก เพื่อประเมินว่า ในย่านเอเชียนั้น ผู้ตรวจสอบภายในมีบบบาทที่เกี่ยวข้องกับบรรษัทภิบาล หรือ CG ภายในองค์กรของตนอย่างไรบ้าง

CG and Auditors

เอกสารนี้สรุปสั้น ๆ ได้ดังนี้ว่า บทบาทของผู้ตรวจสอบภายในที่เกี่ยวข้องกับ CG ของประเทศในย่านเอเชีย จะขึ้นกับประวัติศาสตร์ วัฒนธรรม สภาพแวดล้อมของสถาบันต่าง ๆ ภายในองค์กร และของประเทศนั้น ๆ

และยังให้แนวความคิดว่า บทบาทของผู้ตรวจสอบภายในยังรวมถึง การติดตาม การควบคุมภายในตามฐานความเสี่ยง การประเมินผล และการวิเคราะห์ความเสี่ยง รวมทั้งการควบคุมความเสี่ยงในระดับองค์กร และทบทวน รวมทั้งการยืนยันความน่าเชื่อถือได้ของข้อมูลสารสนเทศ ที่เกี่ยวข้องกับการเงิน และมิใช่การเงิน รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ และวิธีการปฏิบัติต่าง ๆ ว่าสอดคล้องกับแนวทางกำกับที่มาจากกฎหมาย กฎเกณฑ์ต่าง ๆ นั้นหรือไม่

เอกสารฉบับนี้ได้รวบรวมเนื้อเรื่องดังกล่าวอย่างกว้าง ๆ ของบทบาทผู้ตรวจสอบภายในที่เกี่ยวข้องกับ CG ในประเทศจีน แผ่นดินใหญ่ ประเทศญี่ปุ่น ประเทศออสเตรเลีย มาเลเซีย เป็นต้น

กล่าวโดยสรุป ในมุมมองส่วนตัวของผม เอกสารเล่มนี้ได้ให้แนวทางเกี่ยวกับบทบาทของผู้ตรวจสอบภายในกับบรรษัทภิบาลเบื้องต้นมาก และอิงมาตรฐานในยุคก่อนปี ค.ศ. 2007 เป็นหลัก ซึ่งเมื่อเปรียบเทียบกับสรรสาระที่ผมได้รับจากการประชุมในที่ประชุม CAE Leadship Forum ในหัวข้อต่าง ๆ ตามที่ผมได้นำเสนอในเรื่อง Integrated Management / Audit ซึ่งเป็นความคิดที่ผมได้รับจากภาพโดยรวม จากการประชุมที่ผมได้กล่าวไว้ในหัวข้อ คุยกับผู้เขียนนั้น จะมีสาระที่แตกต่างกันค่อนข้างมากในเนื้อหาที่ได้รับ สำหรับ CAE Leadship Forum ซึ่งเน้นการนำเสนอในลักษณะ Panel Discussion เป็นหลัก

บทบาทของผู้ตรวจสอบภายในทางด้าน Governance ตามเอกสารเล่มนี้จะประกอบด้วยแนวทางดังนี้

the Role of IA in governance (Hermanson and Rittenberg, 2003)

Role of Internal Audit
– Risk Assessment
– Control Assurance
– Compliance Work
– Consulting & Operations

อย่างไรก็ดี ถึงแม้ข้อมูลข้างต้นจะเป็นข้อมูลก่อนปี ค.ศ. 2007 แต่ก็มีเรื่องที่พูดถึง Future of Asian IA: Learning from the best practice ในลักษณะที่พยายาม update ข้อมูลตอนสุดท้ายให้ดูเหมาะสมกับการบริหารความเสี่ยงมากยิ่งขึ้น รวมทั้ง ให้คำแนะนำว่าให้ผู้ตรวจสอบภายในปฏิบัติตามมาตรฐานการตรวจสอบภายในสากล ของ IIA เป็นหลัก

เอกสารเล่มนี้จึงกล่าวถึงแนวทางที่สมาคมผู้ตรวจสอบภายในสากล ได้สนับสนุนกระบวนการวิเคราะห์ ประเมิน ความเสี่ยงตามแนวทางของ COSO – ERM Framework และได้นำเสนอ Internal Audit’s Role in ERM ตามภาพที่น่าสนใจด้านล่างนี้

ITG_GRC_COSO_Value Creation

ประเทศออสเตรเลียเป็นประเทศหนึ่งที่อยู่ใน ACIIA (Asian Confederation of institutes of Internal Auditors) และเป็นผู้นำในหลายด้านของกระบวนการจัดการที่ดี ทั้งด้าน CG ด้าน Risk Management ซึ่งในที่ประชุม ACIIA ได้ให้ประเทศออสเตรเลียเป็นประเทศพี่เลี้ยงหลักกับประเทศอื่น ๆ ในย่านเอเชีย โดยมีหลักการที่ว่า ประเทศที่มีศักยภาพที่ดีกว่า ที่วัดจาก Performance Report ของสมาคม IIA ย่านเอเชียเป็นหลัก และให้ประเทศเหล่านี้ดูแลประเทศที่ดีศักยภาพน้อยกว่าต่อไป ซึ่งเป็นเรื่องที่ดีมาก เพราะจะสอดคล้องกับหลักการของ IIA สากล ที่กล่าวว่า Profit by Sharing ครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »