การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 3 – การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้

พ.ค. 22, 2012

ในครั้งที่แล้วผมได้พูดถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) ซึ่งถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น การทำ CSA อาจทำออกมาในรูปแบบของโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์ หากองค์กรใดมีการจัดทำ CSA หรือนำ CSA มาประยุกต์ใช้ อาจทำให้เกิดการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร โดยเฉพาะอย่างยิ่งการเปลี่ยนแปลงหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับการควบคุมภายใน ในวิธีการแบบดั้งเดิม และแบบวิธีการ CSA ซึ่งผมจะขอนำเสนอเป็นแผนภาพตาราง พร้อมอธิบายควบคู่กันไปดังนี้นะครับ

จากตารางข้างต้น หน้าที่ความรับผิดชอบของการควบคุมภายใน รวมทั้งการกำหนดวัตถุประสงค์และการประเมินความเสี่ยงและการควบคุมความเสี่ยงที่เกี่ยวข้อง ไม่ใช่การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้ นั่นคือยังคงเป็นหน้าที่ของฝ่ายบริหารอยู่ ความหมายของการประเมินการควบคุมภายในนั้น รวมถึงการประเมินความเสี่ยงด้วย จะเห็นได้ว่าการประเมินและการควบคุมความเสี่ยงได้มีการเปลี่ยนแปลงไปจากการนำ CSA มาใช้ นั่นคือเปลี่ยนจากความรับผิดชอบที่เป็นของผู้ตรวจสอบมาเป็นความรับผิดชอบของทีมงาน ซึ่งนับว่าเป็นการเปลี่ยนแปลงอย่างยิ่งใหญ่ที่ต่างไปจากแนวทางการตรวจสอบแบบดั้งเดิม

ผู้ตรวจสอบทั้งหมดเห็นด้วยว่า ผู้บริหารต้องมีหน้าที่ในการควบคุมภายในด้วย แต่บางคนได้โต้แย้งว่าการให้ผู้ตรวจสอบภายในประเมินประสิทธิผลของการควบคุมเองนั้น ทำให้เกิดความสับสนขึ้นมาได้ เนื่องจากผู้บริหารอ้างว่า เมื่อเขามีหน้าที่ในการควบคุมภายในด้วย ทำใมจึงต้องให้บุคคลภายนอก(ผู้ตรวจสอบ) เป็นผู้ประเมินผลการควบคุม จึงก่อใก้เกิดการเปลี่ยนแปลงขึ้น โดยผู้บริหารจะเป็นผู้ประเมินความเหมาะสมของประสิทธิผลของหน้าที่ความรับผิดชอบหรืองานที่เป็นของเขาเอง แต่แนวทางการควบคุมภายในทำให้การควบคุมนั้นมีความแตกต่างหรือมีลักษณะพิเศษ ทำให้ผู้บริหารต้องสละความรับผิดชอบด้านการควบคุมนี้ ไปให้กับผู้ที่มีความเชี่ยวชาญเป็นพิเศษ นั่นคือผู้ตรวจสอบที่จะเป็นผู้ประเมินความเหมาะสมในทุก ๆ เรื่อง

การประเมินตนเองเป็นเรื่องของความพยายามในการเปลี่ยนแปลง โดยการสอบถามผู้บริหารถึงเรื่องหน้าที่ความรับผิดชอบสำหรับการควบคุม และสอบถามทีมงานในเรื่องเกี่ยวกับความรู้ที่มีเกี่ยวกับรายละเอียดของธุรกิจ เพื่อประเมินความเหมาะสมของการควบคุม ผู้ตรวจสอบภายในจึงเป็นผู้อำนวยความสะดวก มีหน้าที่ในการให้แนวทางแก่ผู้บริหารและพนักงาน ในกระบวนการประเมินโดยอาศัยความเชี่ยวชาญและประสบการณ์ที่มีอยู่

เมื่อย้อนกลับไปดูที่ตารางข้างต้นอีกครั้งจะเห็นได้ว่า การรายงานการควบคุมเป็นสิ่งที่ต้องมีในรายงานของผู้ตรวจสอบในแนวทางแบบดั้งเดิม ส่วนใน CSA อาจต้องมีการทำรายงานขึ้นมาจากการประชุมเชิงปฏิบัติการที่จะนำไปสู่ผู้บริหารระดับถัดไปในเรื่องการประเมินการควบคุม รายงานที่ทีมงานสร้างขึ้นจากการทำการประชุมเชิงปฏิบัติการ จะไม่ใช่รายงานของผู้ตรวจสอบ แม้ว่าอาจจะมีข้อเสนอแนะของฝ่ายตรวจสอบด้วย แนวทางของหน้าที่ความรับผิดชอบ การประเมินและการรายงานที่ร่วมกันสร้างขึ้นมา จะช่วยเพิ่มระดับความผูกพันในการควบคุมและประเมินความเสี่ยงในองค์กร มากกว่าหน้าที่ความรับผิดชอบและรายงานที่พวกเข้าไม่ได้มีส่วนร่วมหรือเป็นเจ้าของ ในการทำ CSA เมื่อทีมงานสร้างรายงานเสร็จแล้ว ทีมงานและผู้บริหารจะเกิดความเข้าใจเรื่องการควบคุมมากขึ้น ในเรื่องของวัตถุประสงค์ เป้าหมายและหน้าที่ความรับผิดชอบอื่น ๆ ที่เป็นของพวกเขาเอง ซึ่งหลังจากขั้นตอนดังกล่าว การควบคุมก็จะเป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้นั่นเอง

ผู้ที่จะสามารถบอกได้ว่าการประเมินความเสี่ยง และการควบคุมความเสี่ยงนั้น ถูกต้องหรือไม่ในแนวทางแบบดั้งเดิมคือผู้ตรวจสอบ โดยอาศัยความเห็นในเรื่องความเหมาะสมของการควบคุมของผู้ตรวจสอบเอง ความช่วยเหลือของผู้บริหารฝ่ายตรวจสอบ โดยการตรวจสอบและสั่งงานผู้ตรวจสอบ ผู้บริหารตามสายงานก็อาจมีส่วนช่วยด้วย โดยการตรวจสอบผลของการตรวจสอบนั้น และผู้ตรวจสอบภายนอกก็อาจช่วยได้ด้วยเช่นกัน โดยการตรวจสอบรายงานทางการเงิน

ในการนำ CSA มาใช้ ทำให้การอธิบายหน้าที่ความรับผิดชอบในการตรวจสอบความถูกต้องของการประเมินความเสี่ยง และการควบคุมความเสี่ยงมีความชัดเจนมากขึ้น โดยผู้ตรวจสอบภายในจะแสดงบทบาทในการประกันคุณภาพ อันเป็นผลจากการนำการทดสอบการควบคุมมาใช้ การทดสอบที่เคยทำในการตรวจสอบแบบดั้งเดิมในการนำ CSA มาใช้ก็ยังคงมีอยู่ แต่อาจจะเน้นไปที่ความสำคัญของการควบคุมที่ทีมงานได้กำหนดไว้ในการประเมินตนเอง กระบวนการประกันคุณภาพ ไม่ใช่เรื่องที่จะทำการทดสอบกันได้ง่าย ๆ เป็นแนวทางที่มีขั้นตอนซับซ้อน ที่ต้องเริ่มจากการวางแผนการประเมินตนเองและผลลัพธ์ ร่วมกับการทดสอบในการตรวจสอบพิเศษ หรือการตรวจสอบแบบดั้งเดิม ทีมงานอาจต้องตรวจสอบความถูกต้องร่วมกับผู้ตรวจสอบโดยการสุ่มตรวจความถูกต้อง

CSA มักสร้างกลไกที่นำวัตถุประสงค์ไปใช้ในกระบวนการประเมินตนเอง การออกแบบการตรวจสอบแบบดั้งเดิม มักออกแบบมาให้สอดคล้องกับวัตถุประสงค์ในการควบคุม เช่น วัตถุประสงค์ ความเสี่ยง และจุดเน้นในระดับปฏิบัติการที่ถูกนำมาใช้เป็นเครื่องมือในการประเมินของ COSO การแยกวัตถุประสงค์ของการควบคุมเป็นแนวทางออกไปจากวัตถุประสงค์ของผู้บริหารหรือของธุรกิจ CSA จะช่วยผู้บริหารในการระบุและ/หรือการตรวจสอบเรื่องที่เกี่ยวข้องที่จะกระทบวัตถุประสงค์หลักทางธุรกิจ เช่น การปรับปรุงผลิตภัณฑ์ จริยธรรมที่ดีขึ้น ระยะเวลาที่รวดเร็วขึ้น ความถูกต้องของการออกแบบระบบ กระบวนการ CSA มักเริ่มต้นจากวัตถุประสงค์ทางธุรกิจของผู้บริหาร มากกว่าวัตถุประสงค์ในการควบคุมความเสี่ยง ที่ผู้ตรวจสอบภายในกำหนดขึ้น นั่นหมายถึง ผู้บริหารและทีมงานล้วนสนใจผลที่เกิดจาก CSA ดังนั้น การประเมินตนเอง จึงเน้นไปที่วัตถุประสงค์ของพวกเขาเอง ไม่ใช่วัตถุประสงค์ที่ผู้ตรวจสอบแนะนำ

ในการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กรแล้ว นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กรดังที่ได้กล่าวมาแล้วในข้างต้น ยังมีประโยชน์และข้อควรคำนึงถึงในการทำ CSA ด้วย ซึ่งผมขอนำเสนอในโอกาสต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 2

เมษายน 11, 2012

เมื่อกล่าวถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) การประเมินตนเองเพื่อควบคุมความเสี่ยงถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพ ขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น โดยอาจทำออกมาในรูปแบบของการประชุมเชิงปฏิบัติการ หรือการประชุมที่ฝ่ายตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้

การประชุมเชิงปฏิบัติการอาจประยุกต์ออกมาเป็นโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับ ผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์

แต่ก่อนจะลงลึกไปในรายละเอียดของการทำ CSA หรือการประเมินตนเองเพื่อควบคุมความเสี่ยงโดยผู้ตรวจสอบภายใน ผมจะขออธิบายถึงความหมาย หรือคำจำกัดความของ CSA เพื่อความเข้าใจที่ตรงกันในภาพโดยรวมดังนี้ ครับ

ผู้ตรวจสอบภายในเป็นกลุ่มส่วนใหญ่ที่ริเริ่มนำ CSA มาใช้ในองค์กร CSA จึงเป็นเครื่องมือสำหรับองค์กรทั้งหมด องค์กรจะได้รับประโยชน์จาการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองอย่างแพร่หลาย ประกอบกับการยอมรับการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองของแผนกที่มีความเชี่ยวชาญอื่น ๆ เช่น แผนกทรัพยากรมนุษย์ หรือการพัฒนาองค์กรที่ได้มีการจัดการประชุมเพื่ออำนวยความสะดวกขึ้นมา อันจะทำให้ให้สามารถมองเห็นแนวคิด CSA กันมากขึ้น

วัตถุประสงค์ของ CSA คือการช่วยให้องค์กรสามารถประเมินความเป็นไปได้ในการบรรลุวัตถุประสงค์ของ องค์กร โดยจะช่วยในการให้ความรู้แก่ผู้ปฏิบัติงาน ที่มีหน้าที่รับผิดชอบต่อการบรรลุวัตถุประสงค์ขององค์กร CSA เป็นกระบวนการเชิงรุกที่สนับสนุนให้ทีมงานมีการประเมิน และสามารถให้คำแนะนำสำหรับการปรับปรุง เพื่อเพิ่มโอกาสในการบรรลุวัตถุประสงค์ ทีมงานในที่นี้ก็คือกลุ่มของพนักงานที่ทำงานเกี่ยวกับวัตถุประสงค์หรือเป้า หมายโดยทั่วไป

คำจำกัดความของ CSA
ความหมายที่เป็นทางการของ CSA นั้นมีหลายความหมาย สำหรับความหมายที่สถาบันผู้ตรวจสอบภายใน (Institute of Internal Auditors : IIA) ได้พัฒนาขึ้นมาโดยอาศัยความร่วมมือจากองค์กรและที่ปรึกษาที่เกี่ยวข้องกับ CSA นั้นสามารถพิจารณาได้เป็น 2 ความหมายดังนี้

1. ความหมายที่พัฒนาขึ้นในปี 1995 โดย Glenda Jordan
องค์กรที่ใช้การประเมินตนเองเป็นกระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทาง การ ที่ซึ่งผู้บริหาร และ/หรือทีมงานได้เข้ามามีส่วนเกี่ยวข้องโดยตรงกับหน้าที่ทางธุรกิจ ดังนี้

– พิจารณาประสิทธิผลของกระบวนการนำมาใช้แทนที่ และ
– ตัดสินใจในเรื่องที่แน่ใจว่าจะเป็นโอกาสในการบรรลุวัตถุประสงค์ทางธุรกิจบางประการหรือทั้งหมดได้อย่างสมเหตุสมผล

คำบางคำในความหมายดังกล่าวอาจใช้คำอื่นเข้ามาแทนเพื่อให้เกิดความเน้นย้ำ มากขึ้นได้ เช่น คำว่า “พิจารณาประสิทธิผล” อาจแทนด้วยคำว่า “ประเมินประสิทธิผล” เพื่อเป็นการตอกย้ำกระบวนการประเมินผลที่เรียกในชื่อว่าการประเมินตนเอง เพื่อควบคุมความเสี่ยง และคำว่า “กระบวนการแทนที่” อาจใช้คำว่า “การควบคุมภายใน” ดังนั้นการควบคุมจึงเป็นสิ่งที่ต้องปฏิบัติเพื่อให้เกิดการบรรลุวัตถุ ประสงค์องค์กร

ในความหมายนี้ใช้คำว่าผู้บริหาร และ/หรือทีมงาน(ไม่ใช้คำว่าผู้ตรวจสอบภายใน) เป็นผู้ประเมินการควบคุมภายใน นั่นก็คือใช้คำว่า “ตนเอง” ในการประเมินตนเองเพื่อควบคุมความเสี่ยง และทำให้มีการปรับเปลี่ยนบทบาทจากแบบดั้งเดิมที่ผู้ตรวจสอบภายในเป็นผู้ ประเมินประสิทธิผลของการควบคุมแทนเพื่อให้เกิดการบรรลุวัตถุประสงค์ การกล่าวว่า “กระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทางการ” ประกอบด้วยสองกระบวนการหลัก หรือรูปแบบของการประเมินตนเอง อันได้แก่ การประชุมเชิงปฏิบัติการ และการสำรวจ ซึ่งทั้งสองอย่างนี้เป็นการประเมินที่ผู้บริหารและ/หรือทีมงานเข้ามาเกี่ยว ข้องโดยตรงกับการบรรลุวัตถุประสงค์ทางธุรกิจ

2. ความหมายที่ตีพิมพ์ใน IIA ในปี 1998
CSA เป็นกระบวนการที่ใช้ในการตรวจสอบและประเมินผลของฝ่ายตรวจสอบภายในอย่างมี ประสิทธิผล เป็นการทำให้เกิดความแน่ใจว่าได้มีการเตรียมการเพื่อทำให้วัตถุประสงค์ทั้ง หมดนั้นสามารถบรรลุผลสำเร็จได้

ในความหมายที่สองนี้ CSA ยังคงประกอบด้วยขอบเขตที่กว้างขวางเหมือนกับความหมายแรก นั่นคือคำว่า “วัตถุประสงค์ทางธุรกิจทั้งหมด” ซึ่งจะเป็นการเชื่อมโยงระหว่างการควบคุมภายในที่มีประสิทธิผลกับการบรรลุ วัตถุประสงค์

ความหมายทั้งสองอย่างนี้ไม่ได้มีการกล่าวถึงคำว่า “ความเสี่ยง” แม้ว่าการประเมินความเสี่ยงจะเป็นหัวใจสำคัญของการทำ CSA เนื่องจากการรวมคำว่าความเสี่ยงไว้ใน CSA เป็นผลพลอยได้ ถ้ายอมรับแนวคิดเรื่องความสัมพันธ์ของวัตถุประสงค์ ความเสี่ยงและการควบคุมความเสี่ยง ดังนั้น การนำการประเมินการควบคุมความเสี่ยงมาใช้เพื่อให้บรรลุวัตถุประสงค์ จึงเป็นไปไม่ได้ที่จะไม่มีการพิจารณาถึงเรื่องของความเสี่ยงที่อาจเป็นตัว ขัดขวางการบรรลุผลสำเร็จของวัตถุประสงค์

ดังนั้นเมื่อคุณเน้นไปที่เรื่องของความเสี่ยงหรือการควบคุมความเสี่ยง ตั้งแต่แรกในการประเมินกระบวนการแล้ว คุณก็ไม่สามารถที่จะประเมินสิ่งหนึ่งโดยปราศจากความเข้าใจถึงสิ่งอื่น ๆ ได้ ตัวอย่างเช่น เมื่อจะกล่าวถึงแบบจำลองทางธุรกิจพื้นฐานที่ประกอบด้วยความสัมพันธ์ระหว่าง องค์ประกอบต่าง ๆ ทั้งหมด 3 ประการ ในขั้นแรกจะต้องเข้าใจวัตถุประสงค์ เพื่อที่จะประเมินความเสี่ยงของความล้มเหลวในการบรรลุวัตถุประสงค์ ต่อมาก็นำความเสี่ยงมาบริหารให้อยู่ในระดับที่ยอมรับได้ โดยการเพิ่ม การลด หรือการดัดแปลงการควบคุมความเสี่ยงต่าง ๆ ในขณะที่ได้ตัดสินใจให้ผู้หนึ่งเข้ามาเน้นย้ำให้กับคนอื่น เพื่อให้บรรลุความต้องการในระยะสั้นของการประชุมเชิงปฏิบัติการ ควรจะต้องมีการนำผลลัพธ์ที่ได้กลับไปสู่เนื้อหาของแบบจำลองธุรกิจด้วย

แม้ว่าความหมายที่กล่าวมานี้ได้มีการแสดงให้เห็น CSA มากขึ้น แต่ก็ยังยากที่จะนำไปใช้ เมื่อมีคำถามว่า CSA คืออะไร ก็อาจตอบไปว่าเป็นวิธีการที่จะช่วยให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ ที่กำหนดไว้นั่นเอง

สิ่งที่ทำให้ CSA เป็น CSA
CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่นอย่างไร เป็นคำถามที่ผู้ตรวจสอบหรือผู้ที่กำลังเรียนรู้เรื่อง CSA อาจต้องหาคำตอบ สิ่งที่ทำให้ CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่น สามารถพิจารณาได้ดังนี้ บางส่วนอาจมีความขัดแย้งกันเนื่องจาก CSA และการตรวจสอบแบบดั้งเดิมมีความแตกต่างกันจากองค์กรหนึ่งสู่อีกองค์กรหนึ่ง

– พนักงานสายงานหลัก ไม่ใช่ผู้ตรวจสอบภายใน เป็นผู้ประเมินการควบคุมภายใน
– หน่วยงานต่าง ๆ ในองค์กรสามารถทำการประเมินตนเองได้เอง โดยไม่ต้องอาศัยการมีส่วนร่วมของฝ่ายตรวจสอบภายใน
– เครื่องมือที่ช่วยในการประเมินตนเองซึ่งอาจเป็นสิ่งใหม่สำหรับผู้ตรวจสอบภาย ใน เช่น ทักษะการอำนวยความสะดวก การสำรวจ การลงคะแนนแบบไม่ออกนาม หรือหน่วยโครงการอื่น
– การประเมินตนเองเป็นวิธีที่ดีกว่าในการประเมินแบบไม่เป็นทางการ หรือการควบคุมอย่างไม่เป็นทางการที่ต้องอาศัยความร่วมมือ และการมีส่วนร่วมของคณะผู้ตรวจสอบมากกว่าการตรวจสอบแบบดั้งเดิม
– เรื่องเกี่ยวกับทีมงานหรือผู้ถูกตรวจสอบจะปรากฏในรายงาน CSA มากกว่าผู้ตรวจสอบภายใน
– อาจมีการนำการประชุมเชิงปฏิบัติการมาใช้เพื่อสอนการประเมินความเสี่ยง และการออกแบบการควบคุมภายในให้กับทีมงาน
– บทบาทของผู้ตรวจสอบภายในคือเป็นผู้อำนวยความสะดวกและผู้ให้คำแนะนำ ในเรื่องเกี่ยวกับแนวคิดและความคิดด้านความเสี่ยงและการควบคุมความเสี่ยง
– ผู้ถูกตรวจสอบส่วนใหญ่ชอบ CSA มากกว่ากระบวนการตรวจสอบแบบดั้งเดิม
– ผู้บริหารเข้ามามีส่วนร่วมมากกว่าเข้ามาตรวจสอบ
– เป็นวิธีการสร้างความเป็นไปได้ของผลลัพธ์เกี่ยวกับการมีส่วนร่วมและการให้ความร่วมมือของ CSAที่ดีกว่า

ความแตกต่างเหล่านี้ไม่ใช่ลักษณะเฉพาะของ CSA เป็นสิ่งที่เกิดขึ้นในการตรวจสอบแบบดั้งเดิม ส่วนการประเมินความเสี่ยงและการควบคุมความเสี่ยงสิ่งที่ผู้ปฏิบัติงานเป็น ผู้ดำเนินการ และเป็นการประเมินโดยไม่เกี่ยวข้องกับการตรวจสอบภายใน จึงจะเป็นลักษณะเฉพาะของ CSA อย่างไรก็ตาม แม้ว่าสิ่งเหล่านี้จะเป็นเรื่องที่มีความท้าทายแต่การปฏิบัติของผู้ตรวจสอบ บางกลุ่มในประเด็นเหล่านี้ก็ยังมีความแตกต่างกันอยู่ จึงควรที่จะสรุปความแตกต่างของ CSA กับการตรวจสอบแบบดั้งเดิมออกมาให้ชัดเจน

ถ้ามีการตรวจสอบองค์กรที่นำ CSA มาใช้จะพบว่า แต่ว่าละองค์กรมีความแตกต่างหลักในการทำ CSA ผู้ที่เริ่มนำ CSA ไปปฏิบัติในปลายทศวรรษที่ 1980 ก็จะมีมุมมองด้าน CSA ที่แตกต่างออกไป องค์กรที่เริ่มนำ CSA มาใช้ใหม่จะไม่ได้ให้ความสำคัญกับความแตกต่างเหล่านี้ โดยยังดำเนินการแบบที่เรียกว่า “การตรวจสอบแบบดั้งเดิมอยู่” นั่นหมายความว่า ยังคงมีความแตกต่างในแนวทาง ขอบข่าย การทดสอบ และวิธีการรายงานอยู่ ความหลากหลายของแนวทางสะท้อนให้เห็นถึงความแตกต่างในโครงสร้าง ระดับการมอบอำนาจให้พนักงาน รูปแบบการบริหาร และนโยบายที่องค์กรมีอยู่ นั่นแสดงให้เห็นว่า CSA และรูปแบบการประเมินการควบคุมอื่น ๆ เช่น การตรวจสอบภายในแบบดั้งเดิม จำเป็นที่จะต้องมีการเปลี่ยนแปลงไปตามสถานการณ์การเปลี่ยนแปลงในองค์กร ต้องเป็นเครื่องมือที่สามารถประยุกต์ใช้ได้ตามโอกาสที่เหมาะสม แม้ว่าอาจมีบางส่วนจะไม่เห็นด้วยแต่ CSA ก็ไม่ใช่การตรวจสอบภายในเพื่อเปลี่ยนแปลงวัฒนธรรมขององค์กร เนื่องจากกระบวนการเปลี่ยนแปลงนี้เป็นของฝ่ายบริหารไม่ใช่เป็นของผู้ตรวจสอบ CSA เป็นวิธีการประเมินการควบคุมความเสี่ยงในองค์กรที่พร้อมในการมอบอำนาจให้กับ พนักงาน โดย CSA จะช่วยสนับสนุนให้เกิดการเคลื่อนย้ายอำนาจไปยังพนักงานแต่ไม่ได้ขึ้นอยู่กับ ผู้ตรวจสอบในริเริ่มการเปลี่ยนแปลงนั้นขึ้นมา

ฝ่ายตรวจสอบบางแห่งเริ่มนำ CSA ไปปฏิบัติ โดยกังวลว่าองค์กรอาจไม่ได้ต้องการที่จะประเมินความเสี่ยงด้วยตนเอง โดยจะนำ CSA ไปปฏิบัติให้ช้าลงเพราะเกรงว่าฝ่ายบริหารจะไม่ให้การสนับสนุน แม้ว่า CSA จะเป็นเพียงอีกเครื่องมือหนึ่งที่ใช้ในการตรวจสอบในสถานการณ์ที่เหมาะสม แต่ฝ่ายตรวจสอบกลับพบว่าไม่จำเป็นที่จะต้องมีระดับความสนับสนุนและเห็นชอบ อย่างสูงจากองค์กรในการเริ่มนำมาใช้ นั่นทำให้พอสรุปได้ว่า หากมีการทำการประชุมเชิงปฏิบัติการในขั้นเริ่มต้นสำเร็จก็จะทำให้ฝ่ายบริหาร ให้ความสนับสนุนและต้องการให้มีเพิ่มขึ้นอีก

CSA เป็นเรื่องเกี่ยวกับบุคลากรที่ทำงานทางด้านการประเมินความเสี่ยงและการควบ คุมความเสี่ยง สาเหตุที่ต้องมีการทำ CSA เนื่องจาก CSA มีความแตกต่างจากการตรวจสอบแบบดั้งเดิมที่ผู้ตรวจสอบเป็นผู้พิจารณาความ เหมาะสมของการควบคุม ผู้ตรวจสอบจึงมองกลับไปที่ผู้ที่ถูกตรวจสอบหรือลูกค้าในฐานะผู้เชี่ยวชาญที่ มีความรู้เกี่ยวกับสิ่งที่ต้องดำเนินต่อไปในองค์กรมากกว่าผู้ตรวจสอบ หลังจากนั้นผู้ถูกตรวจสอบก็จะเป็นผู้ทำงานร่วมกับวิธีการทำงานเหล่านั้นทุก วัน อันจะทำให้รู้ถึงปัญหา อุปสรรค ความเสี่ยง และการแก้ปัญหา ผู้ตรวจสอบอาจเข้ามาอีกครั้งใน 2-3 ปี และอยู่ในระยะเวลาสั้น ๆ ส่วนคำถามที่ว่า ทำไมจึงไม่มีผู้ที่มีความเชี่ยวชาญอย่างแท้จริงเข้ามาทำหน้าที่ในการประเมิน การควบคุมความเสี่ยง คำตอบที่ว่านี้ก็คือ การใช้ผู้ที่มีความรู้และประสบการณ์เกี่ยวกับงานที่ทำโดยตรง เข้ามาระบุความเสี่ยงและการควบคุมความเสี่ยงเป็นวิธีการที่ดีกว่านั่นเอง

จากการนำ CSA มาใช้ทำให้เกิดการเปลี่ยนแปลงหลายอย่างภายในองค์กร รวมถึงประโยชน์และข้อคำนึงถึงในการทำ CSA ซึ่งในครั้งหน้าผมจะได้นำมาเล่าสู่กันฟังต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment (ตอนที่ 1)

มีนาคม 23, 2012

ความเข้าใจในเรื่องการบริหารความเสี่ยง เพื่อการควบคุมดูแล (Monitoring) และเพื่อการตรวจสอบ (Audit) นั้น ต้องการใช้ทรัพยากรนอกสายงานปฏิบัติการ เพื่อประเมินความเสี่ยงและการควบคุมความเสี่ยงว่ามีความเหมาะสมเพียงไรหรือไม่ โดยเฉพาะอย่างยิ่งการประเมินความเสี่ยงที่เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ Business Drivers เป็นกรอบในการประเมินความเสี่ยงและการควบคุม

เมื่อพูดถึง Business Driver ผมขออนุญาตที่จะทบทวนความหมาย เพื่อให้เกิดความเข้าใจที่ตรงกัน เพียงสั้น ๆ ด้วยแผนภาพแทนคำอธิบายด้วยคำพูดดังนี้นะครับ

Business Drivers ประกอบด้วยองค์ประกอบหลัก ๆ 2 ข้อ คือ

1. Performance
2. Conformance

ทั้ง 2 หัวข้อ คณะกรรมการและผู้บริหารระดับสูง จะต้องมีกระบวนการจัดการประเมินความเสี่ยงที่ได้ดุลยภาพ กล่าวคือ Performance จะพิจารณาการบริหารความเสี่ยงที่มุ่งไปสู่ Business Objective ที่มี Business Balanced Scorecard ทั้ง 4 มุมมองเป็นองค์ประกอบหลักที่ต้องการควบคุมความเสี่ยง และกระบวนการจัดการแบบบูรณาการ (Integrated Management) ทั้งด้าน IT และ Non – IT ในขณเะเดียวกันองค์กรก็ต้องดูแลให้มีการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง และมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ทั้งทางด้าน IT และ Non – IT เช่นเดียวกัน

จากแผนภาพ ท่านผู้อ่านจะเข้าใจได้ดียิ่งขึ้น หากอ่านในลักษณะของ Top Down และจากซ้ายไปขวา ในส่วนที่เกี่ยวข้อง และกระบวนการประเมินการควบคุมความเสี่ยงจะต้องอาศัยความเข้าใจ COSO – ERM และ ITG ที่เกี่ยวข้องกับ CobiT และ ITIL+++ ในลักษณะต้องพึ่งพาแต่ละปัจจัยที่เกี่ยวข้องต่อกันโดยใช้หลัก Interdependent เป็นสำคัญ

หากท่านผู้อ่านได้ดูแผนภาพ CSA for Management and Auditing ข้างต้นก็จะเข้าใจอย่างชัดเจนนะครับว่า กระบวนการประเมินตนเองเพื่อควบคุมความเสี่ยงที่จะเกิดขึ้นภายในสายงานของตนนั้น มีความสำคัญยิ่ง และหากดำเนินการได้อย่างมีประสิทธิผลและประสิทธิภาพ ก็จะสามารถช่วยลดภาระกิจของผู้บริหารระดับสูง และสายงานตรวจสอบได้เป็นอย่างดี เพราะกระบวนการควบคุมความเสี่ยง จะดำเนินการโดยสายงานที่เป็นผู้ปฏิบัติงานนั้น ซึ่งโดยหลักการน่าจะมีความเข้าใจงานของตนเองได้ดีกว่าผู้ตรวจสอบ

รายละเอียดเกี่ยวกับเรื่อง CSA บางประการจะได้นำเสนอเป็นตอน ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ตามระเบียบ คตง. กับ GTAG – Global Technology Auditing Guide

สิงหาคม 6, 2011

เนื่องจากยังมีผู้ตรวจสอบภายใน และผู้กำกับของหน่วยงานที่เกี่ยวข้อง อาจยังมีแนวทางปฏิบัติและการกำกับงานของผู้ตรวจสอบภายใน เพื่อเป็นไปตามพระราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25ก วันที่ 24 มีนาคม 2546 แตกต่างกันมากพอสมควร ผมจึงขอนำแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายในตามประกาศฉบับนี้มาเล่าสู่กันฟังดังนี้ครับ

การปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ควรเป็นไปตามมาตรฐานการตรวจสอบภายใน ดังนี้

1. ผู้ตรวจสอบภายในของส่วนราชการ ปฏิบัติตามมาตรฐานการตรวจสอบภายใน และจริยธรรมของผู้ตรวจสอบภายในของส่วนราชการ ที่กำหนดไว้ในระเบียบกระทรวงการคลัง ว่าด้วยการตรวจสอบภายในของส่วนราชการที่ออกโดยกรมบัญชีกลาง

2. ผู้ตรวจสอบภายในของรัฐวิสาหกิจ กระทรวงกลาโหม หน่วยงานของราชการส่วนท้องถิ่น และของหน่วยรับตรวจอื่น ให้ปฏิบัติตามมาตรฐานการตรวจสอบภายใน ตามที่กำหนดไว้ในระเบียบว่าด้วยการตรวจสอบภายใน ที่ออกโดยหน่วยงานเจ้าสังกัด หรือหน่วยงานที่กำกับดูแลในระดับกระทรวงหรือเทียบเท่า

กรณีระเบียบว่าด้วยการตรวจสอบภายในตาม 1. และ 2. มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายใน ที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ขอบเขตของการตรวจสอบภายใน
แนวทางปฏิบัติที่ 1
ผู้กำกับดูแลมีหน้าที่รับผิดชอบสูงสุดในการทำให้เกิดความมั่นใจว่า ฝ่ายบริหารได้จัดให้มี และดำรงรักษาไว้ซึ่งระบบการควบคุมภายใน ตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน

ฝ่ายบริหารมีหน้าที่รับผิดชอบจัดให้มีและดำรงไว้ซึ่งระบบการควบคุมภายในตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน รวมทั้งพิจารณาวินิจฉัยข้อตรวจพบ และข้อเสนอแนะตามรายงานการตรวจสอบของผู้ตรวจสอบภายใน เพื่อสั่งการให้ผู้รับผิดชอบดำเนินการตามความเหมาะสมและทันเวลา

ทั้งนี้ เพื่อให้การปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในมีประสิทธิผลอย่างมีประสิทธิภาพ

แนวทางปฏิบัติที่ 2
หน่วยตรวจสอบภายในรับผิดชอบในการประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล เพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงาน และช่วยให้หน่วยรับตรวจสามารถประเมินและปรับปรุงประสิทธิผลของกระบวนการบริหารความเสี่ยง กระบวนการควบคุม และกระบวนการกำกับดูแล เพื่อบรรลุวัตถุประสงค์ที่หน่วยรับตรวจกำหนด

แนวทางปฏิบัติที่ 3
หน่วยตรวจสอบภายใน ควรอยู่ในโครงสร้างการแบ่งส่วนงานของหน่วยรับตรวจอย่างเป็นทางการ และมีสภาพภาพสูงพอที่จะสามารถปฏิบัติงานได้อย่างเต็มที่ โดยให้ขึ้นตรงต่อผู้รับตรวจ หรือมีสายการบังคับบัญชาตามที่กระทรวงการคลัง หรือผู้มีอำนาจตามกฎหมายกำหนด และผู้รับตรวจจะมอบหมายให้ผู้อื่นควบคุมดูแลและปกครองบังคับบัญชาแทนไม่ได้ และจะแต่งตั้งให้หัวหน้าหน่วยตรวจสอบภายในไปรักษาการในตำแหน่งอื่น หรือแต่งตั้งผู้อื่นมารักษาการในตำแหน่งหัวหน้าหน่วยตรวจสอบภายในในขณะเดียวกันไม่ได้ และ

หน่วยรับตรวจควรจัดสรรบุคลากรและทรัพยากรที่เพียงพอต่อการปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในอย่างเหมาะสมกับปริมาณงาน และความซับซ้อนของกิจกรรมด้านต่าง ๆ ของหน่วยรับตรวจ โดยผู้ปฏิบัติหน้าที่ของหน่วยตรวจสอบภายใน ควรปฏิบัติงานเต็มเวลาและไม่ควรไปช่วยปฏิบัติงานอื่นใดที่ไม่ใช่งานที่เกี่ยวกับการตรวจสอบภายใน ซึ่งอาจส่งผลกระทบต่อประสิทธิภาพและประสิทธิผลของงานตรวจสอบภายใน

แนวทางปฏิบัติที่ 4
ผู้ตรวจสอบภายในต้องมีความอิสระจากกิจกรรมที่ตรวจสอบ โดยมีสถานภาพที่่สามารถปฏิบัติงานที่ได้รับมอบหมายอย่างเป็นอิสระ ตามมาตรฐานการตรวจสอบภายใน และให้ข้อเสนอแนะที่เป็นประโยชน์ ปราศจากอคติและมีความเป็นกลาง

แนวทางปฏิบัติที่ 5
ผู้ตรวจสอบภายในมีบทบาทหน้าที่รับผิดชอบในการตรวจสอบ และประเมินความเพียงพอของมาตรการควบคุมภายในที่ฝ่ายบริหารกำหนด เพื่อป้องกันหรือลดโอกาสการเกิดการทุจริต ทั้งนี้ ฝ่ายบริหารของหน่วยรับตรวจเป็นผู้ที่มีหน้าที่รับผิดชอบโดยตรงต่อการบริหารความเสี่ยงเกี่ยวกับการทุจริต

แนวทางปฏิบัติที่ 6
หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายใน ซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์

ตราชั่ง

การปฏิบัติหน้าที่การตรวจสอบภายใน
แนวทางปฏิบัติที่ 7
ผู้ตรวจสอบภายในควรประพฤติปฏิบัติตนตามหลักปฏิบัติที่กำหนดในจริยธรรมของผู้ตรวจสอบภายใน เกี่ยวกับความมีจุดยืนที่มั่นคง ความเที่ยงธรรม การรักษาความลับ และความสามารถในการปฏิบัติหน้าที่ เพื่อเป็นหลักประกันความมั่นใจในความเที่ยงธรรม และการให้คำแนะนำปรึกษาที่มีคุณภาพ

แนวทางปฏิบัติที่ 8
หน่วยรับตรวจควรจัดให้มีเอกสารที่เขียนขึ้นอย่างเป็นทางการ เพื่อกำหนดวัตถุประสงค์ อำนาจหน้าที่และความรับผิดชอบของงานตรวจสอบภายใน เพื่อให้บุคลากรทุกระดับของหน่วยรับตรวจ มีความเข้าใจอันดีต่อการจัดให้มีหน่วยตรวจสอบภายใน รวมทั้งอำนาจหน้าที่ของหน่วยตรวจสอบภายใน

แนวทางปฏิบัติที่ 9
กระบวนการปฏิบัติงานตรวจสอบภายใน หมายรวมถึงการจัดทำแผนการตรวจสอบ การตรวจสอบ การวิเคราะห์และประเมินข้อมูลที่ได้จากการตรวจสอบ การรายงานผลการตรวจสอบ และการติดตามผลการปฏิบัติตามข้อเสนอแนะของผู้ตรวจสอบภายใน

การประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล อาจกระทำได้ดังนี้

1. การบริหารความเสี่ยง กระทำได้โดยการประเมินการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการจัดการความเสี่ยงที่มีนัยสำคัญ เพื่อให้ข้อเสนอแนะปรับปรุงกระบวนการบริหารความเสี่ยง และการควบคุมภายในให้มีประสิทธิภาพ

2. การควบคุม กระทำได้โดยการประเมินประสิทธิผล และประสิทธิภาพของการควบคุม และส่งเสริมให้มีการปรับปรุงการควบคุมอย่างต่อเนื่อง

3. การกำกับดูแล กระทำได้โดยการประเมินและปรับปรุงกระบวนการกำกับดูแลให้ดีขึ้น โดย
– การกำหนดเป้าหมายของการดำเนินงานของหน่วยรับตรวจ และสื่อสารให้ผู้ที่เกี่ยวข้องทราบ
– การติดตามผลสำเร็จตามเป้าหมายที่กำหนด
– การให้ความมั่นใจว่า บุคลากรของหน่วยรับตรวจมีความรับผิดชอบต่อผลการตัดสินใจ และผลการปฏิบัติหน้าที่ และ
– การรักษาไว้ซึ่งคุณค่า หรือผลประโยชน์ของหน่วยรับตรวจและผู้ที่เกี่ยวข้อง

ในปัจจุบัน ผู้ตรวจสอบในหลายองค์กรมีมาตรฐานการตรวจสอบที่แตกต่างกัน โดยเฉพาะองค์กรขนาดกลางและขนาดเล็ก และเมื่อพูดถึงการตรวจสอบทางด้าน IT Audit หรือ Risk-Based IT Audit ไปจนกระทั่ง Integrated Audit ซึ่งเป็นการบูรณาการการตรวจสอบ ระหว่าง IT Audit กับ Non – IT Audit เข้าด้วยกัน เพื่อสนองความต้องการของคณะกรรมการและผู้บริหารระดับสูงนั้น มีข้อที่ควรจะปรับปรุงได้อีกมาก

ในปี พ.ศ. 2555 แนวการตรวจสอบทางด้าน IT Audit โดยสถาบันผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ซึ่งได้ร่วมมือกับสมาคม ISACA และตลาดหลักทรัพย์แห่งประเทศไทย ได้ร่วมกันแปลเอกสารการตรวจสอบ IT โดยใช้ Best Pratice ของ GTAG – Global Technology Audit Guide แล้วเสร็จ ผู้ตรวจสอบภายในซึ่งต้องปฏิบัติตามมาตรฐานดังกล่าวข้างต้นจะต้องนำแนวทางการตรวจสอบ IT Audit มาใช้ในทางปฏิบัติ อาจก่อให้เกิดความไม่สะดวกในการปฏิบัติตามแนวทางการตรวจสอบดังกล่าว ซึ่งก็อาจพิจารณาได้ว่า ผู้ตรวจสอบภายในไม่ได้ปฏิบัติหน้าที่ตามพระราชกิจจานุเบกษาดังกล่าวข้างต้นได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

CEO / CIO and Integrated Management – Audit / Approaching to Practical GRC

กรกฎาคม 15, 2011

ปัจจุบัน การบริหารองค์กรแบบบูรณาการ หรืออาจเรียกได้ง่าย ๆ ว่า Integrated Management ซึ่งรวมไปถึง Integrated Risk Management รวมทั้ง Integrated Control and Audit เพื่อก้าวไปสู่ Integrated GRC ซึ่งเป็นแกนหลักของการบริหารการจัดการแบบหลอมรวม กระบวนความคิด และการปฏิบัติงานไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานระหว่าง Corporate Governance and IT Governance ที่อยุ่ภายใต้ร่ม ๆ เดียวกัน คือ Integrated GRC นั้น กำลังได้รับความสนใจ และนำไปใช้อย่างเป็นรูปธรรมมากขึ้น เพราะสามารถลดความซ้ำซ้อนในกระบวนการจัดการ และกระบวนการบริหารจัดการองค์กรได้ในทุกกรอบของการจัดการ

วันนี้ ผมจึงขอนำเสนอแนวความคิดที่สามารถปฏิบัติได้จริง ที่เชื่อมโยงระหว่างการบริหารการจัดการสารสนเทศ ที่ผสมผสานกับการบริหารจัดการองค์กร เพื่อบรรลุ Performance และ Conformance ที่ประกอบไปด้วยองค์ประกอบต่าง ๆ ของการบริหารจัดการในหลายรูปแบบ รูปแบบที่อธิบายได้อย่างกว้าง ๆ และเข้าใจได้ง่ายก่อนที่จะลงลึกไปกว่านี้ ปรากฎดังแผนภาพต่อไปนี้

Integrated GRC - Components of Management and Understanding

แผนภาพตามที่แสดงไว้ข้างต้น สามารถสร้างความเข้าใจให้กับ CEO, CIO, CFO, COO และทุกระดับของ C – Level รวมทั้งคณะกรรมการต่าง ๆ ขององค์กร ที่สามารถเชื่อมโยงความเข้าใจในการบริหารและการจัดการแบบหลอมรวม เพื่อขับเคลื่อนองค์กรยุคใหม่ ที่แยกกันไม่ได้ระหว่างการบริหารการจัดการสารสนเทศ ที่ต้องผสมผสานกันไปอย่างแนบแน่นกับการบริหารเพื่อก้าวสู่วัตถุประสงค์ต่าง ๆ ตามหลักการ Business Balanced Scorecard และ Information Balanced Scorecard ที่ไม่ควรมีการจัดการแบบ Silo – Based อีกต่อไป

ผู้กำกับของหน่วยงานที่มีความสำคัญ ได้พยายามขับเคลื่อนและชี้นำทิศทางการบริหารแบบบูรณาการเช่นนี้ ไปให้กับหน่วยงานที่ถูกกำกับใช้ในการปฏิบัติอย่างเป็นรูปธรรม ซึ่งรวมถึงการออกกฎหมาย กฎเกณฑ์ พระราชบัญญัติ พระราชกฤษฎีกา ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ที่รวมนโยบาย วิธีการปฏิบัติงาน การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การควบคุมภายในและการตรวจสอบภายใน ทางด้านเทคโนโลยีสารสนเทศเข้าด้วยกันอย่างเป็นกระบวนการ ซึ่งพิจารณาได้ว่า เป็นความจำเป็นในระดับประเทศที่ต้องขับเคลื่อนองค์กรต่าง ๆ ไปสู่ทิศทางที่ยกระดับความสามารถในการจัดการที่ดี ที่ต้องผสมผสานระหว่าง Corporate Governance + IT Governance ที่เป็นกระบวนการส่วนหนึ่งในการขับเคลื่อนไปสู่ GRC ที่มิใช่เป็นเพียง G + R + C

แนวความคิดในเรื่องการบริหารและการตรวจสอบแบบบูรณาการที่เรียกว่า “Integrated Thinking”โดยการคิดให้ครบจนจนความ เพื่อก้าวไปสู่เป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรที่ทันสมัยส่วนใหญ่ ซึ่งจะกำหนดเป็นวิสัยทัศน์ พันธกิจ นโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่เกี่ยวข้องกับ IT – Based ที่ท้าทายและเป็นกลไกนำไปสู่กระบวนการบริหารแบบบูรณาการที่สามารถสร้างประสิทธิภาพและประสิทธิผล และยกระดับการแข่งขันที่เป็นสากล

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

คณะกรรมการ ผู้บริหารระดับสูง/CEO และผู้บริหารที่เกี่ยวข้องในระดับต่าง ๆ รวมทั้ง คณะกรรมการตรวจสอบ/AC ผู้บริหารงานตรวจสอบ/CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ควรมีความเข้าใจภาพการบริหารแบบบูรณาการที่ผสมผสานระหว่าง กระบวนการทางด้านเทคโนโลยีสารสนเทศ กับกระบวนการทางด้านบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงไปในทิศทางเดียวกัน และผสมผสานกระบวนการจัดการในทุกระดับระหว่าง IT กับ Non – IT ที่เข้าใจได้ง่าย ๆ ว่า “Integrated Management – Audit” ซึ่งเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจการขับเคลื่อนไปสู่เป้าประสงค์ตามหลัก Business Balanced Score Card ที่ผสมผสานไปกับ Information Balanced Score Card ทางด้านเทคโนโลยีสารสนเทศที่ไม่สามารถจะแยกการจัดการกันได้อีกต่อไป

ดังนั้น การบริหารงานยุคใหม่ CEO ผู้บริหารงานและผู้ปฏิบัติงานทุกระดับ จะต้องเข้าใจความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศ – IT Risk ที่มีผลกระทบต่อ Business Risk ในทุกมุมมอง จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Approaching to GRC / Integrated Management and Systematic Thinking

Integrated Thinking ที่นำไปสู่ Integrated Management – Audit จะสามารถสร้าง Value Added และ Value Creation ได้มากกว่าการบริหารแบบ Silo – Based และเป็นหนึ่งในก้าวแรก ที่จะก้าวไปสู่ GRC ที่มิใช่ G + R + C เท่านั้น

องค์กรของท่านพร้อมหรือยังครับ กับการติดตามให้ทันแนวคิดและการจัดการที่เป็นรูปธรรมของการบริหารยุคใหม่ ที่เรียกว่า “GRC” ซึ่งเป็นการขับเคลื่อนกระบวนการบริหารในลักษณะที่ผสมผสานระหว่าง IT กับ Non – IT เข้าด้วยกันอย่างแยกกันไม่ได้ และเรียกแนวทางเช่นนี้ว่า “Integrity – Driven Performance” ที่สามารถติดตามได้จากเว็บไซต์ต่าง ๆ ที่เกี่ยวข้องนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF (ต่อ)

กรกฎาคม 4, 2011

สวัสดีครับ ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายในทุกท่าน ในครั้งที่แล้วผมได้นำเสนอถึงกรอบการปฏิบัติงานกรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) ซึ่งเป็นแนวทางสำคัญสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงิน โดย IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) ซึ่งผมได้นำเสนอแนวทางหลักไปในเบื้องต้นแล้ว สำหรับวันนี้ผมจะได้นำเสนอแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อจากครั้งที่แล้วนะครับ

2. แนวทางที่แนะนำให้ใช้ (Strongly Recommended Guidance)
เป็นแนวทางที่ได้รับการรับรองจาก IIA โดยผ่านกระบวนการพิจารณาอนุมัติอย่างเป็นทางการ แนวทางเหล่านี้จะช่วยอธิบายถึงวิธีการปฎิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ได้อย่างมีประสิทธิภาพ ซึ่งมี 3 ส่วน ดังนี้

ส่วนที่ 1 เอกสารแสดงความคิดเห็น (Position Papers) เป็นเอกสารที่จะช่วยให้ผู้ที่มีความสนใจในงานตรวจสอบภายใน ได้ทำความเข้าใจถึงนัยสำคัญของประเด็นการกำกับดูแลความเสี่ยง การควบคุม รวมถึงความเกี่ยวข้องที่สิ่งเหล่านั้นมีต่อบทบาทหน้าที่รับผิดชอบของผู้ตรวจสอบภายใน ถึงแม้ว่าบุคคลนั้นจะไม่ได้อยู่ในสายวิชาชีพตรวจสอบภายในก็ตาม ปัจจุบัน IIA ได้เผยแพร่เอกสารแสดงความคิดเห็นจำนวน 2 ฉบับ คือ

o The Role of Internal Auditing in Enterprise-wide Risk Management
o The Role of Internal Auditing in Resourcing the Internal Audit Activity

ส่วนที่ 2 ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories) เป็นสิ่งที่ช่วยให้ผู้ตรวจสอบภายใน สามารถปฏิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐาน รวมถึงส่งเสริมและเผยแพร่แนวทางการปฏิบัติที่ดีได้ ซึ่งข้อแนะนำเหล่านี้จะอธิบายถึงวิธีการทำงาน เทคนิค และสิ่งที่ควรพิจารณาในการปฏิบัติงานตรวจสอบภายใน แต่ไม่ใช่ขั้นตอนหรือกระบวนการปฏิบัติงานโดยละเอียด

อย่างไรก็ตาม ข้อแนะนำนี้ได้รวมถึงแนวปฏิบัติที่เกี่ยวข้องกับประเด็นในระดับสากล ระดับประเทศ หรือธุรกิจ และภารกิจเฉพาะ รวมถึงประเด็นทางกฎหมายและข้อบังคับต่าง ๆ ทั้งนี้ IIA ได้ทำการพัฒนาและบูรณาการเนื้อหาของข้อแนะนำฯ จากเดิม 83 ชุด เหลือเพียง 42 ชุด

ส่วนที่ 3 แนวปฏิบัติ (Practice Guides) จะให้แนวทางโดยละเอียดในการปฏิบัติงานตรวจสอบภายในซึ่งประกอบด้วยขั้นตอน และกระบวนการปฏิบัติงานโดยละเอียด เช่น เครื่องมือ เทคนิค โปรแกรม และวิธีการปฏิบัติทีละขั้นตอน รวมไปถึงตัวอย่างในการนำเสนอบริการ เป็นต้น ในปัจจุบัน IIA ได้ออกแนวปฏิบัติจำนวน 3 ประเภทด้วยกัน คือ

o Practice Guides ในหัวข้อต่าง ๆ 8 หัวข้อ เพื่อเป็นแนวปฏิบัติสำหรับผู้ตรวจสอบภายใน ในการจัดทำและแสดงความคิดเห็นทั้งระดับองค์กร และระดับฝ่าย ระดับส่วนงาน หรือระดับบุคคล เกี่ยวกับการกำกับดูแล การบริหารความเสี่ยงและระบบการควบคุมภายในขององค์กร เพื่อนำเสนอต่อผู้มีส่วนได้เสีย

o Global Technology Audit Guide (GTAG) ซึ่งเป็นแนวปฏิบัติเกี่ยวกับการบริหารจัดการ การควบคุม และการรักษาความปลอดภัยของระบบสารสนเทศ

o Guide to the Assessment of IT Risk (GAIT) ซึ่งเป็นแนวปฏิบัติที่อธิบายถึง ความสัมพันธ์ระหว่างความเสี่ยงกับรายงานงบการเงิน การควบคุมหลักภายในกระบวนการทางธุรกิจ การควบคุมโดยอัตโนมัติและการทำงานของสารสนเทศที่สำคัญ และการควบคุมหลักซึ่งอยู่ในการควบคุมทั่วไปของสารสนเทศ

นอกจากนี้ เมื่อท่านมีโอกาสได้อ่านกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่ ผมก็จะได้อธิบายถึงวิธีการนำกรอบ IPPF ที่เชื่อมโยงกับการตรวจสอบทางด้านทั่วไป (Non-IT) และทางด้านเทคโนโลยีสารสนเทศ (IT) ซึ่งรวมไปถึงการก้าวไปสู่การตรวจสอบเชิงบุรณาการของ Non-IT และ IT Audit เข้าด้วยกัน ที่เรียกกันว่า Integrated Audit ซึ่งจะเป็นสะพานเชื่อมโยงเป้าประสงค์หลักที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ในโอกาสต่อ ๆ ไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF

มิถุนายน 24, 2011

ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายใน หรือแม้กระทั่งการตรวจสอบเพื่อรับรองงบการเงินจากผู้สอบบัญชีภายนอก ซึ่งต้องประเมินกรอบการปฏิบัติงาน และประสิทธิภาพการปฏิบัติงานการตรวจสอบภายใน เพื่อกำหนดขอบเขตการตรวจสอบทางด้าน IT Audit ระดับหนึ่ง ก่อนจะก้าวไปสู่การรับรองงบการเงินตามที่เห็นสมควรนั้น ผู้รับรองงบการเงินจะมีหน้าที่อย่างหนึ่งก็คือ การประเมินการควบคุมความเสี่ยง และผลกระทบความน่าเชื่อถือได้ของข้อมูลทางการเงิน จากระบบเทคโนโลยีสารสนเทศ การควบคุมความเสี่ยง ทั้งทางด้าน IT และ Non-IT และประสิทธิภาพการบริหารความเสี่ยงของผู้บริหาร และผู้ที่เกี่ยวข้องภายในองค์กรนั้น ๆ

กรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) จึงเป็นแนวทางที่สำคัญทั้งสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงินอย่างสำคัญ

โครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายใน มีผลเริ่มใช้ตั้งแต่เดือนมกราคม 2552 เป็นต้นมา ดังนั้น การปรับปรุงกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เดิม เป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) จึงเป็นเรื่องใหม่ ซึ่งทางสมาคมผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย แนะนำให้ท่านได้เห็นความแตกต่างระหว่าง PPF เดิม และรู้จักกับ IPPF ใหม่ เพื่อให้เข้าใจแนวการบริหารงานการตรวจสอบและการปฏิบัติงานตรวจสอบที่ได้มาตรฐาน

แต่ก่อนที่ท่านจะได้รู้จักกับกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่นั้น ผมขอให้ท่านลองติดตามกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เพื่อเป็นการทบทวนก่อนดังนี้ครับ :-

กรอบการปฏิบัติงานวิชาชีพ (Professional Practice Framework –PPF) เดิม
ประกอบ ด้วย 4 ส่วน คือ
1. คำจำกัดความของการตรวจสอบภายใน (Definition of Internal Auditing)
2. ประมวลจรรยาบรรณ (Code of Ethics)
3. มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards for the Professional Practice of Internal Auditing) และ
4. ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories – PA)

IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) โดยได้แบ่งเนื้อหาตามรูปดังนี้

iia-ippf-schematic_alltwentyfive

1. แนวทางหลัก (Mandatory Guidance)
ซึ่งเป็นหลักเกณฑ์ที่มีความจำเป็นสำหรับการปฏิบัติงานตรวจสอบภายใน และได้รับการพัฒนาโดยกระบวนการที่ผ่านการกลั่นกรองความถูกต้อง เชื่อถือได้เป็นอย่างดี รวมถึงได้มีการเผยแพร่ร่างกรอบโครงสร้างฯ สู่สาธารณชนเพื่อรับฟังความคิดเห็นจากผู้ประกอบวิชาชีพ และผู้ที่สนใจในช่วงระยะเวลาหนึ่ง ก่อนที่จะนำความเห็นที่ได้รับมาประมวล ปรับปรุงและประกาศใช้จริง ซึ่งแนวทางหลักนี้ประกอบไปด้วย 3 ส่วน คือ

ส่วนที่ 1 คำนิยามของการตรวจสอบภายใน (Definition) ซึ่งระบุถึงวัตถุประสงค์พื้นฐาน ลักษณะงาน และขอบเขตของงานตรวจสอบภายใน

ส่วนที่ 2 ประมวลจรรยาบรรณ (Code of Ethics) ซึ่งระบุถึงหลักการและหลักความประพฤติที่พึงปฏิบัติของผู้ตรวจสอบภายใน และองค์กรที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายใน ประมวลจรรยาบรรณนี้ได้บรรยายถึงแนวทางการปฏิบัติงาน และความประพฤติของผู้ตรวจสอบภายในที่คาดหวังในขั้นพื้นฐาน

ส่วนที่ 3 มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards) ซึ่งเน้นในหลักการและให้แนวทางในการปฏิบัติงาน และส่งเสริมงานตรวจสอบภายใน โดยเนื้อหาประกอบด้วย

1) แถลงการณ์ของความต้องการพื้นฐานสำหรับการปฏิบัติงานวิชาชีพตรวจสอบภายใน และการประเมินความมีประสิทธิผลของการปฏิบัติงานนั้น ๆ ซึ่งเป็นความต้องการในระดับสากล ที่สามารถนำมาปรับใช้ในระดับบุคคลหรือองค์กรได้

2) การตีความ ซึ่งให้คำอธิบายวลี หรือแนวความคิดที่ปรากฎอยู่ในแถลงการณ์นั้น ๆ
ซึ่งทั้ง 2 ส่วนนี้ เป็นสิ่งที่ผู้ประกอบวิชาชีพจำเป็นที่จะต้องให้ความสนใจเพื่อจะได้เข้าใจ และสามารถนำมาตรฐานไปปฏิบัติได้อย่างถูกต้อง นอกจากนี้ มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายในยังมีภาคศัพท์ ซึ่งจะอธิบายความหมายของคำเฉพาะต่าง ๆ ที่ใช้ในมาตรฐานอีกด้วย

สำหรับกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) ที่ทบทวนกันในวันนี้ผมขอนำเสนอเพียงแนวทางหลักก่อนนะครับ ครั้งหน้าผมจะมานำเสนอในแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อไปครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Audit and Management in practices ตอน 2

มิถุนายน 2, 2011

ท่านผู้อ่านครับ ใน http://www.itgthailand.com ผมมีเรื่องที่ตั้งเป็นหมวดหมู่ไว้แลกเปลี่ยนสารสนเทศกับผู้อ่าน รวม 8 หมวดหมู่ด้วยกันนั้น ในที่สุดหมวดหมู่เรื่องต่าง ๆ ตามที่ผมได้แบ่งเอาไว้ให้ท่านผู้อ่านสามารถเลือกติดตามได้ตามที่ท่านสนใจนั้น เมื่อท่านได้อ่านมาถึงในช่วงเวลานี้ ก็จะเริ่มมีข้อสังเกตว่า หมวดหมู่ต่าง ๆ ในแต่ละหัวข้อเริ่มมีความสัมพันธ์และเกี่ยวเนื่องกันมากยิ่งขึ้น +++

อย่างเช่น เรื่องที่เกี่ยวกับ IT Audit และ Non IT Audit เรื่องทั้ง 2 ได้แยกออกเป็น 2 หมวดหมู่อย่างชัดเจนตั้งแต่แรกนั้น แต่ก็ยังไม่ปรากฎว่าผมได้อธิบายแ่ต่ละหมวดหมู่ดังกล่าวที่เกี่ยวข้องกับการตรวจสอบภายในออกจากกันเลยดังที่ตั้งใจไว้แต่ต้น…

ทั้งนี้เพราะผมต้องการให้ท่านเห็นภาพการตรวจสอบภายในที่มีวัตถุประสงค์หลัก ๆ 2 ประการด้วยกันคือ การตรวจสอบเพื่อสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) และให้คำปรึกษา (Consultant) ที่เกี่ยวข้องกับความน่าเชื่อถือได้ของงบการเงิน และรายงานต่าง ๆ รวมทั้งการบริหารความเสี่ยง และการควบคุมภายในเกี่ยวกับความน่าเชื่อถือได้ต่อกระบวนการบริหารและการดำเนินงานขององค์กรว่า รายงานทางการเงินและรายงานที่มิใช่การเงิน มีความถูกต้อง และหากกระบวนการบริหารซึ่งส่วนใหญ่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ซึ่งมีผลกระทบต่อธุรกิจ และเป้าหมายต่าง ๆ ขององค์กร ผู้ตรวจสอบภายในก็จะให้คำแนะนำ และให้คำปรึกษาต่อผู้มีผลประโยชน์ร่วมที่เกี่ยวข้อง

นอกจากนี้ ผู้ตรวจสอบภายในจะต้องปฏิบัติงานวิชาชีพการตรวจสอบภายในให้เป็นไปตามมาตรฐานสากลตามที่ปรากฎใน International Standards for The Professional Practice of Internal Auditing ซึ่งมีการปรับปรุงเพิ่มเติมและแก้ไขโดยคณะกรรมการวิชาการและวิจัยในระดับสากล ซึ่งประเทศไทยก็ได้ประยุกต์ในการนำหลักการดังกล่าวมาใช้เป็นมาตรฐานการตรวจสอบของผู้ตรวจสอบภายใน ซึ่้งสอดคล้องกับแนวทางการกำกับของสำนักงานคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ซึ่งท่านสามารถติดตามรายละเอียดได้จาก ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546

จากแผนภาพ Control Framework ครั้งที่แล้ว ท่านผู้อ่านจะได้เห็นภาพที่มาของงบการเงิน และรายการทางบัญชีที่สำคัญที่ต้องผ่านกระบวนการปฏิบัติการของระบบงานต่าง ๆ อย่างเป็นลำดับ และผสมผสานกัน ซึ่งจะเกี่ยวข้องกับระบบการประมวลผลทางด้านเทคโนโลยีสารสนเทศ หรืออาจจะกล่าวได้อีกมุมหนึ่งว่า เกี่ยวข้องกับระบบข้อมูลและสารสนเทศที่ผ่านกระบวนการควบคุมในลักษณะอัตโนมัติ (Automated Application Controls) ซึ่งเกี่ยวข้องกับระบบงานต่าง ๆ ทางด้านความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นกระบวนการ ตั้งแต่ Input – Process – Output Control รวมทั้งผลกระทบของการเชื่อมโยงของการประมวลผลดังกล่าวข้างต้น ที่เชื่อมโยงข้ามระบบงานและข้ามสายงานทั่วทั้งองค์กร รวมทั้งบางส่วนจะเกี่ยวข้องกับการควบคุม โดยระบบ Manual หรือด้วยบุคคล (People) ซึ่งเชื่อมโยงและโยงใยไปยังขั้นตอนการประมวลผล ในการประมวลงานทางด้าน Input – Process – Output ในแต่ละระบงานทั่วทั้งองค์กร (Interface Controls)

Risk Map ด้าน Control and Integrated Audit

นอกจากนั้น การควบคุมระบบงานดังกล่าว ยังเชื่อมโยงและเกี่ยวข้องกับระบบ Infrastructure ด้านสารสนเทศ ที่เกี่ยวข้องกับ Database, Platform, Operating System และ Network (โปรดดูแผนภาพที่แสดงในข้อเขียนครั้งที่แล้วอีกครั้ง) ซึ่งในเรื่องนี้จะเกี่ยวข้องกับ IT General Controls โดยอธิบายสั้น ๆ ได้ว่า เป็นการติดตามและตรวจสอบการควบคุมทางด้าน Change Development Security, Computer Operations และ IT Governance +++

ท่านผู้บริหารและผู้ตรวจสอบครับ เมื่อท่านได้อ่านมาถึงช่วงนี้ และได้ดูภาพประกอบจากครั้งที่แล้ว ท่านคงจะเห็นด้วยกับผมนะครับว่า การตรวจสอบความน่าเชื่อถือของงบทางการเิงิน และรายงานทางการเงิน และรายงานอื่น ๆ ที่เกี่ยวข้องกับการบริหารธุรกิจและการจัดการองค์กรนั้น เป็นไปไม่ได้เลยที่ผู้ตรวจสอบภายในจะปฏิบัติงานตรวจสอบทั่วไป โดยไม่คำนึงถึงผลกระทบของความเสี่ยงทางด้าน IT Risk ที่ีมีต่อ Business Process ที่นำผลกระทบไปสู่ Business Objective ในทุกมุมมองของการบริหารจัดการ ตามหลักการของ Business Balance Score Card และ Information Balance Score Card

การเชื่อมโยงกระบวนการปฏิบัติงานการตรวจสอบ Integrated Audit

หากท่านพิจารณาว่า การตรวจสอบในลักษณะดั้งเดิม (Conventional Audit) เป็นการตรวจสอบในลักษณะ SILO – Based โดยการแยกการตรวจสอบด้าน IT และการตรวจสอบด้าน Non – IT โดยขาดความเข้าใจในความเสี่ยงโดยรวม โดยเฉพาะทางด้าน IT Risk ที่มีผลต่อ Financial Risk และ Business Risk นั้นจะเป็นการเหมาะสม

นั่นคือ การก้าวไปสู่การตรวจสอบในลักษณะ Integrated Audit และ Integrated Management ตามที่ได้กล่าวไว้ในข้อเขียนครั้งที่แล้ว ซึ่งผมจะอธิบายและขยายความในรายละเอียดต่อ ๆ ไป ในช่วงเวลานี้ อาจจะมีท่านผู้ตรวจสอบ และท่านผู้บริหารบางท่าน อาจมีมุมมองที่แตกต่างกันอย่างมีนัยสำคัญได้นั้น คงต้องขอความกรุณาได้โปรดติดตามข้อเขียนเกี่ยวกับเรื่องนี้ที่จะอธิบายรายละเอียดในหลายมุมมองต่อไปครับ

Integrated Audit และ Integrated Management เป็นส่วนหนึ่งของ Integrated GRC ครับ +++

1 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Audit and Management in practices

พ.ค. 9, 2011

เมื่อวันที่ 19 ก.พ. 2554 ผมได้ร่วมกับประธานสมาคม ISACA ซึ่งเป็นสมาคมที่สร้างความเชื่อมั่นและสร้างสรรค์คุณค่าจากระบบสารสนเทศของ Bangkok Chapter และผู้บริหารงานตรวจสอบภายในของ บริษัท AIS บรรยายเรื่อง “Integrated Audit in practices” ซึ่งยังเป็นเรื่องใหม่มากในประเทศไทย เพราะเป็นการหลอมรวมการตรวจสอบทางด้าน IT Audit และ Non – IT Audit เข้าด้วยกัน เพื่อผลประโยชน์ของ Stakeholders ที่สนใจในมุมมองนี้มากกว่าการตรวจสอบที่แยกกันระหว่าง IT Audit และ Non – IT Audit

ในส่วนของผมเอง ได้อธิบายถึง ความหมายของการตรวจสอบในลักษณะ Integrated Audit ซึ่งสรุปได้ ดังนี้

1. การหลอมรวม / บูรณาการ (Integrated) การตรวจสอบระหว่าง IT Audit/Non – IT Audit กับ Financial Audit และ Audit ประเภทอื่น ๆ ทุกประเภท

2. การหลอมรวม / บูรณาการ (Integrated) กระบวนการตรวจสอบ ตามเป้าประสงค์หลักของการตรวจสอบทางด้าน IT Audit ที่คำนึงถึงผลกระทบของ IT Risks ต่อ Business Risks

3. การหลอมรวม / บูรณาการ กระบวนการตรวจสอบตามเป้าประสงค์หลักของการตรวจสอบทางด้าน Financial Audit และ Audit อื่น ๆ ทุกประเภท โดยคำนึงถึงผลกระทบของ IT Risks ที่มีต่อ Business Risks เพื่อการบรรลุแผนงาน พันธกิจ กลยุทธ์ และวิสัยทัศน์ขององค์กร

4. การผสมผสานแนวความคิดของกระบวนการบริหาร การติดตามผลการดำเนินงาน และผลกระทบของการบริหารความเสี่ยง จากกลยุทธ์ต่าง ๆ ทั้งด้าน IT และ Non – IT ที่ควรสอดคล้อง และสัมพันธ์กับเป้าประสงค์ขององค์กร ตามหลักการ Business BSC. และ
Information Balanced Scorecard

5. การนำแนวความคิดการบริหารตามหลักการ GRC – Integrity Driven Performance ซึ่งใช้ฐาน IT – Based ในการติดตามผลการดำเนินงาน และการตรวจสอบ ตามมาตรฐานและองค์ประกอบที่เกี่ยวข้อง ++

6. การคำนึงถึงผู้มีผลประโยชน์ร่วม (Stakeholders) และ Sustainable Development (CSR) และกติกาของสังคมนานาชาติ และของประเทศ ในองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน

what is integrated audit

นอกจากนี้ยังอธิบายถึงว่า ทำไมผู้มีผลประโยชน์ร่วมและผู้บริหารจึงต้องการเห็น การตรวจสอบในลักษณะ Integrated Audit

1. เพื่อให้สอดคล้องกับหลักการบริหาร GRC ซึ่งเป็นแนวทางการบริหารยุคใหม่ในปัจจุบัน ที่ใช้หลักการบูรณาการการบริหาร (Integrated Management) เพื่อสร้างคุณค่าเพิ่ม / ประโยชน์ (Value) ให้กับองค์กรและประเทศชาติโดยรวม

2. เพื่อให้สอดคล้องกับหลักการ Interdependency และแนวความคิดที่ว่า องค์ประกอบของชีวิตและการบริหารการจัดการที่ไม่ควรพิจารณาตาม Silo – Based

3. Business Strategies เป็นผู้ขับเคลื่อน IT Strategies และนโยบายทางด้าน IT ต้องสัมพันธ์กับนโยบายทางด้าน Business ในทุกมุมมอง และในทุกระดับของกระบวนการจัดการที่ดี (CG + ITG / GRC)

4. IT Risks ก็คือ Business Risks ซึ่งองค์กรจะต้องมีนโยบาย กลยุทธ์ กระบวนการจัดการ วิธีการปฏิบัติ เพื่อนำไปสู่การขับเคลื่อนพันธกิจ และวิสัยทัศน์ขององค์กร และของประเทศที่สอดคล้องกัน และแยกกันพิจารณาไม่ได้

5. Monitoring โดยผู้บริหาร และการ Auditing โดยผู้ตรวจสอบทุกประเภท เป็นเรื่องเดียวกันแต่มีมุมมองในการจัดการและ Accountability / Responsibility ที่แตกต่างกัน แต่ต้องการการประสานงานที่ใกล้ชิด ตามมุมมองขององค์กรยุคใหม่ที่ใช้คอมพิวเตอร์ในการขับเคลื่อนเป็นหลัก

6. Continuous Management / Continuous Controls กับ Continuous Auditing ตามมาตรฐานของ IIA และ ISACA จะใช้กระบวนการทาง IT เป็นสำคัญ

7. เพื่อให้เกิดการ Assurance ของ Business โดยผู้ตรวจสอบ ต่อกระบวนการตัดสินใจจากรายงานที่ได้รับ

8. เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลต่อ Stakeholders ถึงข้อมูลและสารสนเทศ มีองค์ประกอบที่ดีและถูกต้อง เชื่อถือได้ และมีสารสนเทศใช้เพื่อการตัดสินใจได้ทุกเวลา และมั่นใจได้ว่า ธุรกิจสามารถขับเคลื่อนไปได้อย่างต่อเนื่อง จากการบริหารที่ได้มาตรฐาน

การตรวจสอบในลักษณะ Integrated Audit จะน่าสนใจยิ่งขึ้น หากจะอธิบายในมุมมองของการบริหารในลักษณะ GRC ซึ่งเป็นการบริหารยุคใหม่ ที่เป็นการหลอมรวมการบริหารจัดการที่ดีที่ทั่วโลกกำลังให้ความสนใจ ดังภาพด้านล่าง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสต่อไป

Integrated Audit and Integrated Mgmt Perspectives

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12

เมษายน 29, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

สวัสดีครับทุกท่าน ในครั้งก่อนผมได้กล่าวถึงประเด็นสำคัญที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย ผู้บริหารระดับสูงองค์กร ควรต้องพิจารณาในการควบคุมความเสี่ยง เช่น เรื่องของระบบการควบคุมความเสี่ยง นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง การสอบทานแผนงาน/โครงการใหม่ ซึ่งได้นำเสนอไปแล้วนั้น สำหรับตอนนี้จะขอนำเสนอประเด็นที่ควรพิจารณาต่อเลยนะครับ

4. มาตรฐานหรือเกณฑ์ขั้นต่ำในการพิจารณาแผนงาน/โครงการใหม่

องค์กรควรมีกระบวนการและหลักเกณฑ์ในการพิจารณาอนุมัติ การนำเสนอแผนงานหรือโครงการใหม่ ๆ อย่างรอบคอบและรัดกุม ซึ่งส่วนใหญแล้วจะเป็นการวิเคราะห์ความสำเร็จของงาน โดยเปรียบเทียบระหว่างผลสำเร็จ ตัวชี้วัด และความเสี่ยงที่ยอมรับได้ นอกจากนี้ องค์กรควรมีการจัดทํารายงาน ติดตามผลการดําเนินงานภายหลังการดำเนินงานตามแผนงาน เพื่อประเมินความสําเร็จว่าจะดําเนินกลยุทธ์อย่างไรต่อไป เช่น หากแผน
งาน/โครงการใหม่ดังกล่าวไม่ประสบผลสําเร็จ องค์กรอาจพิจารณาแนวทางแก้ไขหรือตัดสินใจยกเลิกแผนงาน/โครงการที่ต่อเนื่อง

ความเชื่อมโยงระหว่างยุทธศาสตร์ การบริหารความเสี่ยง

5. คุณภาพและประสิทธิผลของระบบการควบคุมภายใน

ระบบการควบคุมภายในจะช่วยให้องค์กรปฏิบัติงานได้อย่างมีประสิทธิผล มีรายงานที่เชื่อถือได้ มีการดูแลรักษาทรัพย์สิน และช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายที่กําหนด องค์กรควรกําหนดให้มีผู้ตรวจสอบภายในที่เป็น อิสระ ทําหน้าที่รายงานผลการตรวจสอบภายใน หรือผลการสอบทานระบบโดยตรงต่อคณะกรรมการฯ หรือคณะกรรมการตรวจสอบอย่างเป็นลายลักษณ์อักษร เพื่อดําเนินการแก้ไขได้ ทันท่วงที โดยองค์กรควรดําเนินการหรือจัดให้มีรายการต่อไปนี้

(1) มีระบบการควบคุมภายในที่เหมาะสมสําหรับประเภท และระดับความเสี่ยงที่เกิดขึ้นจากลักษณะและขอบเขตของธุรกิจ

(2) มีสายการบังคับบัญชาและหน้าที่ความรับผิดชอบที่ชัดเจน และเป็นลายลักษณ์อักษร เพื่อการควบคุมและติดตามการปฏิบัติตามนโยบาย ขั้นตอนการบริหาร ความเสี่ยง และเพดานความเสี่ยง

(3) มีการแบ่งแยกหน้าที่และการรายงานระหว่างการปฏิบัติและการควบคุมอย่างชัดเจน

(4) มีขั้นตอนการตรวจสอบ และสอบทานการควบคุมภายในด้านต่าง ๆ อย่างอิสระและเป็นรูปธรรม ได้แก่ ขอบเขตและขั้นตอนการปฏิบัติงาน การรายงาน ข้อเท็จจริงที่พบ และการแก้ไขตามผลการตรวจสอบ รวมทั้งระบบจัดการข้อมูลและระบบการรายงานต่าง ๆ

(5) มีการจัดทํารายงานผลการตรวจสอบและสอบทาน และรายงานการปฏิบัติที่ไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ต่าง ๆ รวมทั้งผลการสอบสวนและการดําเนินการแก้ไขที่เชื่อถือได้ ถูกต้อง ทันกาล และเป็นลายลักษณ์อักษร

(6) คณะกรรมการตรวจสอบหรือคณะกรรมการฯ ควรสอบทานประสิทธิผลของการตรวจสอบภายใน และการควบคุมอื่นอย่างสม่ำเสมอ เพื่อแก้ไขข้อบกพร่องที่มีนัยสําคัญได้อย่างเหมาะสมและทันกาล

6. แผนการสร้างผู้บริหารทดแทนและการฝึกอบรม

การบริหารบุคคลครอบคลุมการกําหนดโครงสร้างของฝ่ายงานที่รับผิดชอบในด้านการวางแผนคัดเลือกพนักงาน การกําหนดตําแหน่งงานและรายละเอียดลักษณะงาน การพัฒนาและฝึกอบรมที่เหมาะสม ระบบการประเมินผลการปฏิบัติงาน และผลตอบแทนการจัดการด้านโครงสร้างเงินเดือน และเครือข่ายการติดต่อสื่อสารที่มีประสิทธิผล

วัตถุประสงค์ของการบริหารบุคคล คือ
(1) เพื่อให้การดําเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับนโยบายองค์กร

(2) เพื่อให้มีบุคลากรที่มีคุณภาพเพียงพอที่จะปฏิบัติงานตามหน้าที่ความรับผิดชอบ และสามารถคัดเลือกพนักงานที่มีคุณภาพมาทดแทนได้อย่างเหมาะสม ดังนั้น ฝ่ายบริหารบุคคลจึงมีบทบาทสําคัญในการเตรียมความพร้อมด้านบุคลากรให้สอดคล้องหรือรองรับกับทิศทางกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรกําหนดรายละเอียดของลักษณะงาน (job description) ระบบการประเมินผลการปฏิบัติงาน โครงสร้างเงินเดือน ผลตอบแทน และบทลงโทษที่เหมาะสม เพื่อให้ผลการดําเนินงานและหน้าที่ความรับผิดชอบเหล่านั้น สอดคล้องกับกลยุทธ์และเป้าหมายที่กําหนดไว้ รวมทั้งควรจัดเตรียมแผนการสร้างผู้บริหารทดแทน เพื่อให้องค์กรสามารถดําเนินธุรกิจได้อย่างต่อเนื่อง

ซึ่งแนวทางหนึ่งคือ สนับสนุนผู้บริหารรุ่นใหม่ที่มีความสามารถให้มีความรู้และประสบการณ์ที่จําเป็นสําหรับการปฏิบัติงานในระดับสูงขึ้นต่อไป ทั้งนี้ ฝ่ายบริหารควรกําหนดรายละเอียดเกี่ยวกับคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่งระดับบริหาร โปรแกรมการฝึกอบรม และการฝึกงานที่จําเป็นไว้ด้วย เพื่อให้มั่นใจว่า องค์กรสามารถดํารงไว้ซึ่งผู้บริหารที่มีความสามารถ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมายควรกําหนดมาตรการ ดังนี้

(1) ทบทวนผลการปฏิบัติงานของผู้บริหารระดับสูง โดยเปรียบเทียบกับเป้าหมายที่กําหนดไว้อย่างน้อยปีละครั้ง เพื่อให้ทราบว่าผลการปฏิบัติงานอยู่ในระดับที่น่าพอใจเพียงใด สามารถดําเนินการให้บรรลุเป้าหมายที่กําหนดไว้ได้มากน้อยเพียงใด โดยอาจพิจารณาได้จากผลประกอบการทั้งในเชิงคุณภาพและเชิงปริมาณ เปรียบเทียบกับแผนดําเนินงานและงบประมาณ การลงทุน ส่วนแบ่งตลาด ความสามารถในการแข่งขัน และระดับความเสี่ยง เป็นต้น

(2) กําหนดนโยบายหรือแผนการเกี่ยวกับการสร้างตําแหน่งผู้บริหารทดแทน ควรมีการจัดทําและทบทวนนโยบายอย่างน้อยปีละครั้ง ให้เหมาะสมกับโครงสร้างองค์กรและลักษณะงาน โดยควรครอบคลุมถึงกระบวนการในการฝึกอบรม การฝึกงานที่จําเป็น รายละเอียดคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่ง เป็นต้น

(3) ทบทวนสัญญาว่าจ้างผู้บริหารภายนอกในสาระสําคัญ กรณีที่มีการว่าจ้างผู้บริหารมืออาชีพจากภายนอก ที่ปรึกษา หรือผู้เชี่ยวชาญ เพื่อปฏิบัติหน้าที่เป็นกรณีพิเศษ ควรมีการสอบทานความเหมาะสมของสัญญาว่าจ้าง เพื่อกําหนดบทบาทหน้าที่ และเกณฑ์การประเมินผลการปฏิบัติงาน และการจ่ายค่าตอบแทนที่ชัดเจน

ทั้งนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีสิทธิและอํานาจการตัดสินใจที่สําคัญ รวมทั้งสามารถสอบทานผลการปฏิบัติงานของบุคคลดังกล่าว คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรดําเนินการติดตามและควบคุมการปฏิบัติงานของบุคคลภายนอก เพื่อป้องกันไม่ให้มีการแสวงหาผลประโยชน์จากองค์กร เช่น
(3.1) กําหนดขอบเขต หน้าที่ ความรับผิดชอบในการปฏิบัติงานอย่างชัดเจน
(3.2) ร่างข้อกําหนดที่เป็นทางการ โดยให้ครอบคลุมถึงมาตรฐานขั้นต่ำของผลงานที่ยอมรับได้ และระยะเวลาในการปฏิบัติงานที่ชัดเจน
(3.3) มีการประเมินผลการปฏิบัติงานโดยเปรียบเทียบกับผลที่คาดไว้
(3.4) สัญญาว่าจ้างควรผ่านการพิจารณาจากฝ่ายกฎหมาย และได้รับความเห็นชอบโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย
(3.5) ควรกําหนดในสัญญาให้องค์กรมีสิทธิบอกเลิกสัญญาได้ หากไม่สามารถปฏิบัติได้ตามเป้าหมายที่ตกลงไว้

(4) กําหนดแนวทางและวิธีการในการให้ผลตอบแทนแก่ผู้บริหารระดับสูง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีส่วนร่วมในการพิจารณาเกี่ยวกับ ผลตอบแทนที่ให้แก่ผู้บริหารระดับสูงเพื่อให้มีความเหมาะสม โดยอาจกําหนดเป็นในรูปตัวเงินหรือไม่ใช่ตัวเงินก็ได้ ทั้งนี้ ต้องคํานึงถึงความเหมาะสมและฐานะการเงินขององค์กรในขณะนั้นด้วย

(5) การกําหนดแผนการฝึกอบรม องค์กรควรจัดสรรงบประมาณสําหรับการฝึกอบรมให้เพียงพอ และจัดหาบุคลากรที่เหมาะสม มีความรู้ความเข้าใจเกี่ยวกับการบริหารบุคคล เพื่อรับผิดชอบการบริหารโครงการฝึกอบรมขององค์กร โดยสามารถดําเนินการได้ 2 ลักษณะ คือ จัดอบรมโดยวิทยากรภายใน หรือว่าจ้างสถาบันฝึกอบรมหรือเชิญวิทยากรจากภายนอก การฝึกอบรมเป็นปัจจัยสําคัญที่จะช่วยให้องค์กรสามารถพัฒนาคุณภาพของบุคลากร อันจะช่วยให้การดําเนินงานประสบผลสําเร็จได้ตามเป้าหมาย รวมทั้งยังเป็นช่องทางหนึ่งในการสื่อสารแผนงานและเป้าหมายขององค์กรให้ พนักงานทราบ โดยอาจเป็นการอบรมเรื่องทั่วไป เช่น นโยบายขององค์กรเกี่ยวกับกลยุทธ์ธุรกิจ ภาพรวมความเสี่ยง ลักษณะธุรกิจและแผนงาน/โครงการ แนวทางการปฏิบัติงาน และนโยบายการบริหารงานบุคคล เป็นต้น หรือเป็นการอบรมสําหรับการปฏิบัติงานเฉพาะด้าน เช่น การบริหารเงิน หรือการจัดอบรมพิเศษด้านเทคนิคเมื่อมีแผนงานหรือโครงการใหม่ ๆ เป็นต้น ทั้งนี้ ควรมีแผนการอบรมที่ต่อเนื่องและเนื้อหาสอดคล้องกับเป้าหมายการดําเนินงานและกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรสนับสนุนให้พนักงานได้มีโอกาสศึกษาต่อเพื่อเพิ่มพูนความรู้ เสริมทักษะ และเป็นการเพิ่มศักยภาพของพนักงานให้ก้าวทันกับวิทยาการใหม่ ๆ ที่จําเป็นต่อการดําเนินงานในอนาคต

7. การวางแผนรองรับการดําเนินธุรกิจ (business continuity planning)

การจัดทําแผนรองรับการดําเนินธุรกิจ เป็นการเตรียมความพร้อมเพื่อให้มีการดําเนินธุรกิจอย่างต่อเนื่อง สําหรับกรณีเกิดเหตุการณ์ที่ไม่คาดคิด โดยอาจจัดทําแผนรองรับการดําเนินธุรกิจสําหรับสถานการณ์วิกฤตที่จําลองขึ้น ในหลาย ๆ กรณี เช่น กรณีวิกฤตจากการไม่สามารถปฏิบัติได้สําเร็จตามแผนกลยุทธ์ กรณีวิกฤตจากภาวะเศรษฐกิจถดถอยรุนแรง หรือกรณีวิกฤตจากอุบัติเหตุหรืออุบัติภัยทางธรรมชาติ เช่น น้ำท่วม หรือไฟไหม้อันกระทบต่อการปฏิบัติงานอย่างมาก นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และบริหารระดับสูง ควรกําหนดรายละเอียดการบริหารจัดการ และผู้มีอํานาจสั่งการและ/หรือ ลงลายมือชื่อแทนตามลําดับชั้น ในกรณีที่ผู้บริหารระดับสูงบางรายหรือส่วนใหญ่ไม่สามารถปฏิบัติหน้าที่ได้ ซึ่งแผนรองรับการดําเนินธุรกิจควรประกอบด้วย

(1) แผนรองรับด้านการปฏิบัติการ ได้แก่ แผนการกําหนดสถานที่ปฏิบัติงานและประมวลผลสํารอง และแผนป้องกันความเสียหายของระบบประมวลผลข้อมูล (electronic data processing – EDP)

(2) แผนรองรับด้านการบริหาร ได้แก่ แผนพัฒนาศักยภาพความสามารถด้านการแข่งขัน และแผนรองรับหากดําเนินการไม่สําเร็จตามแผนกลยุทธ์

สำหรับการวางแผนรองรับการดําเนินธุรกิจ (business continuity planning) เป็นเรื่องที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและให้ความสำคัญอย่างยิ่งยวด ในการเตรียมความพร้อมรับมือกรณีเกิดเหตุการณ์ไม่คาดคิดดังที่ผมได้กล่าวในข้างต้น และควรจัดให้มีการดำเนินงานตามแผนรองรับดังกล่าว ซึ่งในรายละเอียด ผมจะได้นำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

ปิดความเห็น บน ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12 | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »