ก. คลัง กับ Successful GRC Integrated Into Business กับการบริหารบางมุมมอง

กันยายน 5, 2010

ในปัจจุบัน กระทรวงการคลัง โดย สคร. ได้กำหนดให้รัฐวิสาหกิจมีแนวปฏิบัติในการขับเคลื่อนการบริหารธุรกิจแนวใหม่ ซึ่งเรียกว่า GRC – Governance + Risk Managment + Compliance และกำลังเป็นที่สนใจทั่วโลกสำหรับแนวการบริหารยุคใหม่ หรือยุคเทคโนโลยีสารสนเทศนี้ ทั้งนี้ สคร. ได้กำหนดกรอบให้รัฐวิสาหกิจ โดยเฉพาะอย่างยิ่ง การบูรณาการระหว่าง Governance + Risk Management + Compliance – GRC ที่รัฐวิสาหกิจจะได้รับการประเมินในหัวข้อการบริหารความเสี่ยงที่จำเป็น

ตั้งแต่การกำหนดนโยบายด้าน GRC ซึ่งอาจมีรายละเอียดบางประการเพิ่มเติมจาก นโยบาย CG และ ITG ที่อาจจะมีอยู่แล้ว ลงไปถึงการดูแลการบริหารความเสี่ยงขององค์กร โดยรับรู้ถึงระดับความมีประสิทธิผลของการบริหารความเสี่ยง ที่ฝ่ายบริหารได้จัดให้มีขึ้นในองค์กร ได้ตระหนักและให้ความเห็นชอบกับระดับความเสี่ยงที่ยอมรับได้ขององค์กร สอบทานความเสี่ยงในภาพรวมขององค์กร และพิจารณาเปรียบเทียบกับระดับความเสี่ยงที่องค์กรยอมรับได้

สำหรับผู้บริหารจะมีแนวทางในการประเมินในเรื่องที่เกี่ยวข้องกับ GRC ดังนี้

– รส. มีการกำหนดคณะทำงานที่รับผิดชอบดำเนินงานในด้าน GRC โดยมีผู้บริหารสูงสุดเป็นประธานคณะทำงาน และมีแผนงานที่ชัดเจนในการดำเนินการด้าน GRC รวมถึงนำเสนอคณะกรรมการเพื่อพิจารณา

– รส. มีการประเมินอย่างสม่ำเสมอถึงการประกอบธุรกิจขององค์กรว่า มีปัจจัยใดบ้างที่เป็นปัจจัยความเสี่ยง ทั้งที่มาจากภายนอกและภายใน ซึ่งอาจมีผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญ

– รส. ต้องมีการระบุปัจจัยเสี่ยง และกระบวนการในการบริหารความเสี่ยงในด้าน Compliance ให้ครบถ้วน

– รส. ต้องมีการเปิดเผยข้อมูลสำคัญ ๆ อย่างครบถ้วน ถูกต้อง เพียงพอ และทันต่อเหตุการณ์

ทั้งนี้ แนวการประเมินดังกล่าวจะอยู่ในหัวข้อการบริหารความเสี่ยงตามเกณฑ์การประเมินผล และการให้คะแนนโดย ก. คลัง – สคร. ซึ่ง ทริส จะมีหน้าที่ในการรวบรวม และประเมินการให้คะแนนเบื้องต้น เพื่อส่งให้คณะกรรมต่อไป

อนึ่ง แนวคิด GRC ในปัจจุบันไม่ใช่เพียงการนำเอาหลักการกำกับดูแล (Governance) มารวมกับ การบริหารความเสี่ยง (Risk Management) และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) เท่านั้น แต่เป็นกรอบแนวคิดเชิงบูรณาการที่หลอมรวมองค์ประกอบการบริหารทั้ง 3 หลักการนี้เข้าด้วยกัน และเกิดเป็น Integrated Single Framework ซึ่งกรอบโครงสร้างนี้จะครอบคลุมถึง การกำกับดูแลองค์กรและการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (Corporate Governance and IT Governance) การบริหารความเสี่ยงขององค์กร (Enterprise Risk Management – ERM) ซึ่งรวม COSO Framework CoBiT หรือ IT Risk และการปฏิบัติตามกฎระเบียบและข้อบังคับ (Compliance) สำหรับ IT และ Non – IT

GRC จึงเป็นกรอบโครงสร้างที่จะสร้างคุณค่าเพิ่ม และสร้างความมั่นใจในการตัดสินใจของผู้ที่มีผลประโยชน์ร่วมทุกกลุ่มขององค์กรได้ชัดเจนกว่า Sarbanes – Oxley Act ที่รู้จักกันดี ดังนั้น การนำกรอบโครงสร้าง GRC เชิงบูรณาการมาใช้ในธุรกิจ จึงเป็นเรื่องที่น่าสนใจ และเป็นประโยชน์อย่างยิ่งต่อกรรมการชุดต่าง ๆ ผู้บริหาร ผู้ตรวจสอบ และผู้ปฏิบัติงานด้าน IT และ Non – IT หน่วยงานกำกับดูแล หน่วยงานบริหารความเสี่ยง หรือหน่วยงานที่รับผิดชอบด้าน Compliance ผู้ที่รับผิดชอบในกรอบโครงสร้าง GRC เชิงบูรณาการ

ข้อคิดของผมในวันนี้ก็คือ องค์กรของท่านจัดให้มีการประเมินความเสี่ยงทางด้าน IT Risk ที่มีผลกระทบต่อ Business และ Objective Risk และมีผลต่อเนื่องไปยัง IT Controls และ IT Audit ซึ่งมีความสัมพันธ์อย่างแยกกันไม่ได้กับทุกองค์ประกอบของการบริหาร และการจัดการองค์กร

หากหัวหน้าผู้บริหารงานตรวจสอบที่ต้องปฏิบัติตามมาตรฐานของสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือมาตรฐานการปฏิบัติงานตรวจสอบในระดับสากล ไม่คำนึงถึง IT Risk ที่มีผลกระทบต่อการวางแผนการตรวจสอบแล้ว การประเมินผลกระทบความเสี่ยงของระดับองค์กร หรือในระัดับธุรกิจ ซึ่งเป็นระดับที่เกี่ยวเนื่องกับธุรกิจขององค์กรที่เกี่ยวข้องทุกแห่งแล้ว การวางแผนการตรวจสอบเพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ข้อมูลและรายการทางการเงินมีความเพียงพอที่จะให้ความมั่นใจต่อผู้มีผลประโยชน์ร่วม รวมทั้งการให้คำแนะนำในส่วนที่เกี่ยวข้อง ที่มีคุณค่าต่อการบริหาร คงกระทำได้อย่างจำกัดมาก

ทั้งนี้เพราะในการทำความเข้าใจถึงความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ จะต้องระบุว่ามีอะไรที่สามารถเกิดข้อผิดพลาดขึ้นได้ และมีผลกระทบต่อความน่าเชื่อถือทางการเงิน รวมทั้งการทุจริตที่เกี่ยวข้องจะประกอบไปด้วย
– ความพร้อม (Availability) เมื่อระบบไม่พร้อมใช้งาน
– ความปลอดภัย (Security) เมื่อเกิดการลักลอบเข้าระบบโดยไม่ได้รับอนุญาต
– ความถูกต้องสมบูรณ์ (Integrity) เมื่อข้อมูลไม่ครบถ้วนหรือไม่ถูกต้อง
– ความลับ (Confidentiallity) เมื่อข้อมูลถูกเปิดเผย
– ความมีประสิทธิผล (Effectiveness) เมื่อระบบไม่ปฏิบัติงานตามที่คาดหวัง
– ความมีประสิทธิภาพ (Efficiency) เมื่อระบบก่อให้เกิดการใช้ทรัพยากรที่ไม่คุ้มค่า

ท่านผู้อ่านครับ บางท่านอาจจะส่งสัยว่า ทำไมผมถึงนำเรื่องการควบคุมภายในและการตรวจสอบ โดยเฉพาะอย่างยิ่ง การตรวจสอบทางด้าน IT Audit มาลงในหัวข้อ GRC เหตุผลง่าย ๆ ก็คือ GRC เป็นการขับเคลื่อนในลักษณะ Integrity – Driven Performance ภายใต้ร่ม Consolidated Single Framework ที่ทุกอย่างภายใต้ร่มใบนี้ ไม่ว่าจะเป็นเรื่อง CG, ITG, COSO – ERM, CobiT, Internal Control ทั้งทางด้าน IT และ Non – IT, การตรวจสอบทางด้าน IT และ Non – IT ซึ่งรวมทั้งการติดตาม (Monitoring) ของผู้บริหารในภาพโดยรวม และอยู่ภายใต้ร่มของ GRC และทุกองค์ประกอบที่เกี่ยวข้อง ถึงแม้มีความอิสระ แต่มีความสัมพันธ์ซึ่งกันและกันอย่างแยกกันไม่ได้

สิ่งเหล่านี้เราเรียกกันว่า Interdependent ซึ่งอาจเปรียบเทียบกับองค์กรที่มีชีวิต ได้กับร่างกายที่มีชีวิตว่า ร่างกายประกอบด้วยอวัยวะที่ทำงานอย่างเป็นอิสระและมีความสำคัญหลายส่วน แต่ทุกส่วนของอวัยวะ ซึ่งได้แก่ หัวใจ ปอด สมอง +++ มีความเกี่ยวข้องซึ่งกันและกันโดยแยกจากกันไม่ได้ แต่อวัยวะทุกส่วนก็เป็นอิสระ

ครับ ผมกำลังพูดถึงเรื่อง GRC ในมุมมองของการบริหารที่เทียบได้กับองค์กร หรือร่างกายที่มีชีวิตอยู่นะครับ ดังนั้น ท่านผู้อ่านอย่าแปลกใจนะครับว่า หัวข้อต่าง ๆ ของผมต่อไปนี้ แต่ละหัวข้อจะมีความสัมพันธ์กันและกันตามเหตุผลที่กล่าวข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

GRC & Career Path กับ ITG เพื่อการก้าวสู่การบริหารแบบ GRC เพื่อขับเคลื่อน Integrity-Driven Performance

สิงหาคม 17, 2010

สวัสดีครับท่านผู้อ่าน ผมไม่ได้คุยกับท่านผู้อ่านในหัวข้อนี้มานานพอสมควร วันนี้ผมจะนำเรื่อง GRC และ ITG เพื่อการขับเคลื่อน GRC และการสร้างคุณค่าเพิ่มในมุมมองต่าง ๆ ที่เกี่ยวข้อง ในรูปแบบของ Power point และ PDF File ที่จะให้ความเห็นในหลายมุมมองของการสร้างคุณค่าเพิ่ม ทั้งจากในมุมมองของ IT Governance เอง และในมุมมองของ IT Governance ที่ก้าวสู่ GRC อีกบางมุมมองที่ท่านอาจจะต้องใช้จิตนาการเชื่อมโยงทั้งสองเรื่องเข้าด้วยกัน ดังนี้ครับ

ท่านผู้อ่านสามารถคลิ๊กอ่านได้จาก เว็บไซต์ของกระทรวง ICT ได้ทั้งสองเรื่อง …

http://www.ictcareer.net/SeminarProfile.aspx

ครั้งนี้ท่านผู้อ่านสามารถจะติดตามเรื่องราวเกี่ยวกับ GRC ในลักษณะที่บรรยายด้วยแผนภาพที่เป็น Power Point ซึ่งผมจะอธิบายแบบขยายความแบบเพิ่มเติมในโอกาสต่อไป และคำบรรยายของ ITG ที่สามารถสื่อให้เข้าใจได้อย่างง่าย ๆ ว่า ITG เป็นส่วนหนึ่งของ CG ที่แยกกันไม่ได้ และจะเกี่ยวข้องกับการบริหารความเสี่ยง และมีองค์ประกอบที่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งด้านทั่วไปและทางด้าน IT Risk ที่มีผลต่อ Business Risk โดยเชื่อมโยงกับการควบคุมภายใน และตรวจสอบภายในตามฐานความเสี่ยง ในลักษณะของ IT Audit และ Manual Audit โดยเฉพาะอย่างยิ่ง IT Audit ซึ่งผู้ตรวจสอบภายในจำเป็นจะต้องเข้าใจ การประเมินความเสี่ยงที่มีผลกระทบทางด้าน IT Risk และ Risk IT รวมทั้งการประเมินความเพียงพอของการควบคุมภายในทางด้าน IT ที่มีผลกระทบต่อ Business Risk ในทุกมุมมองของ COSO – ERM ซึ่งผมจะได้อธิบายในครั้งต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

องค์รวมของการบริหาร CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง (ต่อ)

กรกฎาคม 9, 2010

หลังจากที่ได้พูดคุยกันถึง เรื่องแนวคิดและความเข้าใจในบางมุมมองของความหมาย ของคำว่า GRC ซึ่งเป็นเรื่องของการบริหารในลักษณะ Consolidated – Single Framework เพื่อให้ท่านผู้อ่านได้เข้าใจและมองเห็นภาพของ GRC ในมุมมองที่แตกต่าง และนำเสนอควบคู่กันไปกับมุมมองขององค์ประกอบหลักที่เกี่ยวข้องกับ Corporate Governance – CG และ ITG เมื่อครั้งที่ผ่านมานั้น

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพที่อธิบายถึง องค์รวมของโครงสร้างการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งเป็นการสร้างความเข้าใจในภาพโดยรวมของการบริหารตามหลัก CG ที่ผมคาดว่าแผนภาพนี้จะแสดงให้เห็นภาพกว้างได้ชัดเจนกว่าการให้คำอธิบายที่ค่อนข้างเข้าใจยากกว่าดังเช่นเคย

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

องค์รวมของการบริหาร CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง (ต่อ)

มิถุนายน 18, 2010

เมื่อครั้งที่แล้ว ผมได้นำผู้อ่านไปสู่แนวคิดและความเข้าใจในบางมุมมองของความหมาย ของคำว่า GRC ซึ่งเป็นเรื่องของการบริหารในลักษณะ Consolidated – Single Framework โดยนำมาตรฐานเกี่ยวกับการบริหารที่ส่วนใหญ่ยังเป็น Silo Management ไปสู่การหลอมรวมของ Silo ต่าง ๆ ที่ได้มาตรฐานในกรอบที่จำกัด ในมุมมองต่าง ๆ เข้ามาสู่การจัดการในแบบ Integrity – Driven Performance ภายใต้ร่มใหญ่ที่ครอบคลุมอยู่ นั่นคือ Governance – Single Framework

ท่านผู้อ่านที่ติดตามเรื่อง CG ITG และก้าวสู่ GRC อาจจะสับสนในถ้อยคำที่ผมใช้แตกต่างกันไปตามที่กล่าวข้างต้น แต่ทั้งหมดนั้น เป็นคำอธิบายเพื่อสร้างความเข้าใจในมุมมองต่าง ๆ เพื่อการจัดการที่ดี และยกระดับการบริหารที่ต้องคำนึงถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องในการจัดการที่แยกกันไม่ได้ ระหว่าง IT และ Non – IT

ทั้งนี้เพราะ ในธุรกิจยุคใหม่ ทุกองค์กรไม่อาจหลีกเลี่ยงการใช้คอมพิวเตอร์ได้ และนับวันคอมพิวเตอร์จะมีบทบาทมากยิ่งขึ้นในการบริหารจัดการ ในทุกมุมมองของ Information Balance Scorecard และ Business Scorecard ซึ่งผมจะนำเสนอในรายละเอียดของหลักการ GRC ที่มีคุณลักษณะของการจัดการที่ไม่แตกต่างกันกับ CobiT 5.0 ซึ่งกำลังเป็นร่างที่ต้องการความเห็นจากท่านผู้อ่านทั่วโลกในปัจจุบัน และอาจสรุปได้ว่า ถนนทุกสายในการบริหารและการจัดการกำลังมุ่งสู่ Consolidated – Single Framework ตามที่ผมได้กล่าวข้างต้น

วันนี้ผมได้นำกลับมาสู่การทำความเข้าใจต่อจากครั้งก่อน ๆ ที่นำเสนอมุมมองขององค์ประกอบหลักที่เกี่ยวข้องกับ Corporate Governance – CG ซึ่งเป็นหลักเชื่อมโยงกับ ITG และก้าวสู่ GRC ต่อไป

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวคิดและความเข้าใจเกี่ยวกับ GRC ในมุมมองต่างๆ

พ.ค. 28, 2010

ครั้งก่อน ๆ ผมได้พูดถึงบางมุมมองของการก้าวไปสู่ CG หรือการกำกับดูแลกิจการที่ดีที่อธิบายโดยแผนภาพ เพื่อให้เห็นองค์ประกอบที่เกี่ยวข้องในการก้าวสู่การเติบโตอย่างยั่งยืน (Sustainable Growth) มาหลายครั้งแล้ว แต่ก็ยังไม่จบนะครับ เกรงว่าท่านผู้อ่านจะเบื่อในแนวทางการนำเสนอโดยใช้แผนภาพ ซึ่งความจริงเป็นเรื่องสำคัญอย่างยิ่งในหลักการบริหาร CG ที่มีผู้บริหารหลายท่านยังมีมุมมองที่แตกต่างกันไป ก่อนที่จะก้าวไปสู่การบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM + การควบคุมภายในและการตรวจสอบภายใน และการติดตามผล

วันนี้ผมจะหักมุมในแนวการเสนอจากกรอบของ CG ที่เป็นแผนภาพมาสู่การอธิบาย GRC ที่เกี่ยวข้องกับ CG และ ITG ก่อนจะกลับไปสู่เรื่องของ CG ในลักษณะของแผนภาพต่อไป เนื่องจาก GRC ในปัจจุบันมีผู้สนใจเป็นจำนวนมาก และมีหลายท่านให้ข้อสังเกตว่า ยังเข้าใจในเรื่องความหมายของ GRC ที่แตกต่างกัน ซึ่งนำไปสู่การปฏิบัติที่เป็นรูปธรรมไม่ได้ง่ายนัก ผมจึงขออธิบาย GRC เพิ่มเติม จากที่เคยอธิบายสั้น ๆ มาแล้ว ดังนี้

GRC มีความหมายในแต่ละคำที่เกิดจาก G + R + C ที่ส่วนใหญ่เราเข้าใจตรงกันแล้วนะครับ แต่ความหมายโดยรวม ซึ่งนำทั้ง 3 คำมารวมกัน มีนัยและความหมาย แนวความคิด แนวการปฏิบัติ แนวการควบคุม และแนวการตรวจสอบ รวมทั้งการติดตามผลที่แตกต่างกันเป็นอย่างมาก ก่อนที่จะอธิบายในรายละเอียดของ GRC ในความหมายใหม่ตามที่กล่าวข้างต้น ซึ่งจะมีนัยทาง Integreted GRC มากกว่า G + R + C ที่มีลักษณะและแนวความคิดแบบ SILO หรือแยกความคิด ความเข้าใจ และการปฏิบัติออกเป็นส่วน ๆ ตาม G + R + C ดังเดิม โดย:

GRC เป็น
– ทิศทางใหม่สำหรับผู้บริหารระดับสูงทุกคน มิใช่ CIO หรือผู้บริหารระบบสารสนเทศ
– C-Levels ทุกคนจำเป็นต้องร่วมแรงร่วมใจในการผลักดันแนวความคิด GRC ให้เป็นผลการปฏิบัติงานจริง
– Leadership/ผู้นำ ที่มี Competencies ที่แท้จริง เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ
– องค์กรต้องมี นโยบาย + กลยุทธ์ รวมทั้งแผนงานในการใช้หรือบริหารทรัพยาการ ตามแนวคิด GRC
– Standard & Best Practice & เทคโนโลยีจำเป็นต้องนำมาใช้เพื่อให้เกิด Integrated – Driven Pefermance
– การหลอมรวมการบริหารในมุมมองของ GRC ทั้ง G + R + C ต้องเกิด Intergrated G + R + C ทั้งธุรกิจ (Holistic Framework) จะสามารถสร้าง
คุณค่าเพิ่ม และยกระดับการแข่งขันให้กับองค์กร + ระดับชาติได้อย่างสำคัญ

ยังมีตอนต่อไปเกี่ยวข้องกับเรื่องความเข้าใจในมุมมองต่าง ๆ ของ GRC, Integrated GRC วัตถุประสงค์และประโยชน์ของ GRC ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองของ CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน (ต่อ)

พ.ค. 12, 2010

ตามแผนภาพต่าง ๆ ที่เกี่ยวกับมุมมองของ Corporate Governance หรือการกำกับดูแลกิจการที่ดี ที่แน่นอนว่าจะต้องเชื่อมโยงกับ IT Governance ซึ่งต้องการสร้างความเข้าใจให้กับผู้อ่านที่เกี่ยวข้องและที่สนใจในเรื่องนี้ นั่นก็คือ Risk IT และ IT Risk ต้องเชื่อมโยง และเน้นไปที่ Business Objectives มิใช่ IT Objectives

การเติบโตอย่างยั่งยืนตามหลัก CG ของทุกองค์กรในระบบเทคโนโลยีปัจจุบัน อาจกล่าวได้ว่า แทบจะไม่มีองค์กรใดเลยที่จะรักษาการเติบโตอย่างยั่งยืนได้ โดยปราศจากการบริหารความเสี่ยงที่เกิดจาก Risk IT และ IT Risk ที่มีผลต่อ People Risk ที่เชื่อมโยงไปยังProcess Risk และแน่นอนว่า Process Risk ส่วนใหญ่จะเกี่ยวข้องกับ Technology Risk ซึ่งท่านผู้อ่านอาจจะคุ้นเคยกับคำว่า ความเสี่ยงทางด้าน Operational ที่เน้นทางด้าน P + P + T นั่นเอง

ผมใคร่ขอเน้นอีกครั้งนึงนะครับว่า แผนภาพต่าง ๆ ที่เกี่ยวข้องกับ CG ในมุมมองอันหลากหลาย เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนขององค์กรนั้น ผู้บริหารและผู้ปฏิบัติการ ควรจะต้องพิจารณาในมุมมองของ Management ที่ต้องสื่อสารให้ทุกคนในองค์กรได้รับรู้ การบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM ซึ่งเชื่อมโยงกับ IT Risk ที่มีผลต่อ Business Risk ในระดับต่าง ๆ ตามที่ได้กล่าวมาแล้ว ที่ผู้บริหารและพนักงานทุกคนต้องปฏิบัติตามนโยบาย และข้อกำหนดต่าง ๆ ที่ต้องทำงานด้วยใจ หรือ Spiritual ซึ่งเป็นเรื่องของ Soft Controls นั่นคือ

ถึงแม้ไม่มีกฎหมาย กฎเกณฑ์ บัญญัติให้ปฏิบัติ และไม่มีบทลงโทษ หรือแม้กระทั่ง ไม่ถูกบังคับให้ต้องปฏิบัติ ซึ่งเป็นเรื่องของ Compliance หรือ Hard Controls นั้น ผู้บริหารและพนักงานที่มีศักยภาพก็จะต้องปฏิบัติหน้าที่ด้วยความทุ่มเท และพัฒนาตนเองให้มีศัยภาพในการเรียนรู้ เพื่อก้าวให้ทันกับเทคโนโลยีใหม่ ๆ ที่เกิดจาก IT Related Risk ที่มีผลต่อ Business Risk โดยท่านไม่จำเป็นจะต้องเกี่ยวข้องกับการปฏิบัติหน้าที่ทางด้าน IT เท่านั้น

จากแผนภาพหลายตอน รวมทั้งแผนภาพในตอนนี้ ท่านผู้อ่านหลายคนคงจะนึกในใจว่า ไม่มีเนื้อหาใดตามแผนภาพในทุกกรอบที่เชื่อมโยงเรื่อง CG ไปยัง ITG ดังกล่าว ดังนั้น ขอท่านผู้อ่านได้โปรดดูแผนภาพตามมุมมองต่าง ๆ ของ CG และนำมาเชื่อมเข้าด้วยกัน ท่านก็จะพบความโยงใยของ Risk IT และ Risk IT ที่มีผลต่อ IT Governance และ Corporate Governance และเชื่อมโยงกับหลักการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM และก้าวไปสู่หลักการบริหารเพื่อสร้างประสิทธิภาพและประสิทธิผลอย่างเป็นรูปธรรม โดย GRC – Governance + Risk Managment + Compliance ซึ่งเป็นการบริหารแบบขับเคลื่อนในลักษณะ Integrity – Driven Performance ซึ่งเป็นการบริหารโดยหลอมรวมหลักการบริหารที่ดีทางด้าน IT และ Non – IT แบบบูรณาการ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองของ CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน (ต่อ)

เมษายน 19, 2010

ในมุมมองของ Statement ใหม่ ที่ทั่วโลกใช้ในการบริหาร และการจัดการแบบหลอมรวมองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี แบบสอดประสานและบู
รณาการที่ใช้คำว่า GRC นั้น กำลังเป็นที่สนใจและพยายามนำไปปฏิบัติกันในองค์กรต่าง ๆ ทั่วโลก

แต่ในความเป็นจริง ผลการปฏิบัติที่จะก่อให้เกิดความเป็นรูปธรรมในมุมมองของ GRC เพื่อขับเคลื่อนองค์กรในลักษณะ Integrity – Driven Performance ที่เน้น PPT หรือ People + Process + Technology ซึ่งก็คือ การยกระดับการบริหารและการจัดการ Operational Risk ที่เชื่อมโยงกับหลักการ Governance (CG + ITG) ในองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง ทั้งด้านทั่วไปและทางด้าน IT (COSO – ERM + CobiT/ITIL) และเชื่อมโยงกับ Compliance หรือการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ จาก External Stakeholders และ Internal Stakeholders เป็นสำคัญนั้น ต้องการความเข้าใจอย่างลึกซึ้งของคณะกรรมการและผู้บริหารระดับสูง ที่จะสามารถถ่ายทอดมาสู่การปฏิบัติที่เป็นรูปธรรมอย่างแท้จริงได้

จากแผนภาพข้างต้น เป็นการสร้างความเข้าใจในภาพโดยรวมของผู้บริหารระดับสูง ที่ผมตั้งใจจะสื่อให้ทราบว่า องค์ประกอบของการกำกับดูแลกิจการที่ดี ตามหลัก CG นั้น มีปัจจัยใดบ้าง และแต่ละปัจจัยมีความสัมพันธ์กันอย่างไร แต่ในภาพนี้ ยังไม่มีการอธิบายการเชื่อมโยงระหว่าง CG กับ ITG ที่ชัดเจน ทั้งนี้เพราะ เป็นการสื่อและสร้างความเข้าใจในภาพใหญ่ ที่ยังไม่ได้ลงในรายละเอียดทั้ง CG และ ITG

โดยเฉพาะอย่างยิ่ง ยังไม่ได้อธิบาย CG ที่เกี่ยวพันกับ ITG ว่าเชื่อมโยงกับ GRC อย่างไรในขั้นตอนนี้ ทั้งนี้เพราะเป็นการอธิบายในมุมมองของ Bird Eye View สำหรับคณะกรรมการและผู้บริหารให้เข้าใจว่า ความสำเร็จของการเติบโตอย่างยั่งยืน ซึ่งเป็นหลักการบริหาร CG ที่สำคัญมากประการหนึ่งนั้น จะเกิดจากนโยบาย วัฒนธรรมขององค์กร กระบวนขั้นตอนการปฏิบัติงานที่ควรจะกำหนดออกมาให้ชัดเจน ในระดับคณะกรรมการ เพื่อให้เกิดการบริหารงานที่โปร่งใส ตรวจสอบได้ ซึ่งครอบคลุมถึง ความสัมพันธ์และบทบาทของผู้บริหารและของพนักงานทุกคนในองค์กร

ข้อความข้างต้น เป็นการเริ่มต้นที่จะกล่าวและอธิบายย่อ ๆ ของคำว่า Governance อีกครั้งหนึ่งเท่านั้นเองนะครับ และการเติบโตอย่างยั่งยืนจะเกิดขึ้นได้ก็ต่อเมื่อ คณะกรรมการและผู้บริหารระดับสูง และผู้ปฎิบัติทุกคนในองค์กร ควรจะได้เข้าใจถึง หลักการบริหารความเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายในมุมมองต่าง ๆ ตามหลัก Business Balaned Scorecard และ Information Balanced Scorecard หรือมีการกำหนด Risk Appetite และ Risk Tolerance ให้สัมพันธ์กับการบรรลุเป้าประสงค์ ทั้งทางด้านกลยุทธ์และการปฏิบัติงาน ที่สามารถวัดและประเมินผลได้อย่างชัดเจน

ที่ผมได้กล่าวในวรรคต้นหมายถึง Risk Management ซึ่งเป็นกลไกหรือเป็นเครื่องมือในการสนับสนุน Governance ให้บรรลุเป้าประสงค์ที่เป็นรูปธรรมได้ ถ้าหากขาดหลักการ Risk Management ซึ่งนิยมใช้ Framework ของ COSO – ERM แล้ว Governance ก็ไม่มีโอกาสที่จะประสบความสำเร็จตามที่ต้องการได้

ท่านผู้อ่านที่ได้อ่านมาถึงวรรค์นี้แล้ว และเมื่อเทียบกับแผนภาพ CG ข้างต้นจะได้นึกและจินตนาการ กระบวนการบริหารและจัดการ Governance ที่เชื่อมโยงกับ Risk Management ได้ในระดับหนึ่งนะครับ

เมื่อเรามีการบริหารและการจัดการเพื่อให้ได้ G – Governance โดยมี R – Risk Management เข้ามาเป็นเครื่องมือในการบริหาร Governance ให้สำเร็จข้างต้นแล้ว สิ่งที่องค์กรจะต้องปฏิบัติอย่างหลีกเลี่ยงไม่ได้อีกอย่างหนึ่งก็คือ การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ และการปฏิบัติตามนโยบายด้านสารสนเทศ และความมั่นคงปลอดภัยขององค์กรอย่างถูกต้อง ให้ได้มาตรฐานที่กำหนดไว้จาก Stakeholders ที่เกี่ยวข้องด้วย

จากแผนภาพข้างต้นที่เกี่ยวข้องกับ Corporate Governance ในมุมมองหนึ่งนั้น ท่านจะเข้าใจหลักการของ CG ได้ดีนะครับว่า CG จะเกิดขึ้นไม่ได้ หากขาดนโยบายที่ชัดเจน และ Tone at the top จากคณะกรรมการและผู้บริหารระดับสูง ที่ต้องมีความมุ่งมั่นหรือจิตวิญญาณ (Spiritual) ที่จะพาองค์กรมาสู่เป้าประสงค์หลักนี้ให้จงได้

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Perspective of CG + ITG and Related Factors to Sustainable Growth and Beyond (Continue)

มีนาคม 27, 2010

วันนี้ก็เช่นเดียวกับครั้งก่อน ๆ และที่ผ่านมา ที่ผมได้อธิบายและนำเสนอการพัฒนาและการสร้างการกำกับดูแลกิจการที่ดี อธิบายโดยใช้แผนภาพ ซึ่งดีกว่าการอธิบายด้วยถ้อยคำเป็นอย่างมาก และเข้าใจได้ง่ายนั้น ผมจะนำเสนอในมุมมองที่แตกต่างกันของหลักการและการทำความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดี ซึ่งจะนำไปสู่การปฏฺบัติได้ต้องอาศัยจิตวิญญาณ และความมุ่งมั่นของผู้บริหารระดับสูง คือตั้งแต่คณะกรรมการของทุกองค์กร และจะต้องมีการติดตามและทบทวนอย่างสม่ำเสมอ โดยเฉพาะอย่างยิ่ง การบริหารการจัดการของ CG ที่ต้องมีนโยบายการบริหารที่ควบคู่กันไปกับ ITG หรือ IT Governance อย่างแยกกันไม่ได้

ถึงแม้เราจะใช้หลักการการบริหารซึ่งมีร่มใหญ่ คือ CG + ITG ดังกล่าวข้างต้นแล้ว การปฏฺบัติที่เป็นรูปธรรมในหลายองค์กร ก็ยังไม่เป็นรูปธรรมเท่าที่ควร ทั้งนี้องค์กรส่วนใหญ่ จะมีการบริหารในลักษณะแยกกันเป็นเรื่อง ๆ โดยมีคณะกรรมการ หรือสายงานที่ดูแลตามหน้าที่ที่เกี่ยวข้อง คือบริหารในลักษณะ Functional-Based มากกว่า Role-Based ทำให้เกิดการบริหารในลักษณะ SILO ที่องค์กรส่วนใหญ่ มักอธิบายว่า ตามโครงสร้างก็จะมีการประสานงานกันอยู่แล้วในสายงาน หรือ BU ต่าง ๆ ที่เกี่ยวข้อง

แต่ในความเป็นจริง ในทางปฏิบัติ การประสานงานดังกล่าวสามารถทำได้อย่างจำกัด โดยเฉพาะอย่างยิ่ง องค์กรที่มีผู้บริหารมีอัตตา หรือไม่ชอบทำงานข้ามฝ่าย หรือคิดว่างานที่ตนทำอยู่นั้นดีที่สุดแล้ว ตาม JD และ JS ที่องค์กรกำหนด ซึ่งก็เป็นเรื่องจริงขององค์กรส่วนใหญ่ในปัจจุบัน นั่นคือ การยึดหลัก Functional-Based โดยคำนึงถึง Role-Based ค่อนข้างน้อยมาก ผลก็คือ การบริหารการจัดการซึ่งส่วนใหญ่จะเกี่ยวข้องกับ นโยบาย ซึ่งส่วนใหญ่ได้แก่การขับเคลื่อนนโยบาย กลยุทธ์ ซึ่งนำไปสู่การปฏิบัติขององค์กร จะมีจุดอ่อนที่ Operational Risk หรือจุดอ่อนที่เกี่ยวข้องกับ PPT – People + Process + Technology ซึ่งจะมีปัญหาในเรื่องการขับเคลื่อนและการบริหารแบบบูรณาการ ที่อาจเรียกย่อ ๆ ว่า GRC – Governance + Risk Management + Compliance ซึ่งเป็นการบริหารในลักษณะ Integrity Performance ที่เกี่ยวข้องกับเทคโนโลยีค่อนข้างมาก

จากการสำรวจการบริหารการจัดการทางด้านเทคโนโลยีสารสนเทศของหลายประเทศ ที่กำลังพัฒนาได้พบว่า ผู้บริหารในระดับต่าง ๆ มีความรู้ความเข้าใจในการใช้เทคโนโลยีเพื่อการบริหารและการจัดการที่ดี ในภาพโดยรวมที่อยู่ในระดับต้องปรับปรุงได้อีกมากนั้น พิจารณาได้ว่าเป็นจุดอ่อนที่มีความสำคัญเป็นอย่างยิ่งในการบริหารงานในองค์กรต่าง ๆ ของประเทศไทยเราในปัจจุบัน

ผมจะได้นำเสนอและเล่าสู่กันฟังในเรื่องการขับเคลื่อน IT Governance ที่เกี่ยวข้องกับ Corporate Governance – CG ในโอกาสต่อ ๆ ไปนะครับ

สำหรับวันนี้ยังคงนำเสนอการอธิบายด้วยแผนภาพที่เกี่ยวข้องกับ CG ในมุมมองต่าง ๆ ต่อไปอีกในระยะเวลาหนึ่ง ดังนี้

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

มีนาคม 15, 2010

สำหรับเรื่องของ CG ในวันนี้ ผมจะยังคงนำเสนอสรุปเรื่องของ CG ที่เป็นภาพใหญ่ของกระบวนการบริหาร และการจัดการของทุกองค์กร ซึ่งจะขอนำเสนอเป็นแผนภาพเพื่อให้เข้าใจได้ง่าย ตามที่ได้เรียนท่านผู้อ่านไว้ในครั้งก่อน ๆ เพื่อเป็นการทบทวน และสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

โดยครั้งที่แล้ว ผมได้นำเสนอถึงแผนภาพของวงจรการพัฒนาการกำกับดูแลกิจการที่ดีขององค์กร และในวันนี้จะเป็นเรื่องของ กระบวนการสร้างการกำกับดูแลกิจการที่ดี ซึ่งแผนภาพนี้จะสรุปและอธิบายไปในตัวอยู่แล้ว ขอให้ท่านผู้อ่านได้ดูแผนภาพด้านล่างนี้อย่างพิจารณา ก็จะทำให้เข้าใจได้อย่างไม่ยากเย็น

ครั้งหน้าเราไปดูองค์รวมของการกำกับดูแลกิจการที่ดีขององค์กรกันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

มีนาคม 2, 2010

ครั้งที่แล้ว ผมได้เรียนให้ท่านผู้อ่านได้ทราบว่า ผมจะได้นำสรุปเรื่อง CG ซึ่งเป็นภาพใหญ่ เปรียบเทียบได้กับร่มใหญ่ที่สุดในกระบวนการบริหาร และการจัดการของทุกองค์กร ที่ต้องอาศัยจิตวิญญาณ (Spiritual) ซึ่งหมายถึงความมุ่งมั่นจากจิตสำนึก และความรับผิดชอบ เพื่อขับเคลื่อนกระบวนการบริหารและการจัดการที่ดี โดยผู้บริหารระดับสูงเป็นผู้นำ และจัดให้มี Tone at the top ที่ส่งสัญญาณโดยการสื่อข้อความที่ชัดเจนไปยังผู้บริหาร และผู้ที่เกี่ยวข้องทุกระดับทั่วทั้งองค์กร อย่างเป็นกระบวนการ เริ่มตั้งแต่การกำหนดเป็นนโยบายที่ชัดเจนว่า องค์กรจะใช้ CG เป็นหลักในการบริหาร โดยกำหนดกรอบและแนวทางในการจัดการที่ชัดเจน เป็นรูปธรรม ที่ใช้เป็นแนวทางสำหรับการจัดการในองค์ประกอบที่เกี่ยวข้องต่อ ๆ ไป

ต่อจากครั้งที่แล้ว และมาในครั้งนี้ รวมทั้งที่จะกล่าวถึงในครั้งต่อ ๆ ไป ผมจะนำเสนอและอธิบายโดยแผนภาพเป็นสำคัญ ส่วนรายละเอียดท่านสามารถติดตามอ่านได้จากหัวข้อนี้ และหัวข้ออื่น ๆ ที่เกี่ยวข้อง ซึ่งผมเคยได้นำเสนอมาแล้วนะครับ

ท่านผู้อ่านที่ได้ติดตามแผนภาพและได้ใช้ความคิด เพื่อทบทวนเรื่อง CG และสร้างความเข้าใจในภาพโดยรวม โดยใช้แผนภาพเป็นหลักนั้น หากท่านสามารถอธิบายให้ตนเองเข้าใจได้อย่างเป็นขั้นเป็นตอน และอย่างเป็นกระบวนการได้ดี ในแต่ละช่องตามแนวนอน และแนวตั้ง ตามลำดับ โดยพิจารณาถึงกระบวนการบริหารการจัดการแบบบูรณาการ ตามคำอธิบายแต่ละช่องนั้น ๆ ในลักษณะการบริหารแบบบูรณาการเป็นอิสระ ของแต่ละกรอบ แต่ละช่อง ที่สัมพันธ์กับกรอบอื่นและช่องอื่นที่เกี่ยวข้องกันเป็นลำดับ ในลักษณะของการบริหารงานที่ควรเข้าใจตรงกันว่า ทุกช่อง ทุกกรอบ ทั้งแนวนอนและแนวตั้ง มีความเป็นอิสระซึ่งกันและกัน แต่ก็มีความสัมพันธ์กันอย่างใกล้ชิดอย่างแยกกันไม่ได้ (Interdependency)

โดยพิจารณาภาพใหญ่ของการบริหารแนวใหม่ที่ใช้คำว่า GRC – Governance + Risk Management + Compliance ซึ่งจะขับเคลื่อนโดยหลักการ Integrity – Driven Performance เป็นสำคัญ หรืออาจจะใช้ศัพท์ที่แตกต่างกัน แต่มีนัยที่สำคัญลักษณะเดียวกันก็คือ IPM – Integrated Performance Management โดยพยายามคิดเชิงวิเคราะห์ในปัจจัยย่อย ๆ ภายใต้องค์ประกอบในคำอธิบายในแต่ละช่องของแผนภาพที่เกี่ยวข้องและความสัมพันธ์ที่เกี่ยวข้องกันอย่างแยกไม่ได้ด้วย

หากดำเนินการดังกล่าวได้อย่างมั่นใจและเข้าใจโดยไม่สับสนมากนัก ก็อาจพิจารณาได้ว่า ท่านสามารถนำเสนอผู้บริหารระดับสูง และอธิบายให้เพื่อนร่วมงาน รวมทั้งผู้ปฏิบัติงานเข้าใจได้ด้วยตัวท่านเองดีแล้ว

นอกจากนี้ การดำเนินการดังกล่าวข้างต้น ก็อาจเรียกได้ว่า เป็นการประเมินตนเองเพื่อการบริหารจัดการที่ดี ซึ่งจะก้าวไปสู่การประเมินตนเอง เพื่อการบริหารความเสี่ยง และการควบคุมภายในขององค์กรได้เป็นอย่างดี (CSA – Control Self Assessment) ซึ่งเป็นหัวข้อและวิชาหนึ่งที่น่าสนใจยิ่งในกระบวนการบริหารและการจัดการยุคใหม่

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »