ความเสี่ยงจากเหตุการณ์ และความเสียหายที่จะเกิดขึ้นจากการจัดการ ด้าน IT บางมุมมอง

สิงหาคม 8, 2010

การจัดการ การควบคุม เกี่ยวกับความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ ความเสียหายที่อาจเกิดขึ้นได้ ที่เกิดจากการประเมิน หรือคาดคะเนเหตุการณ์ หรือปัจจัยเสี่ยงผิดพลาด หรือระบุความเสี่ยงไม่ตรงกับต้นเหตุ โดยเฉพาะอย่างยิ่งความเสี่ยง และปัจจัยที่เกิดจาก Operatinal Risk [P+P+T] ที่เกี่ยวข้องกับ P-People, P-Process, T-Technology ที่เกือบทุกองค์กรมีจุดอ่อน หรือปัญหาด้านนี้สูงสุด แม้กระทั่งในต่างประเทศก็มีปัญหานี้มากเช่นกันนั้น

ความเข้าใจในกระบวนการบริหารความเสี่ยงจึงสำคัญมาก โดยเฉพาะเรื่องการกำหนด Risk appetite และ Risk Tolerlance ทั้งด้าน Non-IT และ IT โดยเฉพาะอย่างยิ่ง Risk IT และ IT Risk ที่มีผลกระทบต่อ Operational Risk ที่องค์กรของรัฐยังมีปัญหาด้านนี้เนื่องจาก COSO-ERM ไม่ได้กล่าวถึงมากนัก และกฎเกณฑ์การประเมินผล ก็ยังไม่มีแนวทางนี้อย่างชัดเจน และเพียงพอกับการใช้เทคโนโลยีสารสนเทศที่เพิ่มขึ้นในทุกระดับของการจัดการ

วันนี้ ผมจึงนำเรื่องนี้ที่เกี่ยวข้องกับ IT Risk ที่ยังไม่เกี่ยวข้องกับเทคนิค มายกตัวอย่างให้ท่านผู้อ่านและผู้ปฎิบัติงาน ได้เห็นภาพบางมุมมอง ที่อาจปิดจุดอ่อนที่เกี่ยวข้องกับการบริหารความเสี่ยงบางประการ เพื่อสร้างความเข้าใจให้มากยิ่งขึ้น ดังนี้ครับ

ความเสี่ยงจากเหตุการณ์ และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการ หรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา++

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบ และการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงาน โดยอ้างเหตุผลว่า เป็นเรื่องทางเทคนิคเกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างเป็นระบบ ที่ต้องมีการประเมิน Risk IT และ IT Risk ทุกกิจกรรมในทุกขั้นขั้นตอนที่เกี่ยวข้อง++

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงาน และความต้องการของผู้ใช้ข้อมูลดีพอ รวมทั้งการใช้เทคนิคทางการประมวลผลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงาน และโปรแกรมงานขาดสาระที่สำคัญไป หรือเกินความเป็นจริง++

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูล และด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจาก การใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน++

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการแก้ไขและดัดแปลงโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน โดยไม่คำนึงผลกระทบที่จะตามมา++

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรม ออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูล ซึ่งเป็นเจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูล หรือในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจฟังก์ชัน (Function) หรือหน้าที่การทำงานของโปรแกรม จึงมีความพยายามในการแก้ไขและดัดแปลงระบบงานใหม่++

7. ขาดการสื่อสารและการทำความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ และฝ่ายผู้บริหารระดับสูงที่ดีเพียงพอ++

8. ไม่ได้วางหลักเกณฑ์ไว้ว่า เมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น หากมีการใช้งบประมาณเกิน 10% จะต้องหยุดหรือมีกฎหมายใหม่ ๆ เกิดขึ้น เนื่องจากจะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป++

9. การที่ระบบงานมีจุดอ่อนให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงาน บางคนพยายามสร้างวิธีการคดโกง หรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรม ให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่น เพื่อประโยชน์ของตนเองหรือผู้อื่น โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ ก็สามารถกระทำการทุจริต หรือทำความเสียหายให้กับองค์กรได้ ++

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิค หรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่งเท่ากับเป็นการบีบบังคับ หรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอด ไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคน แตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมายโดยรวมขององค์กร++

12. ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร++

ตัวอย่างบางประการที่กล่าวข้างต้นเป็นสิ่งที่อาจป้องกันได้ ทั้งโดยการกำกับงานของ Regulators และ ในการปฎิบัติงานของผู้บริหารของแต่ละองค์กร ความเสียหายที่อาจเกิดขึ้นได้

1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified Systems) และไม่ก่อให้เกิดประโยชน์ต่อการแข่งขันในทางธุรกิจ อันเนื่องมาจากการพัฒนาระบบงาน ที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง หรือเนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้ รวมถึงกรณีการพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ทำให้ต้องเสียค่าใช้จ่ายเพิ่มมากขึ้น++

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์กรตัดสินใจผิดพลาดด้วย เนื่องจากระบบที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสม เพื่อการบริหารและการจัดการที่ดี ++

3. การบันทึกข้อมูลทางบัญชีผิดพลาดจากตรรกะ (Logic) หรือใช้ระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาด หรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการยกระดับ (Upgrade) ระบบงานหลักในภายหลัง โดยบริษัทผู้พัฒนาโปรแกรมไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็น หากมีการแก้ไขและดัดแปลงโปรแกรมหลัก ๆ ++

4. สำหรับความเสียหายที่เกิดจากการแก้ไขและ/หรือดัดแปลงนั้น ก็อาจเกิด “จุดอ่อน” ตามมาได้มากมาย และเกินกว่าที่ผู้บริหารและผู้ใช้จะคาดคะเนได้++

5. ระบบงานที่ได้ไม่สามารถตอบสนองต่อความต้องการขององค์กรได้อย่างมี ประสิทธิภาพ ซึ่งมีผลทำให้เกิด – การตัดสินใจผิดพลาด – ผลตอบแทนการพัฒนาระบบงานใหม่ไม่คุ้มค่า – เสียประโยชน์จากการแข่งขัน – การประมวลผลข้อมูลหยุดชะงัก – มีค่าใช้จ่ายมากเกินไป – การทุจริต – การประมวลผลผิดพลาด – การบันทึกรายการบัญชีไม่ถูกต้อง

6. การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย และอาจมีความเสียหายที่เกิดขึ้นได้ตามที่กล่าวมาแล้วข้างต้น ++

7. เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่าง ๆ ตามที่ได้กล่าวมาแล้วข้างต้น++

8. การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ในลักษณะลูกโซ่ของปัญหา++

ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด จนถึงขั้นวิกฎติก็เป็นไปได้++ การจัดการ/การควบคุมบางประการ

1. กำหนดประเภทของกิจกรรม และเป้าหมายหลักในการพัฒนาระบบงานให้เป็นมาตรฐาน ทันกับเหตุการณ์ในลักษณะเชิงรุก ที่ผู้เกี่ยวข้องควรเข้าใจกระบวนการบริหารความเสี่ยง การควบคุม และการตรวจสอบ ทางด้าน IT และ Non-IT รวมทั้งการบูรณาการอย่างเหมาะสม++

2. ให้ผู้บริหารระดับสูงและผู้ใช้ข้อมูล ทบทวนและประเมินผลงานทุกขั้นตอนของการพัฒนาระบบงาน เมื่อพบว่ามีข้อที่ไม่สมเหตุสมผลอย่างร้ายแรงในขั้นตอนใด ให้สั่งหยุดการพัฒนาขั้นตอนถัดไปทันที จนกว่าจะแก้ไขแล้ว หรือ

3. ผู้บริหารระดับสูงอาจมอบหมายให้ผู้ตรวจสอบภายในขององค์กร เป็นผู้ทำหน้าที่ทบทวนและประเมินผลขั้นตอนของการพัฒนาระบบงานทุกระบบ โดยเฉพาะความเหมาะสมของการควบคุมภายในของระบบงาน การตรวจสอบและการแก้ไขอัตโนมัติโดยระบบ (Automated Solutions) อย่างเหมาะสมและทันเวลา ++

4. กำหนดประเภทของกิจกรรม และเป้าหมายหลัก ในการพัฒนาระบบงานให้เป็นมาตรฐาน จากผู้ที่มีความรู้ความเข้าใจในระบบงาน ++

5. การจ้างบุคคลที่ได้รับการอบรมและฝึกฝนทางด้านวิเคราะห์ระบบงานโดยเฉพาะ หรือส่งพนักงานเข้ารับการอบรม และฝึกฝนด้านเทคนิคเพิ่มเติมอยู่เสมอ

6. ให้จัดทำเอกสารประกอบการวิเคราะห์ทุกขั้นตอน ดังนี้
– รายงานการศึกษาวิเคราะห์ระบบงาน
– รายงานความต้องการของผู้ใช้ที่มีต่อระบบงาน
– รายงานเกี่ยวกับเทคนิคต่าง ๆ ที่จะใช้ในระบบงาน

7. ให้ผู้ใช้ข้อมูลเป็นผู้ทดสอบความถูกต้องของระบบงานที่เรียกว่า การรับรองระบบงาน (Acceptance Test) หรือมอบหมายให้ผู้ตรวจสอบภายในทำหน้าที่ทดสอบระบบ++

8. ให้ผู้ออกแบบระบบงานจัดทำเอกสารประกอบการใช้งานระบบโดยละเอียด

9. การว่าจ้างบุคคลที่มีความสามารถเฉพาะ หรือส่งพนักงานขององค์กรไปเข้ารับการอบรม และฝึกฝนทางด้านเทคนิคเพิ่มเติมอยู่เสมอ ++

10. มอบหมายให้ผู้ควบคุมระบบงานด้านการวิเคราะห์ และการเขียนโปรแกรมทบทวนผลลัพธ์ของการดำเนินงาน พัฒนาระบบทุกขั้นตอน ก่อนส่งให้ฝ่ายบริหารและผู้ใช้ข้อมูลให้ความเห็นชอบ ++

11. การกำหนดให้ฝ่ายพัฒนาระบบงาน/หัวหน้าโครงการพัฒนาระบบงาน (Project Leader) จัดทำแผนในการพัฒนาระบบงานและตารางการปฏิบัติงานแต่ละโครงการ (Project Planning) พร้อมทั้งมอบหมายงานให้พนักงานที่อยู่ในความรับผิดชอบ ทำการประเมินผลงานตามที่ปรากฎในแผน และจัดรายงานความก้าวหน้าของโครงการ เพื่อเสนอต่อฝ่ายผู้ใช้และฝ่ายบริหารระดับสูงเป็นระยะ ๆ ++

12. มอบหมายให้ผู้ควบคุมงานทบทวนผลลัพธ์ที่ได้จากงานทุกขั้นตอน++

13. มอบหมายให้ผู้ตรวจสอบภายใน หรือผู้ออกแบบระบบงานทบทวนระบบงานนั้นอีกครั้ง หลักจากที่ได้นำระบบไปใช้กับงานจริงแล้วประมาณ 3 – 6 เดือน เพื่อค้นหาข้อผิดพลาดที่ยังมีอยู่ ++แต่ก็มีประเด็นที่พึงพิจารณาและควรระวังหลายประการ เช่น มาตรฐานและศักยภาพของผู้ตรวจสอบ และความอิสระ++

14. ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบการปฏิบัติงานทุกขั้นตอนให้เรียบร้อย โดยละเอียด เพื่อส่งให้ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงทบทวนได้ทุกขณะเมื่อมี ปัญหาเกิดขึ้น ++

15. ให้ฝ่ายพัฒนาระบบงานจัดทำแผนงานและเป้าหมายของงานแต่ละขั้นตอน ทั้งนี้เพื่อเป็นแนวทางในการปฏิบัติงานแก่พนักงานที่เกี่ยวข้อง อาทิ
– ขั้นตอนการวางแผนระบบ
– ขั้นตอนการพัฒนาระบบ
– ขั้นตอนการติดตั้งในงานระบบ

ความเห็นและข้อแนะนำดังกล่าว น่าจะมีปัญหาในทางปฎิบัติ หรือมาตรฐานการปฎิบัติงาน++
ท่านลองพิจารณาดูนะครับว่าข้อใดที่เหมาะสม ข้อใดที่น่าจะไม่เหมาะสมเพราะขัดกับหลักการและมาตรฐานการปฎิบัติงาน และ

ในองค์กรที่ท่านบริหารอยู่มีข้อใดที่แสดงถึงความไม่รับผิดชอบของผู้ที่ เกี่ยวข้อง..?
วันนี้จึงจบลงด้วยแง่คิด ที่ต้องช่วยกันคิด ช่วยกันทำในแง่มุมของการบริการความเสี่ยงต่อไป

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เทคโนโลยีการบัญชี เครื่องมือทางการเงินกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส (ต่อ)

กรกฎาคม 14, 2010

สวัสดีครับทุกท่าน อาจจะทิ้งช่วงนานไปหน่อยสำหรับท่านที่สนใจติดตามกรณีศึกษาของ บริษัท เลห์แมน บราเธอร์ส สถาบันการเงินยักษ์ใหญ่แถวหน้าในสหรัฐอเมริกา ที่ต้องล้มละลาย เนื่องจากใช้เทคโนโลยีทางบัญชีเพื่อบิดเบือนข้อมูลทางการเงิน ส่งผลให้บริษัทต้องล้มละลาย ซึ่งกรณีศึกษานี้มีรายละเอียดค่อนข้างเยอะ ผมเลยต้องนำเสนอเป็นหลาย ๆ ตอนไป ทำให้การเล่าเรื่องขาดอรรถรสและความต่อเนื่อง แต่อย่างไรก็ตาม ท่านผู้สนใจสามารถติดตามเรื่องราวที่ได้นำเสนอไปก่อนหน้านี้ได้เสมอ อย่างน้อยเพื่อเป็นการทบทวนเรื่องราวต่าง ๆ การใช้ดุลยพินิจ การวิเคราะห์ความเสี่ยง จาก Risk IT และ IT Risk ที่มีผลต่อ Business Risk ที่ผู้บริหารทุกระดับ และผู้ปฏิบัติควรเข้าใจและตระหนักถึง

และผมจะพยายามนำเสนอให้ตอนนี้เป็นตอนจบสำหรับกรณีศึกษาของ เลห์แมนฯ นี้นะครับ เราไปพิจารณาถึงเอกสารรายงานของวาลูกัสต่อว่า กลวิธีทางบัญชีแบบนี้ผิดหรือไม่ คงจะมีการหาข้อสรุปได้ในไม่ช้า แต่ เรโป 105 กำลังเป็นบ่วงกรรมที่อาจตามหลอกหลอนอดีตเจ้าหน้าที่ระดับสูง เนื่องจากนายวาลูกัสได้แสดงความคิดเห็นเพิ่มเติมไว้ในรายงานด้วยว่า “แม้กรรมการบริหารบางคนของ เลห์แมนฯ ในช่วงที่ประสบภาวะล้มละลาย ไม่จำเป็นต้องร่วมรับผิดชอบ แต่ผู้บริหารระดับสูงอาจต้องมีส่วนรับผิดชอบ”

นายวาลูกัส ได้ระบุชื่อของ ดิ๊ก ฟุลด์ อดีตประธานเจ้าหน้าที่บริหาร รวมทั้ง คริส โอเมียรา เอียน โลวิตต์ และ อิริน คัลแลน ประธานเจ้าหน้าที่ฝ่ายการเงินของบริษัท อาจเผชิญกับการฟ้องร้องฐานประมาทเลินเล่อ หรือกระทำผิดหน้าที่ แม้แต่ เอิร์นสต์ แอนด์ยัง ซึ่งรับผิดชอบตรวจสอบบัญชีให้กับ เลห์แมน บราเธอร์ส ก็อาจพลอยติดร่างแหไปด้วย เพราะวาลูกัสระบุในรายงานเอกสารด้วยว่า หลักฐานที่ปรากฏสนับสนุนการฟ้องร้อง เอิร์นสต์ แอนด์ยัง ในข้อกล่าวหาการละเมิดทางวิชาชีพ เนื่องจากบริษัทเพิกเฉย หรือไม่ดำเนินการใด ๆ ที่จะตั้งคำถามหรือพยายามตรวจสอบพฤติกรรมการไม่เปิดเผยข้อมูลของ เลห์แมนฯ จากการใช้ธุรกรรมนอกงบดุลบัญชีชั่วคราว ที่มีวงเงินสูงถึง 5 หมื่นล้านดอลลาร์

ความน่าสนใจประเด็นต่อมาคือ วาลูกัสและทีมงาน ไม่ใช่คนกลุ่มแรกที่เข้าไปตรวจสอบเอกสารใน เลห์แมน บราเธอร์ส

ในคอลัมน์ Dealbook ของนิวยอร์ก ไทมส์ ระบุว่า เมื่อเกือบ 2 ปีก่อน มีคณะตรวจสอบ ที่มาจากคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์สหรัฐ และธนาคารกลางสหรัฐ ประจำนิวยอร์ก ได้เข้าไปในสำนักงานใหญ่ของ เลห์แมน บราเธอร์ส อย่างเงียบ ๆ โดยมีการจัดเตรียมโต๊ะทำงาน โทรศัพท์ คอมพิวเตอร์ ช่องทางในการเข้าถึงสถิติตัวเลข และรายงานทางบัญชีทั้งหมดของ เลห์แมนฯ

ทีมงานชุดนี้ได้รับมอบหมายจาก ทิโมธี ไกธเนอร์ ประธานธนาคารกลางสหรัฐ ประจำนิวยอร์ก และคริสโตเฟอร์ ค็อกซ์ ประธานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์สหรัฐ ในช่วงเวลานั้น ให้ติดตาม เลห์แมน บราเธอร์ส อย่างใกล้ชิด หลังจากที่ แบร์ สเติร์นส์ อยู่ในภาวะใกล้ล้มละลาย

ในช่วงเวลานั้น หน่วยงานทั้งสองไม่ได้ส่งแค่ทีมเดียวไปที่ เลห์แมน บราเธอร์ส แต่ทีมงานคล้าย ๆ กันได้เข้าไปติดตามอย่างใกล้ชิดในสำนักงานของ โกลด์แมน แชกส์ มอร์แกน สแตนเลย์ เมอร์ริล ลินช์ และสถาบันการเงินอื่น ๆ ด้วย

ทีมงานจากหน่วยงานทั้งสองได้เข้าตรวจสอบเอกสารทางบัญชี มีการสอบปากคำผู้บริหารระดับสูง เกี่ยวกับการตัดสินใจต่าง ๆ รวมทั้งยังได้ตรวจทานรายงานผลประกอบการรายไตรมาสก่อนเผยแพร่ด้วย แต่ที่น่าสนใจว่า ข้อเท็จจริงเกี่ยวกับ เลห์แมน บราเธอร์ส เพิ่งมาปรากฏในอีกเกือบ 2 ปีต่อมา โดยผู้ตรวจสอบอิสระที่ได้รับมอบหมายจากศาลล้มละลาย

ในช่วงเวลาที่ทีมงานของหน่วยงานทางการเงินทั้งสองเข้าไปตรวจสอบ จริง ๆ แล้ว เป็นช่วงที่ได้เกิดการเคลื่อนย้ายเงินสดก้อนมหึมาเข้า ๆ ออก ๆ เช่น ในไตรมาส 4 ของปี 2550 เลห์แมนฯ ใช้ธุรกรรม เรโป 105 ลดงบดุลบัญชีสุทธิในช่วงสิ้นไตรมาส ประมาณ 3.86 หมื่นล้านดอลลาร์ อีก 4.91 หมื่นล้านดอลลาร์ ในไตรมาสแรกของปี 2551 และ 5.038 หมื่นล้านดอลลาร์ ในไตรมาส 2 ของปีเดียวกัน การเคลื่อนย้ายจำนวนเงินก้อนใหญ่เหล่านี้ กลับมีปรากฏอยู่ในรายงานของวาลูกัสเท่านั้น

คุณูปการของการเปิดโปงพฤติกรรมการใช้ธุรกรรม เรโป 105 ของเลห์แมนฯ คือการสะท้อนให้เห็นว่า การอาศัยช่องโหว่ทางบัญชี เพื่อสร้างภาพลวงตาทางตัวเลข ไม่เคยสาญสูญไปจากโลกนี้

สาระสำคัญในรายงานของวาลูกัส เป็นเพียงบทเรียนล่าสุดที่ชวนให้นึกย้อนกลับไปถึงพฤติกรรม “คาบลูกคาบดอก” ของการทำบัญชีในหลาย ๆ กรณี ที่เกิดขึ้นบ่อยครั้งในระบบทุนนิยมโลก

อย่างกรณีการตบแต่งบัญชีของ เอนร็อน ก่อนที่ยักษ์ใหญ่วงการพลังงานจะเดินสู่ภาวะล้มละลาย และสร้างความเสียหายให้กับผู้ถือหุ้นกว่า 7 หมื่นล้านดอลลาร์ จากการจัดตั้งนิติบุคคลเฉพาะกิจหลายบริษัทขึ้นมา เพื่ออำพรางหนี้สินให้พ้นไปจากบริษัท หรือ อีกกรณีที่น่าสนใจ คือการทำธุรกรรม เพื่อลดการขาดดุลงบประมาณของรัฐบาลกรีก ในเดือนเมษายน ปี 2545 ที่รัฐบาลกรีกนำพันธบัตรออกขายระดมทุน 3.5 พันล้านดอลลาร์ กำหนดไถ่ถอนวันที่ 22 ตุลาคม 2565 ที่อัตราผลตอบแทน 5.90% ซึ่งในช่วงเวลานั้น มีสถาบันการเงินต่างชาติเข้าไปรับประกันการจำหน่ายหลายราย รวมถึง โกล์ดแมน แซกส์ มอร์แกน สแตนเลย์ และ คอยช์แบงก์

กระทั่งมีการเปิดโปงในเวลาต่อมาว่า โกลด์แมน แซกส์ ได้ใช้กลวิธีในการทำข้อตกลงสวอป โดยเริ่มต้นด้วยข้อตกลงสวอปอัตราแลกเปลี่ยนข้ามสกุลเงิน (Croos – Currency Swop) ออกโดยกรีซ มีทั้งสกุลเงินดอลลาร์ และเยน วงเงินรวมกัน 1 หมื่นล้านดอลลาร์ จากนั้นจึงนำมาสวอปเป็นเงินยูโร ซึ่คำนวณโดยใช้อัตราแลกเปลี่ยนในอดีต ถือเป็นกลไกสำคัญที่มาช่วยทำให้หนี้ดูเหมือนลดลง และกรีซได้เงินทุนมาประมาณ 1 พันล้านดอลลาร์

บ่วงกรรมของการใช้นิติกรรมอำพราง กำลังสั่นคลอนเสถียรภาพของเศรษฐกิจกรีซอย่างรุนแรงอยู่ในขณะนี้ โดยที่ไม่มีใครรู้ชะตากรรมว่า ประเทศสมาชิกของสหภาพยุโรปรายนี้ จะแปรสภาพเป็นชนวนก่อวิกฤติเศรษฐกิจโลกครั้งใหม่หรือไม่ หรือจะมีอัศวินม้าขาวมาปลดชนวนได้ทัน

จากกรณีศึกษาข้อมูลเบื้องต้น ท่านผู้อ่านพอจะวิเคราะห์ได้นะครับว่า ผลกระทบของเทคโนโลยี และจุดอ่อนที่เกิดจากการบริหารและการจัดการสารสนเทศ (Information Management) สามารถบิดเบือนข้อมูล รวมทั้งสร้างฐานะของบริษัท ให้แตกต่างไปจากความเป็นจริงได้อย่างมากมาย มีผลกระทบในทุกมุมมอง และในทุกระดับของการบริหารและการจัดการของทุกองค์กรทั่วโลกในปัจจุบัน

ท่านพร้อมหรือยังครับ กับการพัฒนาตนเองและผู้บริหารที่เกี่ยวข้องในองค์กรของท่านเพื่อให้สอดคล้องกับหลักการ Accountability หรือ การแสดงความรับผิดและรับชอบตามหน้าที่ ๆ ได้รับมอบหมายตามผลงานที่เกิดขึ้น แม้จะไม่ได้ลงมือปฎิบัติด้วยตนเองก็ตาม ทั้งนี้เพื่อแสดงว่าได้ก้าวตามให้ทันเทคโนโลยีสารสนเทศ กับการบริหารความเสี่ยงเพื่อการจัดการที่ดี เพราะในบางองค์กรของไทย ขณะนี้ก็ยังมีปัญหาการบริหารและการจัดการกับกระบวนการบริหารเทคโนโลยีสารสนเทศ ที่สร้างปัญหาและความคลางแคลงใจ ในความน่าเชื่อถือได้ของข้อมูลทางการเงิน ให้กับผู้กำกับและผู้มีผลประโยชน์ร่วม

โดยเฉพาะอย่างยิ่ง ในองค์กรที่มีการจัดโครงสร้างขององค์กรไม่เหมาะสม เช่น จัดให้มีผู้บริหารควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน อยู่ภายใต้บุคคลคนเดียวกัน ซึ่งเป็นจุดอ่อนที่สำคัญอย่างยิ่ง ที่จะก่อให้เกิดปัญหาการบิดเบือนข้อมูล การตบแต่งบัญชีทางเงิน และการทุจริต ที่จะมีผลกระทบต่อความสามารถในการควบคุมภายใน การบริหารความเสี่ยง การตรวจสอบ ที่มีผลต่อความเชื่อมั่นของผู้มีผลประโยชน์ร่วมเป็นอย่างมาก

1 ความเห็น | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เทคโนโลยีการบัญชี เครื่องมือทางการเงินกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส (ต่อ)

มิถุนายน 22, 2010

ในครั้งก่อนผมได้เล่าถึงกรณีศึกษาของ บริษัท เลห์แมน บราเธอร์ส อดีตวาณิชธนกิจแถวหน้าของสหรัฐอเมริกา ที่ต้องล้มละลาย แต่ใช้เครื่องมือทางการบัญชี และวิธีการทางบัญชีตบแต่งข้อมูลทางการเงิน เพื่อบิดเบือนข้อมูลจากความเป็นจริง จนในภายหลังตรวจพบและได้สร้างความเสียหายให้กับระบบการเงินโลกเป็นอันมาก ซึ่งกรณีศึกษานี้เป็นตัวอย่างได้เป็นอย่างดีสำหรับคณะกรรมการ ผู้บริหาร ผู้ตรวจสอบ และผู้กำกับหน่วยงานที่เกี่ยวข้องกับการเงินต่าง ๆ ถึงความสำคัญของการศึกษาเทคโนโลยีทางการบัญชี ทางการเงิน ทางการบริหาร การควบคุมและการตรวจสอบ

แต่เนื่องจากครั้งที่แล้วผมยังเล่าไม่จบ ซึ่งกรณีศึกษาของ เลห์แมนฯ นี้มีรายละเอียดค่อนข้างเยอะ และเป็นที่น่าสนใจเป็นอย่างยิ่ง ผมจึงขอเล่าถึงเอกสารรายงานของวาลูกันที่อ้างอิง อีเมล์ที่เป็นหลักฐานในการตรวจสอบต่อนะครับ ในเอกสารรายงานของวาลูกันอ้างอิง อีเมล์ที่เป็นหลักฐานในการตรวสอบระบุถึง เรโป 105 ว่า ถูกใช้เพื่อการตบแต่งบัญชีสิ้นงวด (Window Dressing) ซึ่งถือเป็นกลวิธีทางบัญชีอย่างหนึ่ง ที่นิยมใช้ในหมู่กองทุน หรือบริษัทต่าง ๆ เพื่อทำให้ตัวเลขทางบัญชีดูดีขึ้นมา ด้วยมูลค่าหุ้นที่กองทุนหรือบริษัทนั้น ๆ ถืออยู่

การโต้ตอบทางอีเมล็ มีส่วนอย่างมากที่ทำให้เส้นทางการใช้ธุรกรรม “เรโป 105” ในหน่วยงานบางแห่งของ เลห์แมน บราเธอร์ส ในช่วยสิ้นไตรมาส เพื่อทำให้ตัวเลขบัญชีเป็นไปตามเป้าหมาย อาทิ ข้อความหนึ่ง ซึ่งถูกหยิบมาอ้างอิง คือ “เราอยู่ในสถานการณ์ที่หมดหวัง และผมต้องการจากคุณอีก 2 พันล้านดอลลาร์ ทั้งที่ผ่านการขายขาด และเรโป 105 ค่าใช้จ่ายไม่เป็นปัญหา เราจำเป็นต้องทำ” นี่เป็นอีเมล์ที่หัวหน้ากลุ่มตลาดสินทรัพย์ที่มีสภาพคล่อง ภายในแผนกสินทรัพย์ที่ให้ผลตอบแทนคงที่ของ เลห์แมน เขียนไว้สั้น ๆ ก่อนสิ้นไตรมาสแรกของปี 2551

เลห์แมน บราเธอร์ส ได้รายงานฐานะการเงินของบริษัทในช่วงไตรมาสนั้นว่า มีสัดส่วนการก่อหนี้สุทธิอยู่ที่ 15.4 แต่วาลูกัสคำนวณว่า หากไม่มีการใช้ธุรกรรม เรโป 105 สัดส่วนการก่อหนี้สุทธิของ เลห์แมน บราเธอร์ส จะเพิ่มเป็น 17.3

อย่างไรก็ตาม เมื่อรอบระยะบัญชีใหม่เริ่มขึ้น และธุรกรรม เรโป 105 ที่เลห์แมน บราเธอร์ส มีภาระผูกพันอยู่ครบกำหนดซื้อคืน เลห์แมน บราเธอร์ส ต้องกู้ยืมเงินมา เพื่อซื้อคืนสินทรัพย์ดังกล่าว ส่งผลให้สัดส่วนการก่อหนี้ของบริษัทเพิ่มขึ้นอีกครั้ง

เงื่อนปมสำคัญในข้อตกลง เรโป 105 ที่วาลูกัสตั้งข้อสังเกตเอาไว้ในรายงาน คือ เลห์แมน บราเธอร์ส ทำอย่างไรให้ธุรกรรมนี้ผ่านอุปสรรคสุดท้าย และสามารถลงบัญชีในรายการ “ขาย” ได้ เนื่องจากการทำบัญชีในลักษณะนี้ต้องขอความเห็นทางกฎหมายรับรองว่า เป็นข้อตกลงที่เกิดการขายจริง

รายงานของวาลูกัสชี้ว่า ปัญหาในขณะนั้น คือ เลห์แมน บราเธอร์ส ไม่สามารถขอความเห็นรับรองทางกฎหมายว่าเป็นการขายจริง จากนักกฎหมายในสหรัฐ (ขอให้ท่านโปรดใช้ดุลยพินิจ)

ดังนั้น ทุกข้อตกลง เรโป 105 ของเลห์แมนฯ ยังต้องอาศัยการดำเนิการผ่านหน่วยงานในลอนดอนของบริษัท ซึ่งที่นั่น เลห์แมน บราเธอร์ส สามารถขอความเห็นทางกฎหมายรับรองว่าเป็นการขายจริง จากบริษัทกฎหมาย “ลิงก์เลเตอร์ส” ภายใต้กฎหมายอังกฤษ (ขอให้ท่านโปรดใช้ดุลยพินิจ)

เมื่อมีชื่อถูกพาดพิง ลิงก์เลเตอร์ส ได้ทำเอกสารแถลงชี้แจงว่า รายงานของนายวาลูกัสไม่ได้สรุปว่า ความเห็นทางกฎหมายที่ให้ภายใต้กฎหมายอังกฤษเป็นสิ่งผิด หรือไม่เหมาะสม (ขอให้ท่านโปรดใช้ดุลยพินิจ ท่านผู้อ่านคิดอย่างไรครับเมื่อถึงตอนนี้ทั้งใน แง่มุมทางบัญชี แง่มุมทางกฎหมาย การบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบ++)

อีกข้อสังเกตหนึ่งในกรณีการใช้ธุรกรรม เรโป 105 คือ เป็นธุรกรรมที่เกิดนอกสหรัฐ ด้วยเหตุนี้ คู่สัญญาในข้อตกลงจึงไม่มีสถาบันการเงินในสหรัฐเกี่ยวข้องเลย โดยในบรรดาคู่สัญญาของธุรกรรม เรโป ทั้ง 7 ราย มี คอยช์แบงก์ ของเยอรมณี บาร์เคลย์ส ของอังกฤษ และ มิตซูบิชิ ยูเอสเจ ไฟแนนเชียล กรุ๊ป ของญี่ปุ่น รวมอยู่ด้วย

นายวาลูกัส ได้สรุปเอกสารรายงานตรวจสอบของเขาว่า หากพิจารณาจากพฤติกรรมดังกล่าว เท่ากับว่า เลห์แมน บราเธอร์ส อาจอยู่ในภาวะไม่สามารถดำเนินกิจการต่อไปได้ ตั้งแต่ 2 กันยายน 2551 เกือบ 2 อาทิตย์ ก่อนที่จะมีการยื่นล้มละลายอย่างเป็นทางการ ในวันที่ 15 กันยายน ซึ่งครั้งนั้นได้สร้างความปั่นป่วนให้กับระบบการเงินโลก และเป็นแรงบวกทุบตลาดหุ้นดิ่งถล่มทลายไปทั่วทุกภูมิภาค

คงต้องขออภัยท่านผู้อ่านที่กำลังเพลิดเพลินไปกับการศึกษาเรื่องราวและใช้ดุลยพินิจ กรณีศึกษาของ บริษัท เลห์แมนนี้ เพราะรายละเอียดค่อนข้างเยอะเหลือเกิน ทำให้ผมคงต้องยกไปเล่าต่อในครั้งหน้า โปรดอย่าลืมติดตามต่อนะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เทคโนโลยีการบัญชี เครื่องมือทางการเงินกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส (ต่อ)

มิถุนายน 4, 2010

ต่อไปนี้คือตัวอย่าง และการไขปริศนาว่า ทำไม บริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย เพื่อใช้เป็น Lesson – Learned หรือกรณีศึกษาที่ดีสำหรับคณะกรรมการ ผู้บริหาร ผู้ตรวจสอบ และผู้กำกับหน่วยงานที่เกี่ยวข้องกับการเงินต่าง ๆ โดยเฉพาะอย่างยิ่ง การวิเคราะห์ความเสี่ยง และผลกระทบที่เกิดจากการบิดเบือนข้อมูลทางการเงิน รวมทั้งผลกระทบจาก Risk IT และ IT Risk ที่มีผลต่อ Business Risk ที่ผู้บริหารทุกระดับ และผู้ปฏิบัติควรเข้าใจและตระหนักถึงภัยจากกระบวนการจัดการเทคโนโลยีสารสนเทศที่มีปัญหา..

ขอให้ท่านผู้อ่านที่สนใจติดตามเรื่องนี้ได้อ่าน และใช้ดุลยพินิจในการวิเคราะห์ถึงความเสี่ยงตามที่ได้กล่าวข้างต้น เมื่อเทียบกับความเข้าใจที่ท่านมีอยู่ต่อ Technology Risk และ Process Risk ที่มีผลต่อ People Risk ซึ่งโดยรวม ๆ เรียกกันว่า Operational Risk ว่าท่านได้สนใจมุมมองที่จะกล่าวต่อไปนี้เมื่อเทียบกับกรณี การทุจริต ประมาณ 6 แสนล้านบาท เมื่อต้นปี 2551 ของธนาคาร Soc Gen ซึ่งเป็นธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ก็มีสาเหตุจากการตบแต่งข้อมูล และการบิดเบือนข้อมูล ที่ทำให้ผู้อ่านงบการเงิน และผู้วิเคราะห์งบการเงิน ที่เป็น Stakeholders ไม่อาจติดตามข้อเท็จจริงได้ จนกระทั่งความเสียหายครั้งมโหฬารได้เกิดขึ้นแล้ว

สาเหตุก็เกิดจากการใช้ความรู้ทางด้านเทคโนโลยีสารสนเทศไปบิดเบือนข้อมูลทางการเงิน และการบัญชี การรายงาน รวมทั้งการตรวจสอบที่ทำให้ผู้ที่เกี่ยวข้อง หรือมีความรู้ไม่เท่าทันกับผลกระทบจาก Technology Risk หรือ Risk IT และ IT Risk ต่อ Business Risk นั่นเอง

ท่านได้ศึกษากรณี Soc Gen และได้นำไปลดช่องว่างที่สถาบันการเงินของท่าน อาจมีจุดอ่อนจากกระบวนการทำงาน และระบบงานประมาณ 20 กิจกรรมของความเสี่ยงแล้วหรือยังครับ

สำหรับกรณีของบริษัท เลห์แมน บราเธอร์ส มีรายละเอียดจากการตรวจสอบ ปรากฏในรายงานของ นายแอนตัน วาลูกัส ผู้ตรวจสอบ ซึ่งได้รับคำแต่งตั้งจากศาลล้มละลาย ประเทศสหรัฐอเมริกา ให้ตรวจสอบพฤติกรรมที่ทำให้บริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย ดังนี้…

รายงานได้มีการเผยแพร่ผลการตรวจสอบการล้มละลายของ เลห์แมน บราเธอร์ส อดีตวาณิชธนกิจแถวหน้าของสหรัฐอเมริกา ซึ่งเรื่องนี้จะเกี่ยวข้องกับการใช้เทคโนโลยีทางการเงิน การบัญชี และเทคโนโลยีทางคอมพิวเตอร์ ผสมผสานกัน เพื่อตบแต่งงบการเงินให้บิดเบือนไปจากความเป็นจริง

รายงานการตรวจสอบมีความหนาประมาณ 2,200 หน้า โดยผู้ตรวจสอบและทีมงานของแอนตัน วาลูกัส ได้เปิดเผยถึงกรณี บริษัท เลห์แมน บราเธอร์ส เผชิญกับภาวะล้มละลาย เมื่อวันที่ 15 กันยายน 2551 จากพฤติกรรมที่น่าชวนสนเท่ห์ มีชื่อเรียกที่รับรู้กันเป็นการภายในว่า เรโป 105 (Repo 105) ได้ถูกตีแผ่ออกมา โดยกินเนื้อที่ในรายงานมากถึง 328

อะไรคือ เรโป 105 ที่ใช้ในการตบแต่งข้อมูลทางการบัญชี และการเงิน
ในเอกสารของนายวาลูกัสระบุว่า เลห์แมนฯ ใช้เครื่องมือที่เกี่ยวข้องกับเทคโนโลยี่ตบแต่งรายการบัญชีนอกงบดุล รู้จักกันภายในบริษัทว่า ธุรกรรม “เรโป 105” และ “เรโป 108” ซึ่งเป็นการโยกย้ายตราสารจำนวนหนึ่งออกไปจากงบดุลบัญชีชั่วคราว โดยปกติจะกินระยะเวลา ประมาณ 7 – 10 วัน และเครื่องมือดังกล่าวได้ถูกนำมาใช้เพื่อสร้างภาพที่ทำให้เข้าใจผิด ๆ เกี่ยวกับฐานะการเงินของบริษัท ในช่วงปลายปี 2550 และ 2551

โดยสรุป ข้อตกลงของ “เรโป” เป็นกลวิธีทางบัญชีที่ เลห์แมน บราเธอร์ส นำมาใช้ในรูปของข้อตกลงซื้อคืน เพื่อเปิดช่องให้สามารถแลกเปลี่ยนสินทรัพย์เป็นเงินสดได้ชั่วคราว โดยวางโครงสร้างให้เหมือนเป็นการขาย เพื่อให้ดูเหมือนว่าความเสี่ยงจากการก่อหนี้ดังกล่าวได้หมดไปจากงบดุลและบัญชีของบริษัท

จริง ๆ แล้ว เลห์แมน บราเธอร์ส เริ่มใช้เครื่องมือนี้มาตั้งแต่ปี 2544 แต่เพิ่งมาใช้บ่อยครั้งในช่วยสิ้นปี 2550 และ จำนวนการใช้ธุรกรรมเรโป 105 มีปริมาณมากที่สุดในช่วงไตรมาส 2 ของปี 2551 เพื่อช่วยผ่องถ่ายสินทรัพย์มูลค่าประมาณ 5 หมื่นล้านดอลลาร์ออกไปจากงบดุลบัญชีของบริษัทเป็นการชั่วคราว

กรณีศึกษานี้ยังมีรายละเอียดอีกพอสมควร ขอได้โปรดติดตามตอนต่อไปนะครับ

1 ความเห็น | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เทคโนโลยี่การบัญชี การควบคุมภายในและการตรวจสอบกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส

พ.ค. 19, 2010

เทคโนโลยี่ในปัจจุบันได้เข้ามามีบทบาทอย่างสำคัญในกิจกรรมและกระบวนการทำงานต่างๆ รวมทั้งการบัญชี ผู้บริหารระดับสูงต้องเข้ามามีส่วนเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะตามหลักการบริหารตามแนว GRC หรือ Governance+Risk Management+ Compliance ผู้บริหารระดับสูงต้องใส่ใจกับเรื่องเทคโนโลยีมากขึ้น เพราะความล้มเหลวทางด้านเทคโนโลยี่ จะมีผลกระทบต่อการบริหารโดยรวม+++

คณะกรรมการวิชาชีพบัญชีด้านการศึกษาและเทคโนโลยี่การบัญชี พิจารณาว่าเป็นปัจจัยภายนอก ที่ส่งผลกระทบอย่างมากต่อการทำงานของนักบัญชี และผู้บริหารที่เกี่ยวข้อง รวมทั้งผู้กำกับฯ ความต้องการบุคคลากรด้านบัญชีที่มีความสามารถในการใช้เทคโนโลยี การบริหาร การตรวจสอบองค์กรที่ใช้เทคโนโลยี จึงมีความสำคัญมากขึ้นมาก ผู้ที่เกี่ยวข้องต้องมีความเข้าใจในคุณลักษณะ วิธีการทำงาน และสามารถเลือกใช้หรือจัดการเทคโนโลยี่ ควบคุมการใช้เทคโนโลยีให้เหมาะสมได้อย่างมั่นใจ

องค์กรของท่าน มีความพร้อมในการบริหาร การจัดการเทคโนโลยีที่เหมาะสมแล้วหรือยังครับ ความเสียหาย และผลกระทบจากการไม่เข้าใจในคุณลักษณะของเทคโนโลยีในมุมมองต่าง ๆของกระบวนการจัดการ เช่นในมุมมองของ Business Balance Scorecard และ Information Balance Scorecard นั้นอาจเกินจินตนาการของ Stakeholders นะครับ

ตัวอย่างในเรื่องนี้มีมากมาย แล้วผมจะค่อย ๆ ทยอยเล่าสู่กันฟังเพื่อเป็นกรณีศึกษาต่อไป มาตรฐานการบัญชีก็มีการปรับปรุงกันอยู่เสมอ ในขณะนี้นักบัญชีและนักบริหารก็ทราบกันดีนะครับว่า การบัญชีไทยกำลังอยู่ระหว่างการปรับปรุงเพื่อก้าวไปสู่ IFRS – International Financial Reporting Standards ซึ่งประเทศต่าง ๆ ทั่วโลกต่างก็ยอมรับที่จะนำมาตรฐาน IFRS ไปถือปฎิบัติ

แน่นอนว่าการทำความเข้าใจในมาตรฐานของบัญชีใหม่ และระบบงานที่เกี่ยวข้อง เช่นเทคโนโลยีคอมพิวเตอร์จะมาเกี่ยวข้องด้วยเสมอนะครับ ที่สำคัญก็คือ องค์กรของท่านพร้อมแล้วหรือยัง โดยเฉพาะการทำความเข้าใจในผลกระทบของเทคโนโลยีคอมพิวเตอร์ ที่เกี่ยวข้องกับการบัญชี การบริหาร การจัดการ ในเกือบทุกระดับของกระบวนการจัดการ โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยง ทั้งในระดับองค์กรและในระดับประเทศ การควบคุมภายใน การตรวจสอบภายในตามฐานความเสี่ยง ทั้งทางด้าน IT และ Non – IT ++

ขอยกตัวอย่าง กรณี บริษัท เลห์แมน บราเธอร์ส อดีตวาณิชธนกิจแถวหน้าของสหรัฐอเมริกา ต้องล้มละลาย กับการตรวจพบ เมื่อบริษัทฯ ได้ล้มละลายไปแล้ว ด้วยเหตุผลการใช้เครื่องมือทางบัญชี และวิธีการทางบัญชีมาตบแต่งข้อมูลทางเงิน ++ นี่เป็นตัวอย่างที่ชัดเจนของความสำคัญของการศึกษาเทคโนโลยีทางการบัญชี ทางการเงิน ทางการบริหาร การควบคุมและการตรวจสอบ

สรุปว่า เลห์แมน ใช้เครื่องมือทางการบัญชี โดยการปรับปรุงงบดุล และโยกย้ายตราสารจำนวนหนึ่งออกไปจากงบดุล ซึ่งเป็นงบแสดงทางการเงินเป็นการชั่วคราว เพื่อสร้างภาพที่ทำให้เข้าใจผิด ๆ ต่อผู้อ่านและผู้บริหารงบการเงิน เกี่ยวกับฐานะการเงินของบริษัทฯ ในช่วงปลายปี 2552 และ 2551 โดยวางโครงสร้างให้เหมือนเป็นการขาย เพื่อให้การขายตราสารการเงินเป็นการชั่วคราว เพื่อให้ดูเสมือนหนึ่งว่าความเสี่ยงจากการก่อหนี้ดังกล่าวจะหมดไป จากงบดุลหรือบัญชีทางการเงินของบริษัทแล้ว ซึ่งทำให้สถานะของบริษัท เลห์แมน บราเธอร์ส ในปี 2550 และ ปี 2551 จะแตกต่างจากความจริงเป็นอย่างมาก

นี่คือการเปลี่ยนแปลงงบทางการเงิน เพื่อตบแต่งทางการบัญชีตอนสิ้นงวด ซึ่งเรียกว่า Window Dressing ซึ่งนิยมใช้กันในหมู่ผู้บริหารเงินกองทุน ++ ซึ่งเป็นเรื่องปกติ แต่ต้องอยู่ในระดับภายใต้การควบคุมและยอมรับได้ขององค์กร และ Stakeholders ในมุมมองทางการเงินและการบัญชี และความผิดในเรื่องนี้ ควรจะเป็นของใคร? ท่านคิดอย่างไรครับในเรื่องนี้

โปรดติดตามตอนต่อไป ในเรื่องเกี่ยวกับการไขปริศนา ทำไมบริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย อันเนื่องจากเทคโนโลยีทางการบัญชี

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง เพื่อยกระดับการจัดการ ในบางมุมมอง (ต่อ)

เมษายน 27, 2010

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเอง (CSA – Control Self Assessment) ในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่ในระดับ 2 แล้ว แต่สามารถเชื่อมโยงและบูรณาการในการบริหารความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีด้วยนั้น

ท่านลองมาประเมินตนเองต่อนะครับ ว่าในองค์กรของท่านมีการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่แล้วพอสมควรนั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ในบางมุมมองของการบริหารความเสี่ยง เพื่อยกระดับให้สูงขึ้นไปได้ดังนี้

1. องค์กรมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง Risk Appetite และกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการทบทวน Risk Appetite และ Risk Tolerance ที่ระบุเป็นเชิงปริมาณ และมีความสอดคล้องกับเป้าหมายที่สำคัญขององค์กรตามที่ระบุไว้ในแผนงาน หรือตามที่องค์กรต้องดำเนินการให้เป็นไปตามมาตรฐานที่เกี่ยวข้อง

– องค์กรไม่ได้กำหนด Risk Appetite ในภาพรวมของแต่ละประเภทความเสี่ยง เช่น ด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ด้านการเสียชื่อเสียงขององค์กร ด้านความพึงพอใจของลูกค้าและผู้มีผลประโยชน์ร่วม ด้านการพัฒนาองค์กรและกระบวนการทำงาน และด้านการเรียนรู้ของบุคลากรในเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการ ในมุมมองต่าง ๆ เช่น การไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ และข้อตกลงร่วมกันในระดับองค์กร

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร โดยองค์กรมีหน่วยงานที่รับผิดชอบการบริหารจัดการความเสี่ยงและมีการทำงานที่เป็นรูปธรรม หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการกำหนดหรือไม่มีการทบทวนโครงสร้าง บทบาทหน้าที่ กระบวนการ และผู้รับผิดชอบการบริหารความเสี่ยง ทั้งในระดับองค์กร และระดับฝ่ายงานอย่างชัดเจน เพื่อให้เกิดความเหมาะสมและมีประสิทธิภาพในการดำเนินงานยิ่งขึ้น

– ไม่มีการกำหนดผู้ทำหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยง ตามขั้นตอนต่าง ๆ และรายงานให้คณะกรรมการบริหารความเสี่ยงได้รับทราบและพิจารณา เพื่อกำหนด และหรือทบทวน Criteria, Risk Appetite และ Risk Tolerance รวมถึงนโยบายการควบคุมความเสี่ยงให้มีความเหมาะสม

– ไม่มีการกำหนดมาตรการควบคุมเพิ่มเติม หรือติดตามผลการดำเนินงาน รายงานคณะอนุกรรมการ และคณะกรรมการบริหารความเสี่ยง

– ในระดับสายงาน หรือฝ่ายงาน ไม่มีการมอบหมายให้มีการบริหารจัดการและการกำกับดูแลตามสายการบังคับบัญชา เพื่อรับผิดชอบด้านการบริหารความเสี่ยง และควบคุมภายในเป็นการเฉพาะ เพื่อมีหน้าที่ผลักดันงานด้านบริหารความเสี่ยง ให้เป็นไปตามทิศทางของแผนงานหลัก ในการบริหารความเสี่ยงระดับองค์กร

– ไม่ได้จัดทำกรอบ/มาตรฐานและถ่ายทอด สนับสนุน เครื่องมือ ข้อมูล หรือเทคนิค

– ไม่ได้มีการอบรมพัฒนา สร้างการรับรู้ ติดตามประเมินผลการดำเนินงานบริหารความเสี่ยง รวมถึงการรายงานผลการดำเนินงานให้ผู้ที่เกี่ยวข้องทราบ

3. การบริหารนโยบายและกลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงาน เพื่อให้การบริหารความเสี่ยงเป็นไปในระยะยาว หรือปลูกฝังอยู่ในองค์กร

– องค์กรไม่มีนโยบายและการปฏิบัติที่แสดงให้เห็นถึงการผลักดันให้มีการดำเนินงานบริหารความเสี่ยง เป็นไปในระยะยาว โดยการบรูณากระบวนการบริหารความเสี่ยงให้มีความสอดคล้องกับการบริหารงานหลักที่สำคัญ

– ไม่มีการแต่งตั้งเจ้าหน้าที่บริหารความเสี่ยงประจำสายงาน หรือฝ่ายงาน และไม่มีการมอบหมายให้เป็นบทบาทหน้าที่หลักให้กับผู้บริหารในแต่ละระดับ เพิ่มเติมจากการกำหนดงานที่ทำอยู่เป็นปกติ

4. องค์กรมีการบริหารความเสี่ยงแบบบูรณาการหรือไม่ โดยพิจารณาการบริหารความเสี่ยงทางด้านนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่าง ๆ ขององค์กร

– องค์กรไม่มีการบริหารความเสี่ยงที่พิจารณาถึงนโยบาย กลยุทธ์ เป้าหมาย แผนงาน/โครงการต่าง ๆ อย่างชัดเจน โดยเฉพาะการบริหารความเสี่ยงในระดับองค์กร เช่น ในการประชุมฯ คณะกรรมการไม่ได้แสดงความคิดเห็นเกี่ยวกับสถานการณ์ต่าง ๆ ที่อาจก่อให้เกิดผลกระทบต่อนโยบาย เป้าหมาย วิสัยทัศน์ พันธกิจ หรือแผนงาน/โครงการที่สำคัญขององค์กรเป็นประจำ เพื่อจัดให้มีการกำหนดมาตรการควบคุมความเสี่ยง หรือทบทวนมาตรการควบคุมที่มีอยู่ให้มีความเพียงพอและเหมาะสม

5. การพิจารณาว่าการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยง และผลกระทบที่มีต่อหน่วยงานต่าง ๆ ภายในองค์กร เช่น การบริหารผ่านต้นเหตุ และความสัมพันธ์ถึงผลกระทบที่ชัดเจน) โดยผ่านคณะกรรมการบริหารความเสี่ยงให้ความเห็นชอบ โดยในแผนการบริหารความเสี่ยงต้องแสดงให้เห็นถึงประโยชน์จาก Risk Map มากำหนดแผนการบริหารความเสี่ยงโดยรวมขององค์กร ตัวอย่างเช่น

– องค์กรไม่มีการจัดทำ Risk Map เพื่อใช้ประกอบการนำเสนอให้ผู้บริหารระดับสูง ตามโครงสร้างการบริหารความเสี่ยงและการควบคุมภายใน เพื่อการพิจารณาทบทวน การระบุ ประเมินความเสี่ยง รวมถึงเป้าหมายที่คาดหวังภายหลังการดำเนินการตามมาตรการควบคุมความเสี่ยงเพิ่มเติม

– องค์กรไม่ได้ใช้ Risk Map เป็นสื่ออีกรูปแบบหนึ่งในการสร้างความเข้าใจในการบริหารความเสี่ยงระดับองค์กร ซึ่งสามารถช่วยแสดงความสัมพันธ์ระหว่างปัจจัยเสี่ยงและผลกระทบซึ่งกันและกันของความเสี่ยงต่อเป้าประสงค์ต่าง ๆ ระดับองค์กร และระดับฝ่ายงาน เพื่อรับทราบภาพรวมของการบริหารความเสี่ยงได้อย่างสอดประสานกัน

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี โดยพิจารณาว่าฝ่ายบริหารได้จัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ IT Governance เช่น

– องค์กรไม่ได้มีการจัดโครงสร้างการบริหารจัดการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ที่ประกอบด้วยผู้บริหาร คณะกรรมการ ที่ปรึกษาและคณะทำงานสนับสนุน เข้ามาดำเนินการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร และมีความสอดคล้องกับโครงสร้างขององค์กร

7. คณะกรรมการมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนด ในการสร้างมูลค่าเพิ่มทางด้านการเงิน และไม่ใช่ทางการเงิน เช่น การให้บริการที่รวดเร็วอย่าง One Stop Service เป็นต้น โดยพิจารณาว่า

– คณะกรรมการองค์กรมีส่วนในการพิจารณาอนุมัติกลยุทธ์ และแนวทางในการพัฒนาและการปรับปรุงการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรหรือไม่ โดยวิเคราะห์ความจำเป็นในการใช้ประโยชน์เทคโนโลยีสารสนเทศขององค์กร และได้บรรจุเป็นรายละเอียดของเรื่องดังกล่าวไว้ในแผนงาน/โครงการขององค์กร ประจำปี

8. คณะกรรมการตรวจสอบกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกัน ความเสียหาย การปรับปรุง และเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการ IT โดยพิจารณว่า

– คณะกรรมการตรวจสอบ มีการอนุมัติแผนการตรวจสอบประจำปี เพื่อทำการสอบทางการควบคุมทั่วไปทางด้านเทคโนโลยีสารสนเทศ และชี้แจงรายละเอียดให้ผู้เกี่ยวข้องได้ทราบถึงวัตถุประสงค์ ขอบเขต และแนวทางปฏิบัติ พร้อมรายละเอียดแผนการตรวจสอบประจำปี และได้ชี้แจงฝ่ายจัดการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อนำไปประยุกต์ใช้ในการดำเนินการด้านเทคโนโลยีสารสนเทศ หรือไม่

– คณะกรรมการตรวจสอบมีการกำกับดูแลและติดตามการจัดการกระบวนการป้องกัน ความเสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT (ITG) ในเรื่องของการเพิ่มประสิทธิภาพการปฏิบัติงาน และการใช้ประโยชน์จากระบบประมวลผลข้อมูลหรือไม่

9. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น และดีขึ้นจากอดีตทุกปัจจัยเสี่ยง โดยพิจารณาว่า

– ทุกปัจจัยเสี่ยงขององค์กร มีการระบุอย่างชัดเจนถึงระดับความรุนแรงของความเสี่ยง ทั้งก่อนและหลังการบริหารความเสี่ยง โดยที่ระดับความรุนแรงก่อนและหลักการบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารให้มีระดับความรุนแรงหลังจากการบริหารความเสี่ยงลดลง จากก่อนการบริหารความเสี่ยงหรือไม่

ขอให้ท่านลองประเมินตนเองในแง่มุมของการบริหารความเสี่ยง ที่เรียกว่า CSA – Control Self Assessment ว่าปัจจัยต่าง ๆ ตามที่กล่าวข้างต้นเพียงบางประการนั้น องค์กรของท่านได้ปฏิบัติอย่างมีคุณภาพเพียงใด และมีหลักฐานอะไรในการสนับสนุนการดำเนินการดังกล่าวที่เป็นรูปธรรม และพนักงานที่เกี่ยวข้องมีความเข้าใจในเรื่องดังกล่าวมากน้อยเพียงใด และมีการสื่อสารในเรื่องการบริหารความเสี่ยงทั่วทั้งองค์กรในมุมมองของ COSO – ERM ที่เชื่อมโยงกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk หรือไม่ เพราะโดยส่วนใหญ่แล้ว องค์กรโดยทั่วไป มักจะละเลยความเสี่ยงจาก IT Risk ที่มีผลกระทบต่อ Business Objective ในภาพโดยรวม ซึ่งประเด็นดังกล่าวนี้เป็นเรื่องสำคัญยิ่ง และน่าจะมีส่วนเกี่ยวข้องในการปรับปรุงยกระดับการบริหารความเสี่ยงที่ให้ครอบคลุม ด้าน Risk IT และ IT Risk ที่มีผลต่อ Business Risk และแน่นอนว่าจะต้องเกี่ยวข้องกับการควบคุมภายใน และการตรวจสอบภายใน ตามมุมมองของ Risk IT และ IT Risk ในอนาคตอันใกล้

ทั้งนี้เพราะ COSO – ERM ไม่ได้กล่าวถึงการบริหารความเสี่ยงในมุมมองของ Risk IT และ IT Risk ในปัจจุบันที่ชัดเจนนัก แต่ COSO – ERM ในมุมมองของเทคโนโลยีที่เกี่ยวข้องเป็นเรื่องน่าสนใจมาก ที่ผมจะได้นำมาเล่าสู่กันฟังเพื่อยกระดับการบริหารความเสี่ยงในมุมมองของ GRC ต่อไปนะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง ในบางมุมมอง (ต่อ)

เมษายน 6, 2010

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเองที่องค์กรต้องมีการปรับปรุงการบริหารความเสี่ยงเป็นอย่างมาก เนื่องจากองค์กรมีการบริหารความเสี่ยงเบื้องต้นที่ยังไม่เป็นระบบนั้น วันนี้ เราจะมาพูดถึงการประเมินตนเองในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่บ้าง แต่ยังต้องปรับปรุงกระบวนการบริหารความเสี่ยง เพื่อยกระดับการบริหารและการจัดการไปสู่การเชื่อมโยงและบูรณาการบริหารความเสี่ยง กับการบริหารเทคโนโลยีสารสนเทศ เพื่อการจัดการที่ดี (ITG – IT Governance) ต่อไป

วันนี้เราลองมาประเมินตนเองนะครับ ในองค์กรของท่านว่า การบริหารความเสี่ยงในเบื้องต้นที่พอมีระบบอยู่นั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ดังนี้

1. การบริหารความเสี่ยงขององค์กรเป็นเพียงกลยุทธ์ระยะสั้น โดยมีโครงสร้างของคณะทำงาน หรือสายงานที่ตั้งขึ้นเป็นลักษณะเฉพาะกาล และ/หรือ ยังไม่มีการทำงานที่เป็นรูปธรรมที่เกี่ยวข้องกับการบริหารความเสี่ยงในระยะยาว เช่น องค์กรยังไม่มีการบริหารความเสี่ยงเป็นกลยุทธ์ระยะยาว โดยองค์กรเพียงตั้งคณะทำงานที่มีลักษณะเป็นเฉพาะกาล ที่ไม่มีโครงสร้างการทำงานที่เป็นรูปธรรม โดยผู้รับผิดชอบความเสี่ยงจะเป็นผู้วิเคราะห์และทำแผนกิจกรรมการจัดการกับความเสี่ยง เป็นปี ๆ หรือตามภารกิจที่ได้รับมอบหมายเท่านั้น

2. องค์กรมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหารความเสี่ยงเป็นส่วน ๆ เช่น ไม่มี Risk Map ไม่มีองค์ประกอบหลักของการบริหารความเสี่ยงหลักที่ดี ที่ประกอบด้วย การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ยังไม่มีการวิเคราะห์ถึงค่าใช้จ่ายและผลประโยชน์ที่ได้ในแต่ละทางเลือก เพื่อนำไปสู่ทางเลือกที่ดีที่สุด และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลือที่อยู่ (Residual Risk) ขององค์กร และการติดตามตามผลและการรายงาน

3. องค์กรมีการควบคุมภายในตามฐานความเสี่ยงที่ระบุ (Risk-Based Internal) ไม่ครบถ้วน เช่น การพัฒนาองค์กรให้มั่นคง เพื่อให้เกิดประสิทธิภาพในการบริหารแหล่งเงินทุน การจัดทำงบการเงินให้ถูกต้องครบถ้วนไม่ทันเวลา การจัดซื้อจัดหาวัสดุไม่ตรงตามความต้องการ ในราคาที่ไม่เหมาะสม ไม่มีการดูแลรักษาระบบคอมพิวเตอร์ให้พร้อมใช้งานได้ตลอดเวลา และขาดระบบสำรวจข้อมูลความเสี่ยงด้านปฏิบัติการ (Operational Risk) และไม่มีการพัฒนาพนักงานให้มีแผนพัฒนาพนักงานที่ตรงกับความจำเป็นขององค์กร การกำหนดโครงสร้างและอัตรากำลังไม่สอดคล้องและเหมาะสมกับภารกิจของงาน

4. หน่วยงานไม่มีการระบุความเสี่ยงที่มีความรุนแรงสูงอย่างชัดเจน ไม่มีการกำหนดแผนการควบคุมความเสี่ยงให้สอดคล้องกับการระบุความเสี่ยง ตามระดับความรุนแรงที่เกี่ยวข้อง รวมถึงไม่ได้ระบุปัญหาที่เป็นปัจจัยเสี่ยงทางด้านบุคลากร การขาดความรู้ ขาดทักษะ และประสบการณ์ในงานที่ทำ และไม่ได้กำหนดแผนการบริหารความเสี่ยงไว้ เช่น ไม่มีแผนการจัดฝึกอบรมให้กับบุคลากรที่เกี่ยวกับงานที่ปฏิบัติ ขาดระบบการประเมินผลงานและบุคคลที่เป็นไปตามหลัก Competency และการสร้างแรงจูงใจ

5. ขาดองค์ประกอบหลักในการบริหารความเสี่ยงขององค์กรที่สอดคล้องกันในทุกปัจจัยเสี่ยง ตามข้อ 2 ข้างต้น

ตัวอย่างข้างต้นเป็นเพียงแนวประเมินตนเองบางประการ ของหน่วยงานที่ต้องการปรับปรุงและยกระดับการบริหารและการจัดการทางด้านความเสี่ยง ให้อยู่ในระดับที่ยอมรับได้ ในปัจจุบันการระบุปัจจัยเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายระดับองค์กร เป็นเรื่องที่ต้องการความเข้าใจอันมีความสัมพันธ์กับ Risk IT และ IT Risk ที่มีผลต่อ Business Risk ของทุกองค์กรในภาพโดยรวม

ดังนั้น ผู้ทำการประเมินตนเอง โดยเฉพาะอย่างยิ่งผู้บริหารที่มีหน้าที่ดูแลทางด้านการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง โดยเฉพาะอย่างยิ่งผู้ที่ทำหน้าที่เป็นผู้ให้ความสะดวก (Facilators) ในการทำการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายในของหน่วยงาน จึงควรมีความรู้ความเข้าใจในผลกระทบที่มีต่อ Business Risk จากเหตุการณ์ที่เป็นต้นเหตุของความเสี่ยง ทั้งทางด้าน IT และ Non – IT รวมทั้งควรมีความเข้าใจในการระบุเหตุการณ์ที่เป็นความไม่แน่นอน รวมทั้งการสูญเสียโอกาสที่มีผลต่อการขับเคลื่อนนโยบาย กลยุทธ์ และแผนการปฏิบัติงาน เพื่อสร้าง Value Creation ให้กับองค์กรในมุมมองต่าง ๆ อย่างผสมผสาน และได้ดลุยภาพด้วย

ปิดความเห็น บน การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง ในบางมุมมอง (ต่อ) | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง

มีนาคม 17, 2010

ท่านลองวิเคราะห์ตัวเองในแนวทางการบริหารความเสี่ยงที่ยังไม่เป็นระบบ และมีแนวทางการบริหารความเสี่ยงในเชิงรับที่พิจารณาได้ว่า องค์กรของท่านยังไม่มี Risk Based Internal Control และ/หรือ องค์กรของท่านยังขาดการจัดการความเสี่ยงในระดับองค์กร (ในระดับสูง) ที่อาจพิจารณาได้ว่า องค์กรของท่านมีการบริหารความเสี่ยงในระดับที่ต่ำ ซึ่งจะต้องปรับปรุงแก้ไขเป็นอย่างมาก ดังนี้

1. ระบบบริหารความเสี่ยงขององค์กร มีการระบุปัจจัยเสี่ยง ประเมินความเสี่ยง และกำหนดแผนบริหารความเสี่ยง ซึ่งเป็นการดำเนินงานในระดับปฏิบัติการ และเป็นการระบุความเสี่ยงในระดับส่วนงานที่ยังไม่เป็นการดำเนินงานบริหารความเสี่ยงในระดับองค์กร (พิจารณาได้ว่า องค์กรของท่านยังควรปรับปรุงความเข้าใจ และปรับปรุงแนวการปฏิบัติและจัดให้มีการบริหารความเสี่ยง และการดำเนินงานในระดับองค์กร แทนการดำเนินงานแค่เพียงระดับส่วนงาน ซึ่งผิดหลักการ COSO – ERM)

2. องค์กรขาดการสร้างองค์ความรู้ ขาดความเข้าใจ ขาดการสื่อสารที่ดี ในเรื่องการบริหารความเสี่ยงให้กับผู้บริหารและพนักงาน ทั้งนี้ องค์กรไม่ได้จัดให้มีการบรรยาย หรือสัมมนาสร้างความเข้าใจให้ความรู้เรื่องการบริหารความเสี่ยงให้กับผู้บริหาร และพนักงาน

3. องค์กรมีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดีไม่ครบถ้วน เช่น นโยบายและกลยุทธ์การบริหารความเสี่ยง การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การประเมินความเสี่ยง การจัดการความเสี่ยง และการติดตามผลและการรายงาน ทั้งนี้ องค์กรยังไม่สามารถระบุความเสี่ยงในระดับองค์กรได้ แต่มีการระบุความเสี่ยงแค่ในระดับแผนก หรือสายงานย่อย โดยระบุถึงความเสียหายและกำหนดวิธีการจัดการต่อความเสี่ยงเพียงระดับปฏิบัติการ อีกทั้งยังขาดการติดตามรายงานผลการบริหารความเสี่ยงที่เป็นระบบ ไปยังผู้บริหารและคณะกรรมการได้รับทราบ

4. องค์กรขาดหลักฐานในการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

5. องค์กรของท่านอาจมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังขาดการจัดการต่อความเสี่ยงที่มีความสำคัญระดับสูง ทั้งนี้เพราะองค์กรยังไม่สามารถระบุความเสี่ยงที่มีความสำคัญระดับสูง ซึ่งหมายถึงความเสี่ยงระดับองค์กรได้ ทำให้ขาดกระบวนการจัดการต่อความเสี่ยงที่มีนัยสำคัญต่อความสำเร็จขององค์กร ซึ่งเป็นเรื่องสำคัญยิ่งในหลักการบริหารความเสี่ยง

6. องค์กรขาดการบริหารความสอดคล้องระหว่างองค์ประกอบหลักของการบริหารความเสี่ยงที่ดี ตามที่ได้กล่าวไว้ในข้อ 3. ข้างต้น

7. องค์กรไม่มีคณะทำงานหรือหน่วยงาน เพื่อจัดการกับความเสี่ยงในระดับองค์กร ทำให้องค์กรไม่สามารถที่จะบริหารภาพรวมให้ไปสู่การบรรลุแผนธุรกิจขององค์กร ตามหลักการของ COSO – ERM ได้

8. องค์กรไม่มีคู่มือการบริหารความเสี่ยง หรือมีคู่มือการบริหารความเสี่ยง แต่ขาดความสมบูรณ์ตามหลักการที่กำหนดไว้ใน COSO – ERM (Enterprise Risk Management) และ/หรือ ไม่มีการทบทวนคู่มือการบริหารความเสี่ยงประจำปี ที่มีหลักฐานที่พิสูจน์ได้

หากองค์กรของท่านมีจุดอ่อนตามที่กล่าวในข้างต้น ข้อหนึ่งข้อใด ก็พิจารณาได้ว่า องค์กรของท่านยังมีระดับการบริหารความเสี่ยงที่ควรปรับปรุงได้อีกมาก ทั้งนี้เพราะการประเมินตนเอง ทั้ง 8 ข้อดังกล่าวข้างต้นนั้น เป็นพื้นฐานที่สำคัญที่ทุกองค์กรจะต้องจัดให้มีขึ้น ก่อนที่จะก้าวไปสู่กระบวนการบริหารความเสี่ยงที่ดีอย่างเป็นระบบ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การบริหารการแบ่งสีกับความเห็นเชิงแนะนำของทูตเยอรมัน นายฮันส์ เอช. ชูมัคเกอร์

มีนาคม 8, 2010

จากหนังสือพิมพ์เดลินิวส์ ฉบับที่ 22038 วันเสาร์ที่ 13 กุมภาพันธ์ 2553 พาดหัวข่าวว่า “ทูตเมืองเบียร์ อนาถใจไทยแบ่งสี สอนมวยเตือนรัฐบาล อย่าเพาะศัตรูรอบบ้าน”

ทูตเมืองเบียร์ นายฮันส์ เอช. ชูมัคเกอร์ เอกอัครราชทูตเยอรมนีประจำประเทศไทยให้ สอนรัฐบาลไทยอย่าสร้างศัตรูกับประเทศเพื่อนบ้าน โดยเฉพาะอาเซียน อนาถใจเห็นคนไทยแตกแยก ไม่เล่นการเมืองในสภา แต่ลงมาเล่นข้างถนน ชี้ทหารตัวการสำคัญสร้างปัญหา ลั่นประชาธิปไตยไม่เกิด ถ้าทหารยังแทรกแซง

นายฮันส์ เอช. ชูมัคเกอร์ ให้สัมภาษณ์ในนามส่วนตัว ภายหลังมอบป้ายความร่วมมือโครงการโรงเรียนความร่วมมือแห่งอนาคต แก่โรงเรียนเบญจมะมหาราช ถึงมุมมองต่อประเทศที่กำลังขัดแย้งกับประเทศเพื่อนบ้านว่า อยากให้มองดูกลุ่มประเทศยุโรปที่มีความเจริญรุ่งเรืองเพราะร่วมมือกัน จึงฝากถึงรัฐบาลไทยว่า จะอยู่เพียงลำพังประเทศเดียวไม่ได้ รัฐบาลไทยต้องแสวงหาความร่วมมือกับต่างประเทศ โดยเฉพาะกลุ่มเพื่อนอาเซียน

เอกอัครราชทูตเยอรมนี ประจำประเทศไทยกล่าวต่อว่า ไทยมีความพร้อมกว่าหลายประเทศ แต่น่าเสียใจที่คนในประเทศแตกแยกกัน ความแตกแยกจะฉุดให้ประเทศถอยหลัง ความเห็นแตกต่างทางการเมืองควรว่ากันในสภา ไม่ควรมาว่ากันบนถนน ในศตวรรษที่ 21 ทหารมีแต่ทำให้สังคมมีปัญหาและทหารมีแต่สร้างปัญหา การที่จะไม่ให้ทหารมายุ่งกับการเมือง ต้องทำให้ประชาชนเข้าใจและพัฒนาประชาธิปไตย โดยประชาชนจัดระบบด้วยตัวเอง ประชาธิปไตยจะเกิดได้ก็ต่อเมื่อไม่มีการแทรกแซงจากทหาร

วิเคราะห์ข่าวข้างต้นตามแนวทางการบริหารความเสี่ยง ตามหลัก COSO – ERM (Enterprise Risk Management) ตามหลักการที่องค์กรทั่วโลกยอมรับ และใช้กันอย่างแพร่หลายในปัจจุบัน ทั้งหน่วยงานรัฐวิสาหกิจ และหน่วยงานเอกชน ก็จะพบว่า การบริหารความเสี่ยงระดับประเทศ ซึ่งต้องดำเนินการควบคู่กันไปกับ การกำกับดูแลกิจการที่ดี (CG – Governance และ ITG – IT Governance) ควบคู่กันไปกับการควบคุมภายในและการตรวจสอบ เพื่อให้เป็นไปตามวิสัยทัศน์ และนโยบายของประเทศนั้น มีเรื่องที่น่าจะปรับปรุงได้มากพอสมควร หากผู้บริหารของรัฐบาล ไม่ว่าจะในยุคใด สมัยใด จะนำหลักการบริหารจัดการองค์กรมาใช้กับการบริหารจัดการองค์กรระดับประเทศ

ข้อสำคัญก็คือ ประเทศไทยเราได้กำหนดวิสัยทัศน์ ซึ่งเป็นทิศทางการดำเนินงานของประเทศในระยะยาวว่า ประเทศไทย ควรเป็นเช่นใด เช่น ในอีก 10 ปีข้างหน้า ทางรัฐฯ และประชาชนทั่วไปทราบกันแล้วหรือยังว่า ทิศทางของประเทศไทย และจุดยืนที่ต้องการจะไปให้ถึงนั้นคืออะไร หากประเทศไทยขาดวิสัยทัศน์ เช่น การกำหนดว่า ในปี 2563 คือ “อีก 10 ปีข้างหน้า ประเทศไทยจะเป็นประเทศที่พัฒนา และเป็นประชาชนมีความสุข และมีความปรองดองเกิดขึ้นในประเทศอย่างยั่งยืนแล้ว” เป็นต้น

หากวิสัยทัศน์เป็นไปดังกล่าว และมีการกำหนดเป็นวิสัยทัศน์ของประเทศจริง รัฐบาลต้องมีนโยบาย และแผนงานระดับชาติ โดยมีกลยุทธ์ที่สนับสนุนอย่างชัดเจน ถึงทิศทางและแนวทางในการก้าวเดินไปสู่เป้าหมายดังกล่าว โดยมีตัวชี้วัดที่ชัดเจน ทั้งในลักษณะ Lead Indicators และ Lack Indicators อีกทั้งต้องกำหนด กระทรวง ทบวง กรม ที่ต้องรับผิดชอบ ในการขับเคลื่อนไปสู่ทิศทางดังกล่าว อย่างเป็นเอกภาพ และเป็นบูรณาภาพ ตามหลักการ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็นกรอบการบริหารที่ท้าทายภาคเอกชน รัฐวิสาหกิจ และภาคราชการอย่างมากในปัจจุบัน

ท่านที่สนใจลองติดตามอ่านในหัวข้อต่าง ๆ ที่เกี่ยวข้อง ตามที่ปรากฎใน http://www.itgthailand.com นี้นะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แพทริก พี. เกลซิงเกอร์ รองประธานอาวุโส และหัวหน้าฝ่ายเทคโนโลยี บริษัทอินเทลคอร์เปอเรชั่น (ซีทีโอ) ผู้ผลิตชิปคอมพิวเตอร์ยักษ์ใหญ่ของโลก กับบทเรียนเรื่องการศึกษาและการพัฒนาความคิด เพื่อความมั่นคงของชาติ

กุมภาพันธ์ 17, 2010

ในครั้งที่แล้ว ผมได้พูดถึงเรื่องของ นายมาร์ค ซัคเคอร์เบิร์ก ผู้ก่อตั้ง Facebook.com ที่โด่งดังกับบทเรียนเรื่องการศึกษา โดยเล่าว่า Mr. Mark Elliot Zuckerberg อายุ 26 ปี ได้ลาออกจากมหาวิทยาลัยฮาวาร์ด ทั้ง ๆ ที่เรียนไม่จบ แต่มีจิตนาการและความคิดที่สามารถสร้าง Facebook.com เป็นที่โด่งดังทั่วโลก และมีคนเข้าเว็บไซต์มากเป็นอันดับ 2 ของโลก และมีความร่ำรวย โดยมีเงินประมาณ 76,000 ล้านบาท ภายหลังก่อตั้ง Facebook.com มาประมาณ 6 ปี

เช่นเดียวกับกรณี นาย แพทริก พี. เกลซิงเกอร์ ซึ่งเริ่มทำงานกับอินเทล ตั้งแต่อายุ 18 ปี เขามีลักษณะเด่น คือ ฉลาด ทรนง และเชื่อมั่น รู้ตัวว่าตัวเองต้องการอะไร มีเป้าหมาย ขยัน และเก่งคอมพิวเตอร์ เขาเรียนหนังสือระดับปริญญาตรี ควบคู่ไปกับการทำงานที่อินเทลนี้ด้วย และต่อมาเขาก็เรียนจบปริญญาโท และปริญญาเอกที่มหาวิทยาลัยสแตนฟอร์ด โดยบริษัทอินเทล ไม่ยอมให้เขาลาออก แต่ให้เขาเรียนไปด้วยทำงานไปด้วยจนจบ และสัญญาว่าเขาจะได้รับสิ่งคุ้มค่า หากเขายังอยู่กับอินเทล

ทุกอย่างเป็นไปตามที่บริษัทอินเทลได้บอกไว้กับนายแพท โดยแพทได้รับตำแหน่งผู้จัดการที่คิดค้นชิปคอมพิวเตอร์ รุ่น 486 และยิ่งกว่านั้น ในวัยเพียง 32 ปี เขาก็ได้รับตำแหน่งรองประธาน ของบริษัทอินเทลคอร์เปอเรชั่น (ซีทีโอ) ที่อายุน้อยที่สุด ทุกวันนี้นายแพทเป็นคนหนึ่งที่ทรงอิทธิพลที่สุดในอินเทล ความสำเร็จที่สำคัญยิ่งที่นายแพทได้เล่าให้ฟังก็คือ เขาได้ตัดสินใจเชื่อศรัทธาในพระคริสต์ เมื่ออายุ 18 ปี

บทเรียนจากเรื่องจริงข้างต้นนี้ นอกเหนือจากที่กล่าวในวรรคต้นแล้วก็คือ นายแพท เป็นผู้ที่มีวิสัยทัศน์ ที่เกิดจากจิตวิญญาณที่มีความเข้มแข็ง ซึ่งส่งผลต่อการมีจิตนาการที่ดี ที่ถูกต้อง และผลักดันให้เกิดความคิด และพฤติกรรมในการดำเนินการตามที่เขาตั้งใจไว้ จนเขาประสบความสำเร็จ ทั้งด้านหน้าที่การงาน ความมั่นคงทางการเงิน และความสำเร็จทางด้านครอบครัว เพราะลินดา ภรรยาของเขา ซึ่งแพทย์เคยบอกว่า มีความผิดปกติในการมีบุตรในตอนแรก สามารถมีบุตรให้กับเขาได้ถึง 4 คนในเวลาต่อมา

Lesson – Learned ดังกล่าว ท่านคิดว่ามาจากโชคชะตา หรือมาจากศรัทธาจากความเชื่อที่ถูกต้อง และส่งผลไปยังความคิด และจิตนาการ รวมทั้งการตัดสินใจที่ถูกต้อง

ดังนั้น หากเราต้องการก้าวหน้า เราจึงต้องกล้าคิด และพัฒนาทางความคิดอย่างเป็นกระบวนการ ตั้งแต่ในวัยเยาว์ ถึงแม้ท่านผ่านวัยเยาว์มาแล้ว ท่านก็สามารถนำกรณีศึกษาของ นายแพท และนายมาร์ค ซัคเกอร์เบิร์ก และนายบิล เกตต์ ซึ่งเป็นตำนานของความสำเร็จจากการสร้างจิตนาการ และความสำเร็จจากความคิดที่เป็นระบบเป็นสำคัญ

ตั้งใจจะจบตั้งแต่วรรคที่แล้วครับ แต่ขอแถมนิดนึงให้เป็นข้อคิดว่า ประเทศไทยเราในอดีต เมเปิลครอฟต์จัดอันดับให้เป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบ ในอันดับที่ 20 กว่า ๆ เมื่อปี 2551 ถูกจัดอยู่ในอันดับที่ 11 เมื่อปี 2552 ถูกจัดอันดับให้อยู่ในอันดับที่ 9 นับว่าเป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบของโลก

แล้วผู้บริหารของประเทศเรา ในด้านต่าง ๆ ในระดับรัฐบาล รวมทั้งทางด้านความมั่นคงคิดอย่างไรบ้างครับ เกี่ยวกับข่าวสารที่มาจากต่างประเทศชิ้นนี้ มีการติดตามเรื่องนี้กันอย่างไร มีการกำหนดวิสัยทัศน์ พันธกิจ แผนกลยุทธ์ที่เกี่ยวข้องกับการยอมรับความเสี่ยง หรือกำหนดระดับความเสี่ยงว่า ประเทศไทยของเราจะถูกจัดอันดับให้เป็นประเทศที่มีโอกาสเกิดการก่อความไม่สงบ อันดับที่เท่าไหร่ของโลกจึงจะยอมรับไม่ได้ เพราะเรื่องนี้เป็นเรื่องใหญ่ และกระทบกระเทือนถึงความมั่นคงของประเทศ กระทบกระเทือนต่อความมั่งคงทางเศรษฐกิจ กระทบกระเทือนต่อการลงทุน กระทบต่อการท่องเที่ยว และการพัฒนาในทุกด้าน ++

ผมไม่สบายใจเป็นอย่างยิ่ง และกำลังเป็นห่วงมากว่า ในกรณีที่ประเทศไทยเรายังขาดกระบวนการพัฒนาทางความคิดอย่างเป็นระบบ ยังขาดความเข้าใจในหลักการบริหารความเสี่ยง ทั้งระดับองค์กรและระดับประเทศที่น่าเชื่อถือได้อีกมาก และยังขาดวิสัยทัศน์ในแง่มุมต่าง ๆ ที่เป็นรูปธรรม ประเทศไทยในอนาคตจะเป็นเช่นไร

หากผู้บริหารในระดับประเทศ ไม่กำหนดทิศทางที่ชัดเจน ในมุมมองต่าง ๆ ของชาติ อย่างเช่น กรณีการยอมรับได้ หรือการยอมรับไม่ได้ของการถูกจัดระดับความเสี่ยงของชาติ จากสถาบันจัดอันดับประเภทนี้จากต่างชาติว่า เราควรกำหนด และ/หรือจัดการกับความเสี่ยงที่ถูกนานาชาติ มองประเทศเราว่าเป็นประเทศที่มีความเสี่ยงจากการก่อความไม่สงบ ระดับที่ 9 ของโลกนั้น เราควรจัดการลดความเสี่ยงอย่างเป็นกระบวนการอย่างไร ในทุกมุมมองของกระบวนการบริหาร เพื่อลดระดับความเสี่ยงจากที่ได้เพิ่มตลอดมาในช่วง 3-4 ปีที่ผ่านมา โดยอาจกำหนด และมีกระบวนการจัดการที่ชัดเจนว่า ประเทศไทยไม่ควรยอมรับระดับความเสี่ยงประเภทนี้ หรือถูกจัดอันดับให้เป็นประเทศที่มีความเสี่ยงในการก่อความไม่สงบที่สูงเกินกว่าระดับที่ 20 ของโลก (นั่นคือ อันดับที่ 1-19 เป็นความเสี่ยงที่ประเทศไทยยอมรับไม่ได้ ซึ่งต้องมีกระบวนการบริหารการจัดการที่ดีตามมาในทุกมุมมองตามหลักการของ GRC

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »