แนวทาง/กรอบการบริหารความเสี่ยงขององค์กร

พ.ค. 9, 2009

สวัสดีครับ ผมดีใจจังเลยที่วันนี้อินเตอร์เน็ตที่ผมใช้งานอยู่มันกลับมาเป็นปกติเหมือนเดิมแล้ว หลังจากที่ใช้ได้บ้าง ใช้ไม่ได้บ้างมาหลายสัปดาห์ เลยทำให้ที่ผ่านมา ผม update ข้อมูลได้ไม่ง่ายเลยครับ ก็ต้องขออภัยสำหรับผู้ที่สนใจติดตามเนื้อหาสาระใน article ต่าง ๆ ของ itgthailand แห่งนี้ด้วยครับ

สำหรับวันนี้ ผมจะกล่าวถึงขั้นตอนต่าง ๆ ของกระบวนการบริหารความเสี่ยงที่สามารถนำไปปฏิบัติงานได้จริง โดยจะอธิบายพร้อมกับแสดงแผนผัง/แผนภาพในแต่ละขั้นตอน เพื่อให้เข้าใจได้ง่ายขึ้น

เมื่อพูดถึงกระบวนการบริหารความเสี่ยง ซึ่งเป็นกระบวนการต่อเนื่อง มิใช่กระบวนการที่ทำเพียงครั้งเดียว เนื่องจากสภาพแวดล้อมขององค์กรมีการเปลี่ยนแปลงตลอดเวลา ผู้บริหารทั้งหลายจึงควรมั่นใจว่ามีการสอบทานความเสี่ยงต่าง ๆ อย่างสม่ำเสมอ และมีการควบคุมและจัดการความเสี่ยงที่เหมาะสม

กระบวนการบริหารความเสี่ยงประกอบด้วย 5 ขั้นตอนดังต่อไปนี้
1. การกำหนดวัตถุประสงค์ที่สอดคล้องกับกลยุทธ์/ยุทธศาสตร์ขององค์กร
2. การบ่งชี้และเข้าใจความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ที่กำหนดไว้ขององค์กร

ขั้นตอนของการระบุปัจจัยเสี่ยงของหน่วยงาน (Risk Identification)
ขั้นตอนที่ 1 ระบุภารกิจอย่างเป็นทางการ (Mission Statement)
ซึ่งประกอบด้วยองค์ประกอบต่าง ๆ ดังนี้
– ชื่อหน่วยงาน
– คำบรรยายถึงภารกิจของหน่วยงาน
– ความจำเป็นของภารกิจต่อเป้าหมายขององค์กร
– ความสัมพันธ์ของวัตถุประสงค์ของภารกิจของหน่วยงานต่อเป้าหมายขององค์กร
– อื่น ๆ

ขั้นตอนที่ 2 ระบุโครงสร้างงาน (Working Structure)
การระบุโครงสร้างงานจะเขียนในรูปแบบของ Organization Chart ตามลักษณะของส่วนงานที่จำแนกไว้ภายในหน่วยงานนั้น ๆ ก็ได้ เช่น

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 2 ระบุโครงสร้างงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน (Work Breakdown Structure-WBS)
เป็นการระบุหน้าที่ที่จะต้องปฏิบัติ เพื่อให้ภารกิจของแต่ละส่วนงานบรรลุจุดมุ่งหมาย

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 3 ระบุโครงสร้างภารกิจของส่วนงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงานแต่ละหน้าที่
เป็นการระบุกิจกรรมย่อยของแต่ละหน้าที่ที่ต้องปฏิบัติเพื่อบรรลุวัตถุประสงค์

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 4 การระบุกิจกรรมย่อยของงาน

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยงหรืออันตรายต่าง ๆ ที่อาจเกิดขึ้นในกิจกรรม

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ขั้นตอนที่ 5 ระบุปัจจัยเสี่ยง

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

ความสัมพันธ์ระหว่างเป้าหมายภายในองค์กร หน่วยงาน และบุคคล

3. ประเมินความเสี่ยงทั้งหมดที่ส่งผลกระทบต่อวัตถุประสงค์ที่กำหนดไว้ การประเมินความเสี่ยงโดยพิจารณาถึงผลกระทบและโอกาสเกิดความเสี่ยง

ขั้นตอนการประเมินความเสี่ยง(Risk Assessment)….ระดับโอกาสของผลกระทบจากความเสี่ยง
ขั้นตอนที่ 1 การพิจารณา ปัจจัยเสี่ยงรอบด้าน เพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 1 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินโอกาสที่จะเกิดความเสี่ยง

ขั้นตอนที่ 2 การพิจารณาปัจจัยรอบด้านเพื่อ ประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 2 การพิจารณาปัจจัยเสี่ยงเพื่อประเมินความรุนแรงของผลกระทบที่อาจจะเกิดขึ้นจากปัจจัยเสี่ยง (Severity of Impact)

ขั้นตอนที่ 3 วิธีการประเมินระดับของปัจจัยเสี่ยง
คือการนำผลการประเมินทั้งระดับโอกาสที่จะเกิดความเสี่ยง (Probability of Occurrence) และความรุนแรงของผลกระทบที่อาจเกิดจากปัจจัยเสี่ยง (Severity of impact) พิจารณาร่วมกันเพื่อประเมินระดับของปัจจัยว่าอยู่ในระดับสูง กลาง หรือต่ำ โดยมีวิธีการประเมินตามรายละเอียดในตาราง

ตารางการประเมินระดับของปัจจัยเสี่ยง

ตารางการประเมินระดับของปัจจัยเสี่ยง

การประเมินหรือวัดระดับการบริหารความเสี่ยง อาจจัดเป็น 5 ระดับ แทน 3 ระดับ ดังแสดงตามรูปได้ดังนี้

Level of Risk

Level of Risk

ขั้นตอนที่ 4 วิธีการจัดกลุ่มและจัดลำดับปัจจัยเสี่ยงของหน่วยงาน
คือการนำผลการประเมินในขั้นตอนที่ 3 มาจำแนกออกเป็นกลุ่ม และจัดลำดับปัจจัยเสี่ยงในแต่ละกลุ่ม โดยพิจารณาถึงความสัมพันธ์และความเสียหายที่อาจเป็นอุปสรรคต่อการปฏิบัติซึ่งเป็นหลักเกณฑ์สำคัญ ในการบริหารความเสี่ยงและสร้างความเติบโตอย่างยั่งยืนขององค์กร เพื่อเรียงลำดับความสำคัญของปัจจัยเสี่ยงจากสูงไปต่ำของหน่วยงานและองค์กร
– วิสัยทัศน์
– ภารกิจ
– ค่านิยมร่วม
– วัตถุประสงค์
– นโยบาย
– กลยุทธ์
– เป้าหมาย
– แผนงาน
– โครงการ
– การปฏิบัติงาน
– การวัดผลการปฏิบัติ
– การสอบทาน/การกำกับดูแล
– การปรับปรุง/พัฒนา

จากนั้นจัดลำดับของปัจจัยเสี่ยงในแต่ละกลุ่มแล้ว อาจบันทึกลงในตารางด้านล่าง เพื่อความสะดวกในการตรวจสอบหรือพิจารณาจัดลำดับใหม่ ก่อนบันทึกลงในแบบฟอร์มที่ใช้เป็นเอกสารหลัก ที่ต้องใช้รายงานอย่างเป็นทางการต่อไป

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

การระบุปัจจัยเสี่ยงและความเสียหายของหน่วยงาน

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม

ความเสี่ยงที่สำคัญ ๆ และการจัดกลุ่ม


4. กำหนดการจัดการความเสี่ยงที่ปฏิบัติอยู่ในปัจจุบัน โดยต้องทำการพิจารณาถึงการควบคุมเพิ่มเติม รวมทั้งความสัมพันธ์ของต้นทุนและผลประโยชน์ที่เกิดขึ้น
5. การติดตามผลและการรายงานความมีประสิทธิผลของกระบวนการและระบบการบริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale (ต่อ)

พ.ค. 7, 2009

ดีใจได้เดี๋ยวเดียวเองครับ กับอินเตอร์เน็ตที่คิดว่าใช้งานได้ดีแล้ว คิดว่าวันนี้จะ update หัวข้อต่าง ๆ ที่ยังค้างคา อย่างกรณีเรื่องเล่าของ FSA ที่ยังค้างไว้เมื่อครั้งที่แล้ว และยังเรื่องของการบริหารความเสี่ยง หรือเรื่องของ CG อีก สุดท้ายก็ยังใช้งานได้ติด ๆ ขัด ๆ อยู่ดี แต่ผมตั้งใจไว้แล้วว่าวันนี้จะ update ให้ได้ ผมก็จะพยายามจนสุดความสามารถละกันนะครับ

จากกรณีศึกษา เรื่อง FSA – Financial Services Authority สอบสวนถึงกรณีการทุจริตของธนาคาร Societe Generale (SG) ซึ่งจะมีประโยชน์อย่างยิ่งต่อสถาบันการเงินทุกแห่ง รวมทั้งองค์กรที่ไม่ได้เป็นสถาบันการเงินด้วย ทั้งนี้เพราะข้อสังเกตของ FSA ซึ่งเป็นหน่วยงานกำกับของประเทศอังกฤษ ได้ร่วมกับหน่วยงานกำกับอื่น ๆ ในการศึกษาเพื่อป้องกันปัญหาการทุจริตในสถาบันการเงินต่อไปในอนาคตนั้น จะมีประโยชน์ในเชิงป้องกันปัญหาการทุจริตในวงการบริหารเงิน การกำกับสถาบันการเงินที่ไม่จำเป็นจะต้องเป็นผู้ค้าเงินด้วยก็ตาม

คำถามซึ่งผสมผสานไปด้วยข้อคิด และข้อสังเกตไปในตัวในแต่ละข้อนั้น มีลักษณะให้ผู้บริหารขององค์กรต้องตอบอย่างมั่นใจว่า องค์กรของตนได้มีการปฏิบัติที่เหมาะสมเกี่ยวกับการควบคุมความเสี่ยงต่าง ๆ ที่เกี่ยวข้องหรือไม่ ผมได้แนะนำให้สถาบันการเงินบางแห่งและองค์กรที่ไม่ใช่เป็นสถาบันการเงิน ได้นำข้อสังเกตกึ่งข้อแนะนำของ FSA นี้ไปใช้ในการทบทวนการป้องกันความเสี่ยงในแง่มุมต่าง ๆ ขององค์กรในเชิงรุก

ท่านผู้บริหารและผู้ตรวจสอบที่สนใจในเรื่องนี้ บางหน่วยงานให้ข้อสังเกตในลักษณะว่าเป็นเรื่องที่เกี่ยวข้องกับการค้าเงินของสถาบันการเงิน ซึ่งอาจไม่ตรงกับการดำเนินงานขององค์กรของตนมากนัก เรื่องนี้ผมใคร่ขอเรียนย้ำว่า ขอให้ท่านผู้บริหารได้โปรดศึกษาในเนื้อหาและสาเหตุของการทุจริตอย่างละเอียด และนำหลักการของ COSO – ERM มาประยุกต์ใช้และเปรียบเทียบ โดยใช้ดุลยพินิจและนำมาประยุกต์กับหน่วยงานของท่าน โดยการตั้งคำถามในเรื่องที่เกี่ยวข้องเช่นเดียวกับที่ FSA ได้ตั้งคำถามและนำคำตอบหลากหลายนั้น มาตั้งคำถามเพิ่มเติมเพื่อให้ได้คำตอบในแง่มุมที่เกี่ยวข้อง และตั้งคำถามจากคำตอบหลังสุดนั้นไปเรื่อย ๆ อย่างเป็นกระบวนการตามหลักการของ COSO – ERM ผสมผสานกับหลักการของ COBIT ภายใต้ร่มของ IT Governance ท่านผู้บริหารก็จะได้ภาพที่น่าสนใจอย่างยิ่ง ที่สามารถนำมาสร้างเป็นหลักการในการควบคุมความเสี่ยง รวมทั้งออกนโยบายที่เกี่ยวข้องได้อย่างเหมาะสมต่อไป

ความเสี่ยงในการตรวจสอบ (Audit Risk) ประการหนึ่งที่สำคัญอย่างยิ่ง ก็คือ ผู้ตรวจสอบไม่ได้ตรวจสอบหรือแม้แต่วางแผนการตรวจสอบ ประเด็นที่อาจปรับปรุงกระบวนการบริหารงานของผู้บริหารในองค์กรอย่างเป็นกระบวนการที่แท้จริง เช่น การมอบอำนาจให้กับผู้ที่เกี่ยวข้อง ซึ่งควรจะมีการควบคุมอย่างใกล้ชิดเพื่อรักษาดุลยภาพและความเหมาะสมในการให้อำนาจกับบุคคลนั้น ๆ โดยมี Dual Control ที่ได้ดุลยภาพผสมผสานกับการใช้เทคโนโลยีเข้าช่วยในการควบคุมและรายงานสิ่งผิดปกติ ที่อาจจะเกิดขึ้นได้ ซึ่งเรื่องนี้อาจเปรียบเทียบได้กับกรณีของ ธอส. ซึ่งกระทรวงการคลังกำลังขอให้ผู้บริหารของ ธอส. ชี้แจงในเรื่องนี้ ซึ่งมีแง่มุมที่น่าสนใจที่อาจนำมาแลกเปลี่ยนความคิดเห็นในโอกาสต่อไป

วันนี้ ผมจึงขอนำข้อสังเกตจากกรณีศึกษาของ FSA กรณีการทุจริตของ Societe Generale (SG) มาเล่าต่อจากวันก่อน เพื่อให้ท่านที่สนใจได้ช่วยกันวิเคราะห์ และจะมีประโยชน์อย่างยิ่ง หากผู้บริหารของสถาบันการเงินและองค์กรที่เกี่ยวข้องกับการบริหารเงินจะได้สนใจ และประเมินศักยภาพของผู้บริหารและผู้ตรวจสอบภายในในองค์กรของท่านต่อไป

Control functions: culture and challenge
3. สง. มั่นใจได้อย่างไรว่าหน่วยงานที่ทำหน้าที่ควบคุมมีความรู้และทักษะเพียงพอ เพื่อสามารถติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพ
4. สง. มั่นใจได้อย่างไรว่าระบบการสอบทานและควบคุม ทำงานได้อย่างมีประสิทธิภาพตามที่คาดหวัง
4.1 สง. ควรมีการพิจารณาอย่างสม่ำเสมอว่าบุคลากรทุกคนที่ทำหน้าที่เกี่ยวข้องกับการควบคุม ( Control function ) มีความรู้ความสามารถและมีอำนาจในการติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพเมื่อมีการทำธุรกรรมที่เกิน Limit หรือเมื่อเกิดเหตุการณ์ที่น่าสงสัยขึ้น
4.2 Middle office และ Back office มีความเข้าใจหรือไม่ว่าเมื่อใดควรใช้ บัญชีพัก (Suspense account) ในการบันทึกรายการ ทั้งนี้เพื่อป้องกันการใช้ บัญชีพัก ผิดวัตถุประสงค์ของ Trader (อาจใช้ บัญชีพัก เพื่อซ่อนรายการทุจริต) นอกจากนี้ หากมีธุรกรรมต้องสงสัย สง. มีขั้นตอนการนำเสนอรายงานตามลำดับชั้นถึงผู้บริหารเพื่อการตัดสินใจหรือไม่
4.3 เพื่อความมีประสิทธิภาพของการปฏิบัติงาน สง.ควรมีการคัดเลือกและรักษาพนักงานที่มีคุณภาพ รวมถึงมีการฝึกอบรมพนักงานอย่างสม่ำเสมอ

Risk management and limit
5. สง. มั่นใจได้อย่างไรว่ามีการตรวจสอบความเสี่ยงทุกประเภทที่มีนัยสำคัญได้อย่างถูกต้องครบถ้วน เช่น Exotic risk, Basic risk เป็นต้น
6. สง. มั่นใจได้อย่างไรว่า Limit ที่มีครอบคลุมความเสี่ยงทุกประเภทอย่างเหมาะสม และมีการติดตามความเสี่ยงทั้งหมดเป็นประจำอย่างสม่ำเสมอ
6.1 สง. ควรมีเครื่องมือที่สามารถตรวจสอบ Position ของ Trader โดยเปรียบเทียบกับอำนาจการทำธุรกรรมและ Limit ที่ Trader ได้รับ นอกจากนี้ควรเทียบ Position ของ Trader ว่ามีสัดส่วนเท่าใดของ Position ทั้ง Desk เพื่อทราบว่าธุรกรรมของ Trader รายนั้นต้องติดตามดูแลเป็นพิเศษหรือไม่
6.2 สง. ควรต้องติดตามดูแลความเสี่ยงที่อาจตรวจวัดได้ยาก เช่น Exotic and Higher order risk, Basic risk และ Liquidity risk ซึ่งในกรณีนี้ สง.ควรใช้เครื่องมือที่มีประโยชน์ เช่น Gross notional limit หรือ Gross sensitivity limits เพื่อควบคุมความเสี่ยงดังกล่าว

Management information
7. ตัวชี้วัดผลการปฏิบัติงานที่ใช้เป็นข้อมูลในการบริหารมีความละเอียดและเหมาะสมเพียงพอหรือไม่
8. สง. มีการรวบรวมข้อมูลจากทุกหน่วยงานที่เกี่ยวข้องเพื่อให้แน่ใจได้ว่าการปฏิบัติที่ไม่ถูกต้องและหรือธุรกรรมต้องสงสัยถูกตรวจจับ
8.1 หาก Trader สามารถทำธุรกรรมได้หลากหลายผลิตภัณฑ์ในหลายตลาด อาจถูกติดตามดูแลโดย Middle office ต่างทีมกัน จึงควรรวบรวมข้อมูลจาก Middle office ทุกทีมเพื่อใช้ติดตามผลการปฏิบัติงานของ Trader แต่ละราย นอกจากนี้ควรมีขั้นตอนการนำเสนอและการรวบรวมตัวชี้วัดจากหน่วยงานที่เกี่ยวข้องทั้งหมดเพื่อให้ผู้บริหารในห้องค้าและหน่วยงานที่ทำหน้าที่ควบคุมใช้ประเมินผลการปฏิบัติงาน Trader ได้อย่างครบถ้วนเหมาะสม
8.2 ตัวอย่างเช่น สง.มีการกำหนดว่า Trader ทำผิดกี่ครั้งจะได้รับ Yellow flag และกำหนดว่า Yellow flag กี่ครั้งจึงเท่ากับ Red flag เพื่อพิจารณาว่า Trader รายนั้นมีการทำผิดในเรื่องเดิมๆ หลายครั้งหรือไม่
8.3 สง. ควรให้ความสนใจกับข้อสังเกตของผู้ที่อยู่ภายนอกองค์กร เช่น การตั้งข้อสังเกตโดยตลาดหลักทรัพย์ว่าสง.มีการทำธุรกรรมซื้อขายในปริมาณที่ผิดปกติ สง. ควรมีการนำเสนอข้อมูลดังกล่าวร่วมกับข้อมูลต้องนำเสนอผู้บริหารด้วย เพื่อพิจารณาว่าควรตั้งเป็นข้อสังเกตและติดตามดูแลหรือไม่อย่างไร นอกจากนี้ประเด็นที่ถูกตั้งเป็นข้อสังเกตจากตลาดฯ ควรมีการสืบสวนหาข้อเท็จจริงโดยหน่วยงานที่เป็นอิสระจาก Trader หรือไม่

ยังครับ ยังไม่จบเท่านี้ ไว้คราวหน้าผมจะมาเล่าต่ออีกในกรณีศึกษา การทุจริตของธนาคาร Societe Generale (SG) ครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale (ต่อ)

พ.ค. 7, 2009

ดีใจได้เดี๋ยวเดียวเองครับ กับอินเตอร์เน็ตที่คิดว่าใช้งานได้ดีแล้ว คิดว่าวันนี้จะ update หัวข้อต่าง ๆ ที่ยังค้างคา อย่างกรณีเรื่องเล่าของ FSA ที่ยังค้างไว้เมื่อครั้งที่แล้ว และยังเรื่องของการบริหารความเสี่ยง หรือเรื่องของ CG อีก สุดท้ายก็ยังใช้งานได้ติด ๆ ขัด ๆ อยู่ดี แต่ผมตั้งใจไว้แล้วว่าวันนี้จะ update ให้ได้ ผมก็จะพยายามจนสุดความสามารถละกันนะครับ

จากกรณีศึกษา เรื่อง FSA – Financial Services Authority สอบสวนถึงกรณีการทุจริตของธนาคาร Societe Generale (SG) ซึ่งจะมีประโยชน์อย่างยิ่งต่อสถาบันการเงินทุกแห่ง รวมทั้งองค์กรที่ไม่ได้เป็นสถาบันการเงินด้วย ทั้งนี้เพราะข้อสังเกตของ FSA ซึ่งเป็นหน่วยงานกำกับของประเทศอังกฤษ ได้ร่วมกับหน่วยงานกำกับอื่น ๆ ในการศึกษาเพื่อป้องกันปัญหาการทุจริตในสถาบันการเงินต่อไปในอนาคตนั้น จะมีประโยชน์ในเชิงป้องกันปัญหาการทุจริตในวงการบริหารเงิน การกำกับสถาบันการเงินที่ไม่จำเป็นจะต้องเป็นผู้ค้าเงินด้วยก็ตาม

คำถามซึ่งผสมผสานไปด้วยข้อคิด และข้อสังเกตไปในตัวในแต่ละข้อนั้น มีลักษณะให้ผู้บริหารขององค์กรต้องตอบอย่างมั่นใจว่า องค์กรของตนได้มีการปฏิบัติที่เหมาะสมเกี่ยวกับการควบคุมความเสี่ยงต่าง ๆ ที่เกี่ยวข้องหรือไม่ ผมได้แนะนำให้สถาบันการเงินบางแห่งและองค์กรที่ไม่ใช่เป็นสถาบันการเงิน ได้นำข้อสังเกตกึ่งข้อแนะนำของ FSA นี้ไปใช้ในการทบทวนการป้องกันความเสี่ยงในแง่มุมต่าง ๆ ขององค์กรในเชิงรุก

ท่านผู้บริหารและผู้ตรวจสอบที่สนใจในเรื่องนี้ บางหน่วยงานให้ข้อสังเกตในลักษณะว่าเป็นเรื่องที่เกี่ยวข้องกับการค้าเงินของสถาบันการเงิน ซึ่งอาจไม่ตรงกับการดำเนินงานขององค์กรของตนมากนัก เรื่องนี้ผมใคร่ขอเรียนย้ำว่า ขอให้ท่านผู้บริหารได้โปรดศึกษาในเนื้อหาและสาเหตุของการทุจริตอย่างละเอียด และนำหลักการของ COSO – ERM มาประยุกต์ใช้และเปรียบเทียบ โดยใช้ดุลยพินิจและนำมาประยุกต์กับหน่วยงานของท่าน โดยการตั้งคำถามในเรื่องที่เกี่ยวข้องเช่นเดียวกับที่ FSA ได้ตั้งคำถามและนำคำตอบหลากหลายนั้น มาตั้งคำถามเพิ่มเติมเพื่อให้ได้คำตอบในแง่มุมที่เกี่ยวข้อง และตั้งคำถามจากคำตอบหลังสุดนั้นไปเรื่อย ๆ อย่างเป็นกระบวนการตามหลักการของ COSO – ERM ผสมผสานกับหลักการของ COBIT ภายใต้ร่มของ IT Governance ท่านผู้บริหารก็จะได้ภาพที่น่าสนใจอย่างยิ่ง ที่สามารถนำมาสร้างเป็นหลักการในการควบคุมความเสี่ยง รวมทั้งออกนโยบายที่เกี่ยวข้องได้อย่างเหมาะสมต่อไป

ความเสี่ยงในการตรวจสอบ (Audit Risk) ประการหนึ่งที่สำคัญอย่างยิ่ง ก็คือ ผู้ตรวจสอบไม่ได้ตรวจสอบหรือแม้แต่วางแผนการตรวจสอบ ประเด็นที่อาจปรับปรุงกระบวนการบริหารงานของผู้บริหารในองค์กรอย่างเป็นกระบวนการที่แท้จริง เช่น การมอบอำนาจให้กับผู้ที่เกี่ยวข้อง ซึ่งควรจะมีการควบคุมอย่างใกล้ชิดเพื่อรักษาดุลยภาพและความเหมาะสมในการให้อำนาจกับบุคคลนั้น ๆ โดยมี Dual Control ที่ได้ดุลยภาพผสมผสานกับการใช้เทคโนโลยีเข้าช่วยในการควบคุมและรายงานสิ่งผิดปกติ ที่อาจจะเกิดขึ้นได้ ซึ่งเรื่องนี้อาจเปรียบเทียบได้กับกรณีของ ธอส. ซึ่งกระทรวงการคลังกำลังขอให้ผู้บริหารของ ธอส. ชี้แจงในเรื่องนี้ ซึ่งมีแง่มุมที่น่าสนใจที่อาจนำมาแลกเปลี่ยนความคิดเห็นในโอกาสต่อไป

วันนี้ ผมจึงขอนำข้อสังเกตจากกรณีศึกษาของ FSA กรณีการทุจริตของ Societe Generale (SG) มาเล่าต่อจากวันก่อน เพื่อให้ท่านที่สนใจได้ช่วยกันวิเคราะห์ และจะมีประโยชน์อย่างยิ่ง หากผู้บริหารของสถาบันการเงินและองค์กรที่เกี่ยวข้องกับการบริหารเงินจะได้สนใจ และประเมินศักยภาพของผู้บริหารและผู้ตรวจสอบภายในในองค์กรของท่านต่อไป

Control functions: culture and challenge
3. สง. มั่นใจได้อย่างไรว่าหน่วยงานที่ทำหน้าที่ควบคุมมีความรู้และทักษะเพียงพอ เพื่อสามารถติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพ
4. สง. มั่นใจได้อย่างไรว่าระบบการสอบทานและควบคุม ทำงานได้อย่างมีประสิทธิภาพตามที่คาดหวัง
4.1 สง. ควรมีการพิจารณาอย่างสม่ำเสมอว่าบุคลากรทุกคนที่ทำหน้าที่เกี่ยวข้องกับการควบคุม ( Control function ) มีความรู้ความสามารถและมีอำนาจในการติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพเมื่อมีการทำธุรกรรมที่เกิน Limit หรือเมื่อเกิดเหตุการณ์ที่น่าสงสัยขึ้น
4.2 Middle office และ Back office มีความเข้าใจหรือไม่ว่าเมื่อใดควรใช้ บัญชีพัก (Suspense account) ในการบันทึกรายการ ทั้งนี้เพื่อป้องกันการใช้ บัญชีพัก ผิดวัตถุประสงค์ของ Trader (อาจใช้ บัญชีพัก เพื่อซ่อนรายการทุจริต) นอกจากนี้ หากมีธุรกรรมต้องสงสัย สง. มีขั้นตอนการนำเสนอรายงานตามลำดับชั้นถึงผู้บริหารเพื่อการตัดสินใจหรือไม่
4.3 เพื่อความมีประสิทธิภาพของการปฏิบัติงาน สง.ควรมีการคัดเลือกและรักษาพนักงานที่มีคุณภาพ รวมถึงมีการฝึกอบรมพนักงานอย่างสม่ำเสมอ

Risk management and limit
5. สง. มั่นใจได้อย่างไรว่ามีการตรวจสอบความเสี่ยงทุกประเภทที่มีนัยสำคัญได้อย่างถูกต้องครบถ้วน เช่น Exotic risk, Basic risk เป็นต้น
6. สง. มั่นใจได้อย่างไรว่า Limit ที่มีครอบคลุมความเสี่ยงทุกประเภทอย่างเหมาะสม และมีการติดตามความเสี่ยงทั้งหมดเป็นประจำอย่างสม่ำเสมอ
6.1 สง. ควรมีเครื่องมือที่สามารถตรวจสอบ Position ของ Trader โดยเปรียบเทียบกับอำนาจการทำธุรกรรมและ Limit ที่ Trader ได้รับ นอกจากนี้ควรเทียบ Position ของ Trader ว่ามีสัดส่วนเท่าใดของ Position ทั้ง Desk เพื่อทราบว่าธุรกรรมของ Trader รายนั้นต้องติดตามดูแลเป็นพิเศษหรือไม่
6.2 สง. ควรต้องติดตามดูแลความเสี่ยงที่อาจตรวจวัดได้ยาก เช่น Exotic and Higher order risk, Basic risk และ Liquidity risk ซึ่งในกรณีนี้ สง.ควรใช้เครื่องมือที่มีประโยชน์ เช่น Gross notional limit หรือ Gross sensitivity limits เพื่อควบคุมความเสี่ยงดังกล่าว

Management information
7. ตัวชี้วัดผลการปฏิบัติงานที่ใช้เป็นข้อมูลในการบริหารมีความละเอียดและเหมาะสมเพียงพอหรือไม่
8. สง. มีการรวบรวมข้อมูลจากทุกหน่วยงานที่เกี่ยวข้องเพื่อให้แน่ใจได้ว่าการปฏิบัติที่ไม่ถูกต้องและหรือธุรกรรมต้องสงสัยถูกตรวจจับ
8.1 หาก Trader สามารถทำธุรกรรมได้หลากหลายผลิตภัณฑ์ในหลายตลาด อาจถูกติดตามดูแลโดย Middle office ต่างทีมกัน จึงควรรวบรวมข้อมูลจาก Middle office ทุกทีมเพื่อใช้ติดตามผลการปฏิบัติงานของ Trader แต่ละราย นอกจากนี้ควรมีขั้นตอนการนำเสนอและการรวบรวมตัวชี้วัดจากหน่วยงานที่เกี่ยวข้องทั้งหมดเพื่อให้ผู้บริหารในห้องค้าและหน่วยงานที่ทำหน้าที่ควบคุมใช้ประเมินผลการปฏิบัติงาน Trader ได้อย่างครบถ้วนเหมาะสม
8.2 ตัวอย่างเช่น สง.มีการกำหนดว่า Trader ทำผิดกี่ครั้งจะได้รับ Yellow flag และกำหนดว่า Yellow flag กี่ครั้งจึงเท่ากับ Red flag เพื่อพิจารณาว่า Trader รายนั้นมีการทำผิดในเรื่องเดิมๆ หลายครั้งหรือไม่
8.3 สง. ควรให้ความสนใจกับข้อสังเกตของผู้ที่อยู่ภายนอกองค์กร เช่น การตั้งข้อสังเกตโดยตลาดหลักทรัพย์ว่าสง.มีการทำธุรกรรมซื้อขายในปริมาณที่ผิดปกติ สง. ควรมีการนำเสนอข้อมูลดังกล่าวร่วมกับข้อมูลต้องนำเสนอผู้บริหารด้วย เพื่อพิจารณาว่าควรตั้งเป็นข้อสังเกตและติดตามดูแลหรือไม่อย่างไร นอกจากนี้ประเด็นที่ถูกตั้งเป็นข้อสังเกตจากตลาดฯ ควรมีการสืบสวนหาข้อเท็จจริงโดยหน่วยงานที่เป็นอิสระจาก Trader หรือไม่

ยังครับ ยังไม่จบเท่านี้ ไว้คราวหน้าผมจะมาเล่าต่ออีกในกรณีศึกษา การทุจริตของธนาคาร Societe Generale (SG) ครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale

พ.ค. 4, 2009

หลังจากที่ผมได้หยุดพักผ่อนเนื่องในวันสงกรานต์หลายวัน และหลังจากนั้นก็มีกิจกรรมที่ทำให้ไม่สามารถ Update ข้อมูลได้ตามที่ตั้งใจไว้ ก็ต้องขออภัยด้วยนะครับ

พอดี ผมได้อ่านพบข่าวที่น่าสนใจในหนังสือพิมพ์เกี่ยวกับการทุจริต วงเงินประมาณ 400 ล้านบาท ของธนาคารอาคารสงเคราะห์ (ตามข่าว) ที่เกี่ยวข้องกับ Operational Risk ซึ่งประกอบไปด้วย People Risk + Process Risk + Technology Risk (PPT) ซึ่งเป็นความเสี่ยงที่มีน้ำหนักสูงสุดของความเสี่ยงในวงการสถาบันการเงิน และไม่ใช่สถาบันการเงิน ทำให้นึกถึงเหตุการณ์กรณีทุจริตของธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ซึ่งเกิดการทุจริตเมื่อประมาณปีเศษ ๆ และมีความเสียหายสูงถึง ประมาณ 3 แสนล้านบาท

การบริหารความเสี่ยงเป็นการบริหารเชิงรุกที่จะต้องป้องกันปัญหาก่อนที่จะเกิดปัญหา โดยมองเหตุการณ์ที่อาจจะเกิดขึ้นในภายภาคหน้า ไม่ว่าจะเป็นปัจจัยภายในหรือปัจจัยภายนอก ตามหลักการของ COSO – ERM ที่เกี่ยวข้องกับการบริหารความเสี่ยงระดับองค์กร เพื่อบรรลุวัตถุประสงค์หลัก ๆ 4 ด้านด้วยกันก็คือ S – O – F – C
S = Strategic, O = Operational, F = Financial and Reproting, C = Compliance

ผมยังจะไม่วิจารณ์มุมมองที่เกี่ยวข้องกับการบริหารความเสี่ยงที่มีผลจาก Operational Risk ที่เกิดจาก PPT ของธนาคารอาคารสงเคราะห์ตามที่เป็นข่าวทั้งระบบ แต่จะให้ข้อสังเกตว่า กรณีการทุจริตของธนาคาร Societe Generale ซึ่งเกิดการทุจริตในการค้าเงินอันเกิดมาจาก Operational Risk เช่นกันนั้น เป็นเรื่องที่น่าศึกษาอย่างยิ่ง เพราะมีความเสียหายอย่างมหาศาลที่ผู้บริหารทุกระดับไม่อาจจะติดตาม ไม่อาจตรวจสอบ และรวมทั้ง ไม่อาจกำกับความเสี่ยงที่เกิดจาก PPT โดยเฉพาะอย่างยิ่งบุคลากรที่เกี่ยวข้องนั้น มีความเก่งทางด้าน IT เป็นเลิศ

ผมจึงขอให้ข้อสังเกตที่เป็นบทความของ FSA ที่เกี่ยวข้องกับการสอบสวนกรณีนี้ และถือว่าเป็น Lesson Learned ที่ดีมากในวงการสถาบันการเงิน และวงการ IT แต่เป็นที่น่าเสียดายอย่างยิ่ง เพราะเท่าที่ผมทราบ มีสถาบันการเงินจำนวนมากที่ไม่ได้นำ Lesson Learned กรณี Societe Generale มาใช้ในการประเมินตนเองในการบริหารความเสี่ยง ในลักษณะของ CSA – Control Self Assessment เพื่อหาทางป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในทำนองเดียวกัน หรือคล้าย ๆ กัน

บทความที่รายงานโดย FSA บางส่วนที่น่าจะเป็นประโยชน์อย่างยิ่งต่อการทำ CSA หรือ QAR (Quality Assurance Review) เพื่อสร้างคุณค่าเพิ่มโดยเสียเงินน้อยที่สุด หรือแทบไม่ต้องเสียเงินเลยนั้น สรุปได้ดังนี้

วันที่ 24 มกราคม 2551 Societe Generale (SG) ได้ประกาศว่า เมื่อวันที่ 18 มกราคม 2551 SG ตรวจพบการมีฐานะด้านสินทรัพย์จากธุรกรรม Futures ประมาณ 50,000 ล้านดอลล่าร์สหรัฐ
ในตลาด European Stock Market Indices ถึงสามแห่ง ซึ่งธุรกรรมดังกล่าวทำโดย Trader เพียงคนเดียว และมีผลให้ SG ขาดทุนถึง 4,900 ล้านดอลล่าร์สหรัฐ ก่อนที่จะมีการปิดฐานะเหล่านั้น (Trader ได้ทำการทุจริตเป็นระยะเวลาต่อเนื่องยาวนาน โดยที่ระบบตรวจสอบควบคุมของทางธนาคารไม่สามารถตรวจพบได้)

หลังจากที่ SG ได้มีการประกาศการทุจริตและผลขาดทุนออกมา Financial Services Authority (FSA) ซึ่งเป็นผู้กำกับดูแล สง.ในประเทศอังกฤษ ได้ติดตามข่าวสารและติดต่อกับผู้กำกับดูแลในต่างประเทศอย่างใกล้ชิด เนื่องจาก FSA ตระหนักว่าควรมีการศึกษากรณีทุจริตดังกล่าวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่เช่นนี้อีกในอนาคต

FSA ได้หารืออย่างไม่เป็นทางการกับ Trading Bank ขนาดใหญ่ประมาณ 40-50 แห่ง ว่ามีความเห็นอย่างไรกับกรณี SG พบว่าธนาคารส่วนใหญ่มีการหารือกันภายในเกี่ยวกับกรณีดังกล่าวเพื่อประเมินตนเอง และหลายแห่งได้ระบุถึง Gap ในการทำธุรกรรม และพยายามปิด Gap ดังกล่าวโดยเร็ว

หลังจาก FSA ศึกษากรณีการทุจริตของ SG อย่างใกล้ชิดและหารือกับธนาคารต่างๆ จึงได้จัดทำแนวทางเพื่อให้ธนาคารใช้เพื่อตรวจสอบระบบและการควบคุมต่างๆ ของตนเอง เพื่อป้องกันการทำทุจริตของ Trader ดังนี้

Front Office Culture and Governance
1. สง. มั่นใจได้อย่างไรว่าการกำหนดผลตอบแทน (Incentives) จากการทำธุรกรรมเหมาะสม และไม่ก่อให้เกิดการละเลยในเรื่องการกำกับดูแล และหลักธรรมาภิบาลในห้องค้า
1.1 สง. ควรพิจารณาถึงคุณภาพของข้อมูลที่ใช้ในการบริหารจัดการประจำวันและรายงานเกี่ยวกับการยกเว้นต่างๆ (Exception report) ซึ่งนำเสนอผู้บริหาร ว่าเป็นปัจจุบัน ทันต่อเหตุการณ์ และสอดคล้องกับการเปลี่ยนแปลงของธุรกิจหรือไม่ รวมถึงเหตุการณ์การทุจริตของ Trader
ด้วย นอกจากนี้ สง. ควรพิจารณากำหนดหน้าที่และการรับผิดชอบที่ชัดเจนในการจัดทำรายงาน รวมถึงการกำหนดผลตอบแทนที่เหมาะสมเพื่อส่งเสริมให้มีการกำกับและควบคุมที่ดีในห้องค้า
1.2 หาก Trader มีการยกเลิก หรือแก้ไขการซื้อขายบ่อยครั้งในระยะเวลาหนึ่งๆ สง. ควรให้ความสนใจติดตามเป็นพิเศษโดยผ่านรายงานประจำวันและระบุว่ารายการดังกล่าวเป็นของ Trader รายใด เพื่อให้ผู้บริหารในห้องค้าและผู้ที่ทำหน้าที่ในการควบคุมได้ติดตามดูแลอย่างใกล้ชิด
1.3 สง. ควรจะพิจารณาถึงวัฒนธรรมของห้องค้าว่าสามารถป้องกันการทุจริตของ Trader ได้หรือไม่ เช่น การลาหยุดประจำปีมีข้อบังคับให้ลาพักผ่อนติดต่อกัน 2 สัปดาห์ต่อปี Trader ปฏิบัติตามโดยเคร่งครัดหรือไม่ และในระหว่างที่ Trader หยุดพักผ่อนควรสังเกตว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ (ข้อบังคับเรื่องการลาหยุดพักผ่อนเป็นเครื่องมือที่ดีในการตรวจสอบ Trader ที่ทำการทุจริต)

Trading mandates and limits
2. สง. มั่นใจได้อย่างไรว่า การมอบอำนาจในการทำธุรกรรมมีความเหมาะสม มีการปรับให้เป็นปัจจุบัน และมีการติดตามดูแลอย่างใกล้ชิด
2.1 สง. ควรพิจารณาว่าอำนาจในการทำธุรกรรมของ Trader แต่ละรายมีความเหมาะสมหรือไม่ เช่น พิจารณาความสอดคล้องของการกำหนดผลิตภัณฑ์และตลาดที่ Trader สามารถทำธุรกรรมรวมทั้ง Limit ที่ได้รับ นอกจากนี้ ควรให้ผู้ที่เกี่ยวข้องทุกคนลงนามรับทราบข้อกำหนดและ Limit ต่างๆ ร่วมกัน
2.2 สง. ควรพิจารณาว่าข้อกำหนดและ Limit ต่างๆ Trader ได้นำไปปฏิบัติอย่างถูกต้อง โดยมี ผู้บริหารห้องค้าและหน่วยงานอิสระที่ทำหน้าที่ควบคุม ติดตามดูแลอย่างใกล้ชิด นอกจากนี้ สง. มีการกำหนดขั้นตอนที่เหมาะสมในการสอบสวนและนำเสนอผลการสอบสวนเป็นลำดับชั้นเมื่อเกิดการละเมิดข้อกำหนดต่างๆ หรือไม่

เรื่องนี้ ธนาคารแห่งประเทศไทยก็ให้ความสนใจและมีการศึกษาเรื่องนี้กันเป็นพิเศษ ซึ่งเข้าใจว่าคงจะมีการให้คำแนะนำ หรือนำไปใช้ในการทดสอบความพร้อมของสถาบันการเงิน ในเรื่องที่เกี่ยวข้องกับจุดอ่อนในการค้าเงินต่อไปแล้ว

ท่านที่สนใจลองนำคำถามและข้อแนะนำบางประการที่กล่าวข้างต้นไปประเมินตนเองในลักษณะ CSA หรือ QAR อย่างเป็นระบบ เพื่อจัดให้มีการควบคุมความเสี่ยงต่าง ๆ ที่ผมคิดว่า สถาบันการเงินทุกแห่งมีปัญหาเหล่านี้ไม่มากก็น้อย แล้วคำถามและข้อสังเกตอื่น ๆ จะได้นำมาเล่าสู่กันฟังต่อนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale

พ.ค. 4, 2009

หลังจากที่ผมได้หยุดพักผ่อนเนื่องในวันสงกรานต์หลายวัน และหลังจากนั้นก็มีกิจกรรมที่ทำให้ไม่สามารถ Update ข้อมูลได้ตามที่ตั้งใจไว้ ก็ต้องขออภัยด้วยนะครับ

พอดี ผมได้อ่านพบข่าวที่น่าสนใจในหนังสือพิมพ์เกี่ยวกับการทุจริต วงเงินประมาณ 400 ล้านบาท ของธนาคารอาคารสงเคราะห์ (ตามข่าว) ที่เกี่ยวข้องกับ Operational Risk ซึ่งประกอบไปด้วย People Risk + Process Risk + Technology Risk (PPT) ซึ่งเป็นความเสี่ยงที่มีน้ำหนักสูงสุดของความเสี่ยงในวงการสถาบันการเงิน และไม่ใช่สถาบันการเงิน ทำให้นึกถึงเหตุการณ์กรณีทุจริตของธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ซึ่งเกิดการทุจริตเมื่อประมาณปีเศษ ๆ และมีความเสียหายสูงถึง ประมาณ 3 แสนล้านบาท

การบริหารความเสี่ยงเป็นการบริหารเชิงรุกที่จะต้องป้องกันปัญหาก่อนที่จะเกิดปัญหา โดยมองเหตุการณ์ที่อาจจะเกิดขึ้นในภายภาคหน้า ไม่ว่าจะเป็นปัจจัยภายในหรือปัจจัยภายนอก ตามหลักการของ COSO – ERM ที่เกี่ยวข้องกับการบริหารความเสี่ยงระดับองค์กร เพื่อบรรลุวัตถุประสงค์หลัก ๆ 4 ด้านด้วยกันก็คือ S – O – F – C
S = Strategic, O = Operational, F = Financial and Reproting, C = Compliance

ผมยังจะไม่วิจารณ์มุมมองที่เกี่ยวข้องกับการบริหารความเสี่ยงที่มีผลจาก Operational Risk ที่เกิดจาก PPT ของธนาคารอาคารสงเคราะห์ตามที่เป็นข่าวทั้งระบบ แต่จะให้ข้อสังเกตว่า กรณีการทุจริตของธนาคาร Societe Generale ซึ่งเกิดการทุจริตในการค้าเงินอันเกิดมาจาก Operational Risk เช่นกันนั้น เป็นเรื่องที่น่าศึกษาอย่างยิ่ง เพราะมีความเสียหายอย่างมหาศาลที่ผู้บริหารทุกระดับไม่อาจจะติดตาม ไม่อาจตรวจสอบ และรวมทั้ง ไม่อาจกำกับความเสี่ยงที่เกิดจาก PPT โดยเฉพาะอย่างยิ่งบุคลากรที่เกี่ยวข้องนั้น มีความเก่งทางด้าน IT เป็นเลิศ

ผมจึงขอให้ข้อสังเกตที่เป็นบทความของ FSA ที่เกี่ยวข้องกับการสอบสวนกรณีนี้ และถือว่าเป็น Lesson Learned ที่ดีมากในวงการสถาบันการเงิน และวงการ IT แต่เป็นที่น่าเสียดายอย่างยิ่ง เพราะเท่าที่ผมทราบ มีสถาบันการเงินจำนวนมากที่ไม่ได้นำ Lesson Learned กรณี Societe Generale มาใช้ในการประเมินตนเองในการบริหารความเสี่ยง ในลักษณะของ CSA – Control Self Assessment เพื่อหาทางป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในทำนองเดียวกัน หรือคล้าย ๆ กัน

บทความที่รายงานโดย FSA บางส่วนที่น่าจะเป็นประโยชน์อย่างยิ่งต่อการทำ CSA หรือ QAR (Quality Assurance Review) เพื่อสร้างคุณค่าเพิ่มโดยเสียเงินน้อยที่สุด หรือแทบไม่ต้องเสียเงินเลยนั้น สรุปได้ดังนี้

วันที่ 24 มกราคม 2551 Societe Generale (SG) ได้ประกาศว่า เมื่อวันที่ 18 มกราคม 2551 SG ตรวจพบการมีฐานะด้านสินทรัพย์จากธุรกรรม Futures ประมาณ 50,000 ล้านดอลล่าร์สหรัฐ
ในตลาด European Stock Market Indices ถึงสามแห่ง ซึ่งธุรกรรมดังกล่าวทำโดย Trader เพียงคนเดียว และมีผลให้ SG ขาดทุนถึง 4,900 ล้านดอลล่าร์สหรัฐ ก่อนที่จะมีการปิดฐานะเหล่านั้น (Trader ได้ทำการทุจริตเป็นระยะเวลาต่อเนื่องยาวนาน โดยที่ระบบตรวจสอบควบคุมของทางธนาคารไม่สามารถตรวจพบได้)

หลังจากที่ SG ได้มีการประกาศการทุจริตและผลขาดทุนออกมา Financial Services Authority (FSA) ซึ่งเป็นผู้กำกับดูแล สง.ในประเทศอังกฤษ ได้ติดตามข่าวสารและติดต่อกับผู้กำกับดูแลในต่างประเทศอย่างใกล้ชิด เนื่องจาก FSA ตระหนักว่าควรมีการศึกษากรณีทุจริตดังกล่าวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่เช่นนี้อีกในอนาคต

FSA ได้หารืออย่างไม่เป็นทางการกับ Trading Bank ขนาดใหญ่ประมาณ 40-50 แห่ง ว่ามีความเห็นอย่างไรกับกรณี SG พบว่าธนาคารส่วนใหญ่มีการหารือกันภายในเกี่ยวกับกรณีดังกล่าวเพื่อประเมินตนเอง และหลายแห่งได้ระบุถึง Gap ในการทำธุรกรรม และพยายามปิด Gap ดังกล่าวโดยเร็ว

หลังจาก FSA ศึกษากรณีการทุจริตของ SG อย่างใกล้ชิดและหารือกับธนาคารต่างๆ จึงได้จัดทำแนวทางเพื่อให้ธนาคารใช้เพื่อตรวจสอบระบบและการควบคุมต่างๆ ของตนเอง เพื่อป้องกันการทำทุจริตของ Trader ดังนี้

Front Office Culture and Governance
1. สง. มั่นใจได้อย่างไรว่าการกำหนดผลตอบแทน (Incentives) จากการทำธุรกรรมเหมาะสม และไม่ก่อให้เกิดการละเลยในเรื่องการกำกับดูแล และหลักธรรมาภิบาลในห้องค้า
1.1 สง. ควรพิจารณาถึงคุณภาพของข้อมูลที่ใช้ในการบริหารจัดการประจำวันและรายงานเกี่ยวกับการยกเว้นต่างๆ (Exception report) ซึ่งนำเสนอผู้บริหาร ว่าเป็นปัจจุบัน ทันต่อเหตุการณ์ และสอดคล้องกับการเปลี่ยนแปลงของธุรกิจหรือไม่ รวมถึงเหตุการณ์การทุจริตของ Trader
ด้วย นอกจากนี้ สง. ควรพิจารณากำหนดหน้าที่และการรับผิดชอบที่ชัดเจนในการจัดทำรายงาน รวมถึงการกำหนดผลตอบแทนที่เหมาะสมเพื่อส่งเสริมให้มีการกำกับและควบคุมที่ดีในห้องค้า
1.2 หาก Trader มีการยกเลิก หรือแก้ไขการซื้อขายบ่อยครั้งในระยะเวลาหนึ่งๆ สง. ควรให้ความสนใจติดตามเป็นพิเศษโดยผ่านรายงานประจำวันและระบุว่ารายการดังกล่าวเป็นของ Trader รายใด เพื่อให้ผู้บริหารในห้องค้าและผู้ที่ทำหน้าที่ในการควบคุมได้ติดตามดูแลอย่างใกล้ชิด
1.3 สง. ควรจะพิจารณาถึงวัฒนธรรมของห้องค้าว่าสามารถป้องกันการทุจริตของ Trader ได้หรือไม่ เช่น การลาหยุดประจำปีมีข้อบังคับให้ลาพักผ่อนติดต่อกัน 2 สัปดาห์ต่อปี Trader ปฏิบัติตามโดยเคร่งครัดหรือไม่ และในระหว่างที่ Trader หยุดพักผ่อนควรสังเกตว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ (ข้อบังคับเรื่องการลาหยุดพักผ่อนเป็นเครื่องมือที่ดีในการตรวจสอบ Trader ที่ทำการทุจริต)

Trading mandates and limits
2. สง. มั่นใจได้อย่างไรว่า การมอบอำนาจในการทำธุรกรรมมีความเหมาะสม มีการปรับให้เป็นปัจจุบัน และมีการติดตามดูแลอย่างใกล้ชิด
2.1 สง. ควรพิจารณาว่าอำนาจในการทำธุรกรรมของ Trader แต่ละรายมีความเหมาะสมหรือไม่ เช่น พิจารณาความสอดคล้องของการกำหนดผลิตภัณฑ์และตลาดที่ Trader สามารถทำธุรกรรมรวมทั้ง Limit ที่ได้รับ นอกจากนี้ ควรให้ผู้ที่เกี่ยวข้องทุกคนลงนามรับทราบข้อกำหนดและ Limit ต่างๆ ร่วมกัน
2.2 สง. ควรพิจารณาว่าข้อกำหนดและ Limit ต่างๆ Trader ได้นำไปปฏิบัติอย่างถูกต้อง โดยมี ผู้บริหารห้องค้าและหน่วยงานอิสระที่ทำหน้าที่ควบคุม ติดตามดูแลอย่างใกล้ชิด นอกจากนี้ สง. มีการกำหนดขั้นตอนที่เหมาะสมในการสอบสวนและนำเสนอผลการสอบสวนเป็นลำดับชั้นเมื่อเกิดการละเมิดข้อกำหนดต่างๆ หรือไม่

เรื่องนี้ ธนาคารแห่งประเทศไทยก็ให้ความสนใจและมีการศึกษาเรื่องนี้กันเป็นพิเศษ ซึ่งเข้าใจว่าคงจะมีการให้คำแนะนำ หรือนำไปใช้ในการทดสอบความพร้อมของสถาบันการเงิน ในเรื่องที่เกี่ยวข้องกับจุดอ่อนในการค้าเงินต่อไปแล้ว

ท่านที่สนใจลองนำคำถามและข้อแนะนำบางประการที่กล่าวข้างต้นไปประเมินตนเองในลักษณะ CSA หรือ QAR อย่างเป็นระบบ เพื่อจัดให้มีการควบคุมความเสี่ยงต่าง ๆ ที่ผมคิดว่า สถาบันการเงินทุกแห่งมีปัญหาเหล่านี้ไม่มากก็น้อย แล้วคำถามและข้อสังเกตอื่น ๆ จะได้นำมาเล่าสู่กันฟังต่อนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Audit Risk & Auditors ในบางมุมมอง

เมษายน 11, 2009

ก่อนช่วงวันหยุดยาวในเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการตรวจสอบที่ผู้ที่เกี่ยวข้องควรจะเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศที่ถูกต้องและน่าเชื่อถือได้ในมุมมองต่าง ๆ ตามที่ได้กล่าวไปแล้วนั้น จะเป็นบันไดขั้นต้นที่สำคัญอย่างยิ่งต่อกระบวนการตรวจสอบและการกำกับของหน่วยงานที่เกี่ยวข้อง

ภาพต่อไปนี้จะช่วยให้ Auditors และผู้บริหารที่เกี่ยวข้องได้เข้าใจถึง Audit Risk บางมุมมองตามที่ผมได้กล่าวข้างต้นได้ดีนะครับ ทั้งนี้ หาก Auditors จะประเมินตนเองในลักษณะ CSA – Control Self Assessment ก็จะเห็นภาพและเกิดความคิดที่เด่นชัดถึง Audit Risk และ Impact ที่เกี่ยวข้องกับกระบวนการตรวจสอบ เพื่อจะได้ทบทวนกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ รวมทั้งการจัดทำรายงานการตรวจสอบต่อไปครับ

Basel II Components & Audit Understanding & Audit Planning

Basel II Components & Audit Understanding & Audit Planning

ความเสี่ยงที่สำคัญของการตรวจสอบในทุกประเภท (Audit Risk) ทั้ง IT และ Non – IT Audit บางมุมมองก็คือ

1. การละเลย หรือการไม่ให้ความสนใจต่อความถูกต้องและความน่าเชื่อถือได้ รวมทั้งสภาพพร้อมใช้งาน และอื่น ๆ ของสารสนเทศที่ใช้ในการตรวจสอบ โดยมีสาเหตุหลักมาจากผู้บริหารให้ความสำคัญเกี่ยวกับ IT Security ที่มีผลต่อกระบวนการบริหารและการจัดการขององค์กรน้อยกว่าที่ควรจะเป็น++

2. มีการแบ่งแยกหน้าที่ระหว่างการตรวจสอบทางด้าน IT Audit และ Non – IT Audit แต่ขาดการประสานงาน และความร่วมมือ รวมทั้งความเข้าใจร่วมที่มีผลต่อการตรวจสอบ ที่เกิดจาก IT Audit ที่มีต่อ Financial Audit, Compliance Audit, Performance Audit, Operational Audit, Fraud Audit, Management Audit และอื่น ๆ

3. คู่มือหรือแนวทางการตรวจสอบ IT Audit และ Non – IT Audit ขาดความเชื่อมโยงที่อาจจะเรียกว่าเป็นสะพานเชื่อมความเข้าใจ ที่เชื่อมข้อมูลระหว่างผลกระทบต่อ IT Risk ต่อ Business Risk ในแง่มุมต่าง ๆ ที่มีผลต่องบการเงิน รายงานทางการเงิน และรายงานประเภทต่าง ๆ ทั้งนี้เพราะ ขาดการมอง/พิจารณาภาพรวมในระดับ High – Level ที่เป็นรูปธรรม

4. ผลของการตรวจสอบ IT Audit ได้รับความสนใจจากคณะกรรมการตรวจสอบ และผู้บริหารที่เกี่ยวข้องขององค์กร น้อยกว่าผลการตรวจสอบทางด้าน Non – IT Audit เป็นอย่างมาก ทั้ง ๆ ที่รายงานของ IT Audit โดยเฉพาะอย่างยิ่ง รายงานที่เกี่ยวข้องกับ IT Security และการบริหารจัดการสารสนเทศมีผลต่อกระบวนการทาง IT Audit เป็นอย่างมาก

5. ผู้ตรวจสอบจำนวนไม่น้อย ไม่ได้ศึกษา Work flow ของระบบงานที่จะตรวจสอบให้ดีพอว่าส่วนใดที่ Process โดยระบบคอมพิวเตอร์ล้วน ๆ ระบบหรืองานใดที่ Process โดย Manual ล้วน ๆ หรือระบบงานใด หรือกระบวนการงานใดที่ Process โดย IT และ Non – IT ผสมกันไป เช่น ระบบ front office ประมวลผลโดยระบบคอมพิวเตอร์ล้วน ๆ แต่ระบบ middle office และ back office ใช้ระบบ Manual หรือผสมการใช้เครื่องมือคอมพิวเตอร์บางส่วน เช่น excel เข้ามาช่วย ++

ซึ่งกระบวนการประมวลงานตามข้อนี้ จะมีความเสี่ยงจาก Audit Risk และ Operational Risk สูงที่สุด รวมทั้งผลกระทบจากความเสี่ยงในเรื่องนี้จะมีผลต่อ Strategic Risk, Financial Risk, Compliance Risk อย่างสำคัญ ที่อาจมีผลต่อกระบวนการบันทึกบัญชี และการจัดทำรายงานที่อาจจะก่อให้เกิดการผิดพลาด รวมทั้งการทุจริตที่เกิดจากช่องว่างที่เป็นรอยต่อของ Process ลูกผสมของระบบงานนั้น ๆ

เรื่องนี้ไว้หลังสงกรานต์ค่อยกลับมาเล่าสู่กันฟังอีกครั้งครับ

6. ความเสี่ยงที่เกิดจาก Audit Risk ต่อไปก็คือ ผู้ตรวจสอบไม่อาจหาหลักฐานเพื่อประกอบการตรวจสอบได้อย่างเหมาะสม เพื่อสนับสนุนความเห็นประกอบรายงานการตรวจสอบ

7. ผู้ตรวจสอบ ไม่ทราบว่าควรจะตรวจสอบอะไรก่อน – หลัง และผู้กำกับงานตรวจสอบก็ให้ความสนใจในกระบวนการตรวจสอบ โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ ซึ่งเป็นเรื่องสำคัญอย่างยิ่ง

8. การรวบรวมข้อมูลเพื่อการตรวจสอบ ที่เกิดจากความเข้าใจในระดับที่ไม่น่ายอมรับได้ มีผลต่อกระบวนการตรวจสอบอย่างมาก เพราะผู้ตรวจสอบขาดความเข้าใจในระบบการประมวลผลข้อมูล และเทคโนโลยีที่เกี่ยวข้องที่ก้าวหน้าไปอย่างไม่หยุดยั้ง และมีผลโดยตรงต่อประสบการณ์ของผู้ตรวจสอบ และผู้กำกับงานตรวจสอบ

9. การทดสอบระบบการควบคุมที่น่าเชื่อถือได้ของการประมวลผล และกระบวนการบริหารงานต่าง ๆ ซึ่งได้รับอิทธิพลจากการเปลี่ยนแปลงทางเทคโนโลยี และการใช้เครื่องมือใหม่ ๆ อย่างมากนั้น ได้ถูกละเลยเพราะ ผู้ตรวจสอบจำนวนหนึ่งได้ละเลยที่จะปฏิบัติงานในส่วนนี้ เนื่องจากศักยภาพในการตรวจสอบถูกกระทบจาก การประมวลผลในรูปแบบใหม่ ๆ นี่เป็นความเสี่ยงของ Audit Risk อย่างสำคัญ ไม่ว่าจะเป็นการตรวจสอบทางด้าน IT หรือ Non – IT ก็ตาม

10. การทำ Substive Test ซึ่งเป็นการทดสอบรายการทางการเงิน ซึ่งผู้ตรวจสอบเลือกที่จะใช้แทนการตรวจสอบหรือทดสอบการควบคุมในกระบวนการทำงาน โดยเฉพาะอย่างยิ่ง กระบวนการทำงานที่มาจาก IT Process นั้น โดยหลักการก็ใช้ได้ในระดับหนึ่ง และโดยปกติผู้ตรวจสอบก็มักจะใช้หลักการนี้กันอย่างแพร่หลาย เพราะค่อนข้างสะดวก และสอดคล้องกับระดับความรู้ และการตรวจสอบที่เป็นแบบ Conventional Audit ตามปกตินั้น ในหลายกรณีไม่อาจใช้ได้อย่างเหมาะสมกับการประมวลผลยุคใหม่ และเทคโนโลยีใหม่ ๆ เนื่องจากข้อมูลทางการเงินถูกควบคุมจากการประมวลผลด้วยระบบคอมพิวเตอร์ หรือจากการใช้เทคนิคการแก้ไข เปลี่ยนแปลงข้อมูลจาก Super Password หรือ Super ID หรือ จากจุดอ่อนที่มีต่อกระบวนการบริหารจัดการสารสนเทศ

ท่านผู้ตรวจสอบครับ เรื่องนี้เป็นเรื่องสำคัญอย่างยิ่งและยังเป็นจุดอ่อนที่สำคัญมากต่อ Audit Risk ที่ผมจะเล่าสู่กันฟังในโอกาสต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Audit Risk & Auditors ในบางมุมมอง

เมษายน 11, 2009

ก่อนช่วงวันหยุดยาวในเทศกาลสงกรานต์นี้ ผมอยากจะให้ท่านผู้อ่านเห็นถึงประโยชน์ของการตรวจสอบที่ผู้ที่เกี่ยวข้องควรจะเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศที่ถูกต้องและน่าเชื่อถือได้ในมุมมองต่าง ๆ ตามที่ได้กล่าวไปแล้วนั้น จะเป็นบันไดขั้นต้นที่สำคัญอย่างยิ่งต่อกระบวนการตรวจสอบและการกำกับของหน่วยงานที่เกี่ยวข้อง

ภาพต่อไปนี้จะช่วยให้ Auditors และผู้บริหารที่เกี่ยวข้องได้เข้าใจถึง Audit Risk บางมุมมองตามที่ผมได้กล่าวข้างต้นได้ดีนะครับ ทั้งนี้ หาก Auditors จะประเมินตนเองในลักษณะ CSA – Control Self Assessment ก็จะเห็นภาพและเกิดความคิดที่เด่นชัดถึง Audit Risk และ Impact ที่เกี่ยวข้องกับกระบวนการตรวจสอบ เพื่อจะได้ทบทวนกระบวนการวางแผนการตรวจสอบ และการปฏิบัติงานตรวจสอบ รวมทั้งการจัดทำรายงานการตรวจสอบต่อไปครับ

Basel II Components & Audit Understanding & Audit Planning

Basel II Components & Audit Understanding & Audit Planning

ความเสี่ยงที่สำคัญของการตรวจสอบในทุกประเภท (Audit Risk) ทั้ง IT และ Non – IT Audit บางมุมมองก็คือ

1. การละเลย หรือการไม่ให้ความสนใจต่อความถูกต้องและความน่าเชื่อถือได้ รวมทั้งสภาพพร้อมใช้งาน และอื่น ๆ ของสารสนเทศที่ใช้ในการตรวจสอบ โดยมีสาเหตุหลักมาจากผู้บริหารให้ความสำคัญเกี่ยวกับ IT Security ที่มีผลต่อกระบวนการบริหารและการจัดการขององค์กรน้อยกว่าที่ควรจะเป็น++

2. มีการแบ่งแยกหน้าที่ระหว่างการตรวจสอบทางด้าน IT Audit และ Non – IT Audit แต่ขาดการประสานงาน และความร่วมมือ รวมทั้งความเข้าใจร่วมที่มีผลต่อการตรวจสอบ ที่เกิดจาก IT Audit ที่มีต่อ Financial Audit, Compliance Audit, Performance Audit, Operational Audit, Fraud Audit, Management Audit และอื่น ๆ

3. คู่มือหรือแนวทางการตรวจสอบ IT Audit และ Non – IT Audit ขาดความเชื่อมโยงที่อาจจะเรียกว่าเป็นสะพานเชื่อมความเข้าใจ ที่เชื่อมข้อมูลระหว่างผลกระทบต่อ IT Risk ต่อ Business Risk ในแง่มุมต่าง ๆ ที่มีผลต่องบการเงิน รายงานทางการเงิน และรายงานประเภทต่าง ๆ ทั้งนี้เพราะ ขาดการมอง/พิจารณาภาพรวมในระดับ High – Level ที่เป็นรูปธรรม

4. ผลของการตรวจสอบ IT Audit ได้รับความสนใจจากคณะกรรมการตรวจสอบ และผู้บริหารที่เกี่ยวข้องขององค์กร น้อยกว่าผลการตรวจสอบทางด้าน Non – IT Audit เป็นอย่างมาก ทั้ง ๆ ที่รายงานของ IT Audit โดยเฉพาะอย่างยิ่ง รายงานที่เกี่ยวข้องกับ IT Security และการบริหารจัดการสารสนเทศมีผลต่อกระบวนการทาง IT Audit เป็นอย่างมาก

5. ผู้ตรวจสอบจำนวนไม่น้อย ไม่ได้ศึกษา Work flow ของระบบงานที่จะตรวจสอบให้ดีพอว่าส่วนใดที่ Process โดยระบบคอมพิวเตอร์ล้วน ๆ ระบบหรืองานใดที่ Process โดย Manual ล้วน ๆ หรือระบบงานใด หรือกระบวนการงานใดที่ Process โดย IT และ Non – IT ผสมกันไป เช่น ระบบ front office ประมวลผลโดยระบบคอมพิวเตอร์ล้วน ๆ แต่ระบบ middle office และ back office ใช้ระบบ Manual หรือผสมการใช้เครื่องมือคอมพิวเตอร์บางส่วน เช่น excel เข้ามาช่วย ++

ซึ่งกระบวนการประมวลงานตามข้อนี้ จะมีความเสี่ยงจาก Audit Risk และ Operational Risk สูงที่สุด รวมทั้งผลกระทบจากความเสี่ยงในเรื่องนี้จะมีผลต่อ Strategic Risk, Financial Risk, Compliance Risk อย่างสำคัญ ที่อาจมีผลต่อกระบวนการบันทึกบัญชี และการจัดทำรายงานที่อาจจะก่อให้เกิดการผิดพลาด รวมทั้งการทุจริตที่เกิดจากช่องว่างที่เป็นรอยต่อของ Process ลูกผสมของระบบงานนั้น ๆ

เรื่องนี้ไว้หลังสงกรานต์ค่อยกลับมาเล่าสู่กันฟังอีกครั้งครับ

6. ความเสี่ยงที่เกิดจาก Audit Risk ต่อไปก็คือ ผู้ตรวจสอบไม่อาจหาหลักฐานเพื่อประกอบการตรวจสอบได้อย่างเหมาะสม เพื่อสนับสนุนความเห็นประกอบรายงานการตรวจสอบ

7. ผู้ตรวจสอบ ไม่ทราบว่าควรจะตรวจสอบอะไรก่อน – หลัง และผู้กำกับงานตรวจสอบก็ให้ความสนใจในกระบวนการตรวจสอบ โดยเฉพาะอย่างยิ่งการวางแผนการตรวจสอบ ซึ่งเป็นเรื่องสำคัญอย่างยิ่ง

8. การรวบรวมข้อมูลเพื่อการตรวจสอบ ที่เกิดจากความเข้าใจในระดับที่ไม่น่ายอมรับได้ มีผลต่อกระบวนการตรวจสอบอย่างมาก เพราะผู้ตรวจสอบขาดความเข้าใจในระบบการประมวลผลข้อมูล และเทคโนโลยีที่เกี่ยวข้องที่ก้าวหน้าไปอย่างไม่หยุดยั้ง และมีผลโดยตรงต่อประสบการณ์ของผู้ตรวจสอบ และผู้กำกับงานตรวจสอบ

9. การทดสอบระบบการควบคุมที่น่าเชื่อถือได้ของการประมวลผล และกระบวนการบริหารงานต่าง ๆ ซึ่งได้รับอิทธิพลจากการเปลี่ยนแปลงทางเทคโนโลยี และการใช้เครื่องมือใหม่ ๆ อย่างมากนั้น ได้ถูกละเลยเพราะ ผู้ตรวจสอบจำนวนหนึ่งได้ละเลยที่จะปฏิบัติงานในส่วนนี้ เนื่องจากศักยภาพในการตรวจสอบถูกกระทบจาก การประมวลผลในรูปแบบใหม่ ๆ นี่เป็นความเสี่ยงของ Audit Risk อย่างสำคัญ ไม่ว่าจะเป็นการตรวจสอบทางด้าน IT หรือ Non – IT ก็ตาม

10. การทำ Substive Test ซึ่งเป็นการทดสอบรายการทางการเงิน ซึ่งผู้ตรวจสอบเลือกที่จะใช้แทนการตรวจสอบหรือทดสอบการควบคุมในกระบวนการทำงาน โดยเฉพาะอย่างยิ่ง กระบวนการทำงานที่มาจาก IT Process นั้น โดยหลักการก็ใช้ได้ในระดับหนึ่ง และโดยปกติผู้ตรวจสอบก็มักจะใช้หลักการนี้กันอย่างแพร่หลาย เพราะค่อนข้างสะดวก และสอดคล้องกับระดับความรู้ และการตรวจสอบที่เป็นแบบ Conventional Audit ตามปกตินั้น ในหลายกรณีไม่อาจใช้ได้อย่างเหมาะสมกับการประมวลผลยุคใหม่ และเทคโนโลยีใหม่ ๆ เนื่องจากข้อมูลทางการเงินถูกควบคุมจากการประมวลผลด้วยระบบคอมพิวเตอร์ หรือจากการใช้เทคนิคการแก้ไข เปลี่ยนแปลงข้อมูลจาก Super Password หรือ Super ID หรือ จากจุดอ่อนที่มีต่อกระบวนการบริหารจัดการสารสนเทศ

ท่านผู้ตรวจสอบครับ เรื่องนี้เป็นเรื่องสำคัญอย่างยิ่งและยังเป็นจุดอ่อนที่สำคัญมากต่อ Audit Risk ที่ผมจะเล่าสู่กันฟังในโอกาสต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความสำคัญของ Integrity of the Information ที่มีผลต่อกระบวนการบริหารและการตรวจสอบ (ต่อ)

เมษายน 4, 2009

อ่านส่วนที่เหลือของรายการนี้ »

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความสำคัญของ Integrity of the Information ที่มีผลต่อกระบวนการบริหารและการตรวจสอบ (ต่อ)

เมษายน 4, 2009

อ่านส่วนที่เหลือของรายการนี้ »

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

CoBIT – กระบวนการบริหารและการควบคุมสารสนเทศที่ดี เพื่อบรรลุ Business Objective

เมษายน 1, 2009

เมื่อวานนี้ ผมได้เล่าสู่กันฟังถึงเรื่องความสำคัญของข้อมูลและสารสนเทศที่ดี ที่มีผลต่อการบริหารและการตรวจสอบเป็นอย่างยิ่ง และได้กล่าวว่า กรอบการบริหารความเสี่ยงที่เกี่ยวข้องกับการควบคุมภายในระดับองค์กร ตามมาตรฐานของ COSO v.2 นั้น มีความสัมพันธ์ 100% กับ COBIT ภายใต้ร่ม IT Governance หรือกระบวนการบริหารและการควบคุมสารสนเทศที่ดี

หากมีความคิดเห็นที่แตกต่างกันจากที่ผมได้กล่าวข้างต้น น่าจะเป็นเรื่องที่สำคัญที่น่าจะหยิบยกมาคุยกันอย่างละเอียด เพื่อหาจุดยืนที่แท้จริง ก่อนก้าวไปสู่การบริหารและการตรวจสอบในมุมมองต่าง ๆ รวมทั้งกลยุทธ์ที่เกี่ยวข้องกับหลักการ Balance Scorecard

เราไม่ควรยึดตนเองเป็นศูนย์กลางของความรู้ และรีบสรุปว่า นี่คือสิ่งที่ถูกต้อง ดังนั้น เมื่อมีความคิดเห็นที่แตกต่างกัน โดยเฉพาะอย่างยิ่งมีนัยสำคัญที่เกี่ยวข้องกับ Data และ Integrity of the Information จำเป็นอย่างยิ่งที่เราควรจะมีจุดยืนร่วมกัน นั่นคือ ใช้ Best Practice (ถ้ามี) หรือใช้ Standard โดยเฉพาะอย่างยิ่งที่เป็น International Standard โดยมี KPI ที่วัดจาก Performance Measurement ที่ได้มาตรฐานที่เกี่ยวเนื่องกัน

วันนี้ผมจึงขออธิบายในรูปของ Slide ในทั้ง 2 เรื่องข้างต้นแทนการอธิบายด้วยคำพูดที่อาจจะเป็นที่น่าเบื่อหน่ายสำหรับท่านผู้รู้นะครับ

CoBIT – กระบวนการบริหารและการควบคุมสารสนเทศที่ดี

CoBIT – กระบวนการบริหารและการควบคุมสารสนเทศที่ดี

จากภาพข้างต้น ผมขอต่อด้วยการสร้างสะพานเชื่อมความเข้าใจระหว่างกระบวนการจัดการเทคโนโลยีกับการดุลยภาพการบริหารความเสี่ยง เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร ทั้งในรูปแบบ Intangible Assets และ Tangible Assets ซึ่งเรียกย่อ ๆ ว่า IT Governance โดยฺ Bridgeing กับบรรษัทภิบาล และ Corporate Governance เพื่อก้าวสู่การบริหารและการจัดการความเสี่ยงที่ดี ที่ได้ดุลยภาพในทุกระดับขององค์กร โดยเฉพาะอย่างยิ่งการตรวจสอบด้าน IT และ Non – IT

COBIT As a Meta framework

COBIT As a Meta framework

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »