การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (3)

มิถุนายน 21, 2013

สวัสดีครับทุกท่านที่ติดตามสาระ ความรู้จาก itgthailand.wordpress.com แห่งนี้ สำหรับการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือที่เรียกกันว่า CSA – Controls Self Assessment ที่ได้พูดคุยกันมาถึงตอนที่ 7 แล้ว ในครั้งก่อน ผมได้พูดถึง ความเสี่ยง การบริหารความเสี่ยง และทางเลือกในการบริหารความเสี่ยง พร้อมทั้งยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการในบางมุมมอง ซึ่งคาดว่าจะเป็นประโยชน์อย่างมากสำหรับการนำไปประยุกต์ใช้ให้เหมาะสมในแต่ละองค์กร และเมื่อพูดถึงความเสี่ยง การบริหารความเสี่ยงแล้ว แน่นอนว่าจะขาดไม่ได้ที่จะไม่กล่าวถึง การควบคุม (Control) ที่เป็นกระบวนการที่สำคัญและจำเป็นต่อการประเมินตนเองเพื่อการควบคุมความเสี่ยงขององค์กร

การควบคุม (Control) หมายถึง ขั้นตอน กระบวนการ หรือกลไกซึ่งองค์กรกำหนดขึ้นเพื่อให้มั่นใจว่า กิจกรรมในการดำเนินธุรกิจจะประสบความสำเร็จ และได้ผลลัพธ์ตามวัตถุประสงค์ที่ได้กำหนดไว้
การควบคุมเป็นกระบวนการตรวจสอบกิจกรรมเพื่อให้เกิดความมั่นใจว่าสามารถบรรลุวัตถุประสงค์ตามแผนที่กำหนดไว้
การควบคุมเป็นหน้าที่ที่สำคัญอย่างหนึ่งของการบริหาร การควบคุมมีความสัมพันธ์ใกล้ชิดกับการวางแผน เพราะการควบคุมเป็นเครื่องมือสำคัญในการกำหนดแผน การดำเนินการตามแผนและการประเมินผลตอบแทน

รูปแบบของการควบคุม
รูปแบบของการควบคุมจะแสดงให้เห็นถึงวิธีการตอบสนองต่อความเสี่ยง ซึ่งรูปแบบการควบคุมเหล่านี้ได้แก่
1. การป้องกัน (Preventive) คือความพยายามที่จะสกัดไม่ให้เกิดความเสี่ยงขึ้น เป็นการควบคุมล่วงหน้าก่อนที่จะเกิดความเสี่ยงขึ้น เช่น การขออนุมัติใบสั่งซื้อก่อน หรือการใส่รหัสลับในเครื่องคอมพิวเตอร์
2. การตรวจสอบ/ติดตาม(Detective) คือความพยายามในการติดตามความเสี่ยงที่เกิดขึ้นถึงแม้จะมีการควบคุมแบบการป้องกันแล้ว นั่นคือเมื่อมีความเสี่ยงเกิดขึ้น บริษัทจะจัดให้มีระบบการควบคุมความเสี่ยงขึ้นมา ซึ่งการติดตามที่ดีต้องมีระบบการสื่อสารที่ดีด้วย โดยต้องจัดให้มีระบบการสื่อสารที่รวดเร็วและสม่ำเสมอโดยวิธีการที่หลากหลาย
3. การกำกับ (Directive) คือความพยายามหลีกเลี่ยงความเสี่ยงโดยการกำหนดวิธีการเฉพาะที่เหมาะสม เป็นการเสนอให้ทำสิ่งที่ถูกต้อง (เป็นแนวทางหรือการฝึกอบรม)

จากรูปแบบการควบคุมข้างต้น จะเห็นได้ว่า นอกจากการควบคุมจะเป็นการป้องกันไม่ให้เกิดความเสี่ยงขึ้นแล้ว ยังมีรูปแบบอื่นที่สามารถทำได้อีก เช่น การติดตามความเสี่ยงที่อาจเกิดขึ้น หรือการให้คำแนะนำหรือฝึกอบรมพนักงานให้กับพนักงานเพื่อจัดการกับความเสี่ยง

การทำความเข้าใจเป้าหมายที่แท้จริงของระบบการควบคุบภายในจะช่วยให้สามารถบรรลุวัตถุประสงค์ของธุรกิจง่ายขึ้น โดยการประเมินความเสี่ยงเป็นวิธีการที่ง่ายที่สุดในการบรรลุวัตถุประสงค์ และสิ่งที่ต้องทำเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ คือ การระบุ/ บ่งชี้ปัจจัยเสี่ยง โดยการระบุปัจจัยเสี่ยงนี้ จะมีประโยชน์ในการออกแบบระบบการควบคุมความเสี่ยงที่เหมาะสมกับความเสี่ยงนั้น ๆ มีการกำหนดระบบการควบคุมที่มีต้นทุน-ประสิทธิผล ที่เหมาะสมมากที่สุด เพื่อบรรเทาผลกระทบจากความเสี่ยงที่เกิดขึ้น อันจะทำให้เราสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้

นอกจากนี้ยังควรตระหนักถึงความสัมพันธ์ระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงด้วย การควบคุมความเสี่ยงเกือบทั้งหมดจะใช้ในการบรรเทาความเสี่ยงที่เกิดขึ้นอันจะมีผลต่อการบรรลุวัตถุประสงค์ การออกแบบการควบคุมภายในเพียงอย่างเดียว ไม่สามารถนำไปใช้ในการบริหารความเสี่ยงทุกประเภทได้ การออกแบบการควบคุมความเสี่ยงโดยผู้ที่มีความรู้และประสบการณ์ใกล้ชิดกับงานที่ทำ น่าจะสามารถทำได้ดีกว่าการออกแบบการควบคุมที่เกิดขึ้นจากผู้บริหาร ผู้ตรวจสอบภายใน หรือผู้ที่ทำหน้าที่ในการประเมินตนเองเพื่อการควบคุมภายใน

กรอบการควบคุม ในการประเมินตนเองเพื่อควบคุมความเสี่ยง
กรอบการควบคุมความเสี่ยง (แบบจำลองการควบคุมความเสี่ยง) เป็นความหมายและโครงสร้างที่ใช้ในการอธิบายการควบคุมภายใน วิธีการนำเอาแบบจำลองการควบคุมความเสี่ยงไปปฏิบัที่ดีที่สุดคือ เริ่มจากการสัมภาษณ์มุมมองเชิงลึกถึงวิธีการที่องค์กรจะนำเอาแบบจำลองการควบคุมไปใช้ และข้อมูลสารสนเทศเกี่ยวกับวิธีที่ใช้ในการประเมินตนเอง

การนำกรอบการควบคุมความเสี่ยงไปใช้

กรอบความคิดต่าง ๆ จะถูกกำหนดขึ้นมาให้เหมาะกับวัตถุประสงค์เฉพาะของแต่ละคน ตัวอย่างเช่น กรอบความคิดหนึ่งอาจถูกออกแบบมาเพื่อใช้อธิบายความหมายและรายละเอียดของการควบคุมภายใน โดยมีพื้นฐานจากวัตถุประสงค์ขององค์กร ส่วนกรอบอื่น ๆ ที่มีอยู่อาจใช้ในการระบุความเสี่ยง และการให้บริการลูกค้า

ประโยชน์ของการใช้กรอบการควบคุมในการประเมินตนเองเพื่อควบคุมความเสี่ยง
1. แสดงให้เห็นถึงความครอบคลุมทั้งหมดของการควบคุมความเสี่ยง
2. ใช้เป็นเครื่องมือในการติดตามผลเพื่อรวบรวมเป็นชุดของหน่วยงานที่มีลักษณะคล้ายกัน
3. ใช้เป็นคำถามที่มีรูปแบบเพื่อเตรียมไว้สำหรับการจัดโครงสร้างและลักษณะทั่วไปของหน่วยงาน

เรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ยังไม่จบเพียงเท่านี้ ผมยังมีเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจมาเล่าสู่กันฟัง อาทิเช่น COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ส่วนจะมีรายละเอียดเป็นอย่างไรนั้น โปรดติดตามในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (2)

พ.ค. 9, 2013

จากการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ที่ผมได้เล่าสู่กันฟังมาหลายตอน และได้กล่าวถึงวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยเน้นในส่วนของ CSA ที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ ในครั้งที่แล้วนั้น แต่เนื่องจากมีรายละเอียดมากพอสมควร ไม่อาจกล่าวได้ครอบคลุมทั้งวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง จึงจำเป็นต้องแยกเป็นหัวข้อที่ย่อยลงไป โดยในครั้งนี้จะขอกล่าวถึงเฉพาะเรื่องของความเสี่ยง สำหรับเรื่องของการควบคุมความเสี่ยง คงจะไว้พูดคุยกันในโอกาสต่อไป แต่อยากจะขอเน้นย้ำอีกสักครั้ง เพื่อให้เข้าใจได้ชัดเจนว่า การประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดหลาย ๆ ส่วนที่เกี่ยวข้องสัมพันธ์ เชื่อมโยงกันกับการบริหารความเสี่ยง ซึ่งหลายอย่างในบางส่วนหรือบางมุมมมองก็ไม่สามารถแยกแยะออกจากกันได้ ขึ้นอยู่การนำไปใช้กับหน้าที่การปฏิบัติงานในระดับต่าง ๆ ของหน่วยงาน/องค์กร

เมื่อพุดถึง ความเสี่ยง (Risk) คำจำกัดความของความเสี่ยงนั้นมีได้หลายมุมมอง แล้วแต่ว่าองค์กรนั้นเป็นองค์กรในลักษณะใด ทำธุรกิจด้านไหน แต่อย่างไรก็ตาม ทุกมุมมองจะมุ่งเน้นไปที่เป้าหมาย แต่ในที่นี้ผมขอให้คำจำกัดความไว้ดังนี้

ความเสี่ยง หมายถึง ภาวะคุกคาม ปัญหา อุปสรรค หรือการสูญเสียโอกาส ซึ่งจะมีผลทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้หรือก่อให้เกิดผลเสียหายต่อองค์กร หรือ…
ความเสี่ยง หมายถึง สาเหตุ มูลเหตุที่จะเกิดปัญหา ความผิดพลาด ความสูญเปล่า การรั่วไหล ความล้มเหลว ความเสียหาย หรือความไม่แน่นอน ซึ่งไม่พึงประสงค์ที่จะทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนดไว้ และ/หรือการไม่เกิดโอกาสหรือความสูญเสียโอกาสดี ๆ ที่จะเป็นประโยชน์ในการสร้างมูลค่าเพิ่มให้กับองค์กร หรือ…
ความเสี่ยง หมายถึง เหตุการณ์หรือการกระทำใด ๆ ที่อาจเกิดขึ้นในอนาคตซึ่งเมื่อเกิดขึ้น ล้วนจะมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร

ความเสี่ยงเป็นสิ่งที่สามารถเกิดขึ้นได้เสมอในทุกองค์กร บางครั้งอาจเป็นเหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์จริงไม่เป็นไปตามที่คาดหวังหรือวางแผนไว้ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

นอกจากนี้ยังมีความเสี่ยงบางประเภทที่มีความหมายในทางลบ โดยจะมองความเสี่ยงว่าเป็นอันตราย เป็นตัวขัดขวางทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ หรือสร้างความเสียหายต่อองค์กร แต่ในความเป็นจริงแล้วการที่เราสามารถระบุปัจจัยเสี่ยงออกมาได้ ย่อมทำให้เราสามารถที่จะเลือกได้ว่าจะตัดสินใจในการบริหารความเสี่ยง รวมถึงนำไปสู่การประเมินตนเองเพื่อควบคุมความเสี่ยงนั้น ๆ ได้อย่างไร

เราจะมีทางเลือกในการบริหารความเสี่ยงอย่างไรได้บ้าง

1. การหลีกเลี่ยงความเสี่ยง (Avoidance) เป็นการไม่ยอมรับความเสี่ยงนั้นเลย จึงอาจต้องทำให้เปลี่ยนวัตถุประสงค์ ตัวอย่างเช่น เมื่อเราได้พิจารณาแล้วเห็นว่า ประเทศใดกำลังเผชิญกับปัญหาด้านความมีเสถียรภาพทางการเงินและการเมืองสูง ย่อมทำให้เราตัดสินใจไม่เข้าไปลงทุนในประเทศนั้น นั่นคือการที่เราไม่ยอมรับความเสี่ยงที่เกิดขึ้นจากการเข้าไปลงทุนในประเทศนั้น

2. การลดหรือบรรเทาความเสี่ยง (Mitigation), การควบคุม (Control) เป็นการที่บริษัทตัดสินใจที่จะนำการควบคุมภายในมาใช้ในการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นจนทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

3. การโยกย้าย, โอนย้ายความเสี่ยง (Transferring) เป็นการโอนความเสี่ยงไปให้ผู้อื่นรับผิดชอบ เนื่องจากความเสี่ยงบางอย่างบริษัทสามารถที่จะโยกย้ายความรับผิดชอบนั้นไปให้กับบุคลลที่สามรับผิดชอบแทนได้ เช่นการทำประกันอุบัติเหตุให้กับพนักงาน นั่นคือแทนที่บริษัทจะต้องใช้ทรัพยากรบางส่วนมาลงทุนดูแลงานด้านอุบัติเหตุเองให้กับพนักงานเอง บริษัทก็ไปจ้างบริษัทตัวแทนที่ทำหน้าที่นี้โดยตรง เข้ามารับผิดชอบดูแลแทน โดยยอมเสียค่าเบี้ยประกันจำนวนหนึ่งที่สามารถควบคุมได้แน่นอนให้กับบริษัทตัวแทน เพื่อเป็นการควบคุมความเสี่ยงให้กับบริษัทตน

4. การยอมรับความเสี่ยง (Residual risk) ถ้าความเสี่ยงยังอยู่ในระดับที่ยอมรับได้ บริษัทก็จะยังไม่เข้าไปดำเนินการใด ๆ เป็นพิเศษเพื่อที่จะลด โยกย้าย หรือหลีกเลี่ยงความเสี่ยง

หากเรามีการนำกรอบการกำหนดความเสี่ยงมาใช้ ก็จะช่วยให้สามารถระบุปัจจัยเสี่ยงได้อย่างมีประสิทธิภาพและประสิทธิผลมากขึ้น และจะทำให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ง่ายขึ้นด้วย ซึ่งกรอบการกำหนดความเสี่ยงส่วนใหญ่ของธุรกิจที่สำคัญ เพื่อการบริหารเบื้องต้นที่ผมจะขอกล่าวถึงมี 10 ประการ คือ

1. การบันทึกบัญชีและสารสนเทศไม่ถูกต้อง บิดเบือน/ ไม่ทันเวลา/ ซ้ำซ้อน/ ไม่บูรณาการ ฯลฯ
2. หลักการบัญชี นโยบายการบัญชีที่ไม่อาจยอมรับได้
3. ธุรกิจหยุดชะงัก หรือเสียชื่อเสียง/ความน่าเชื่อถือ IT/Logic/พนักงาน/กฎเกณฑ์ ฯลฯ
4. การถูกรัฐ/รัฐบาลตำหนิหรือการถูกลงโทษจากหน่วยงานรัฐ จากการไม่ปฏิบัติตามนโยบาย หลักการ ระเบียบ คำสั่งฯ ที่กำหนด หรือจากการทำให้ส่วนของความเป็นเจ้าของทุนลดค่า/ด้อยค่าลงหรือความเข้าใจในการตีความ กระบวนการที่ขัดกับเป้าหมายหลักของรัฐโดยรวม
5. ต้นทุนสูง ค่าใช้จ่ายสูง จากนโยบาย/การบริหาร/การจัดการ
6. การไม่รับรู้รายจ่ายหรือผลขาดทุน/ความเสียหาย ที่เกิดจาก
– การถ่ายโอนผลประโยชน์ขององค์กรไปสู้บริษัทร่วมการงานแบบไม่ตั้งใจ/ตั้งใจ
– การบริหาร Value และ Hidden Value อย่างไม่รู้คุณค่าที่แท้จริงหรือรู้ไม่เท่าทัน
– การแก้ไขสัญญาโดยองค์กรเสียเปรียบทั้งทางตรงและทางอ้อมจากคุณค่าซ่อนเร้น
– การเปลี่ยนแปลงสู่กฎเกณฑ์ กฎหมาย การจัดระเบียบ จากการแข่งขัน ฯลฯ
7. การทำให้สินทรัพย์ ส่วนของผู้ลงทุน/เจ้าของสูญเสีย หรือถูกทำลาย หรือลดมูลค่าแบบตั้งใจ หรือคิดไปไม่ถึงทั้งในปัจจุบันและอนาคต รวมทั้งการถูกฟ้องร้องในภายหลัง เช่น การลดสินทรัพย์และส่วนของผู้เป็นเจ้าของโดยไม่จำเป็น และไม่ถูกต้องตามขั้นตอน กฎเกณฑ์ นโยบาย ระเบียบ วิธีปฏิบัติทางบัญชี….ฯลฯ
8. ผู้มีผลประโยชน์ร่วมไม่พอใจและ/หรือเสียเปรียบการแข่งขัน เช่น
– จากการเปลี่ยนแปลงกฎเกณฑ์ ระเบียบ หลักการที่ขัดกับดุลภาพโดยรวมของการจัดการ
– จากพื้นฐานและความพร้อมรวมทั้งสภาพแวดล้อมที่แตกต่างกัน ฯลฯ
9. การทุจริตหรือขัดแย้ง/ทับซ้อน ทางผลประโยชน์ของผู้บริหาร/พนักงาน เช่น
– จากสัญญา/บริษัทร่วมการงาน-ร่วมลงทุน
– จากผลประโยชน์ Hidden Value และความไม่ซื่อสัตย์ต่อตนเองและวิชาชีพ
– จากบริษัทที่ปรึกษาต่าง ๆ ที่ผลงานไม่คุ้มค่าเงินหรือไม่ได้ใช้ผลงานนั้น ฯลฯ
10. คุณภาพการบริหารความเสี่ยง นโยบาย กลยุทธ์ไม่เหมาะสม ไม่เพียงพอและ/หรือกระบวนการตัดสินใจไม่ถูกต้อง เช่น
– จากการเข้าใจกระบวนการบริหารความเสี่ยงที่แตกต่างกัน
– จากกระบวนความคิดที่ไม่เป็นระเบียบ พิจารณาอย่างขาดบูรณาการ
– ข้อมูลข่าวสารไม่ถูกต้อง

แม้ว่าความเสี่ยงดังกล่าวข้างต้นอาจไม่ใช่สิ่งที่ทุกองค์กรต้องเผชิญอยู่ทุกวัน แต่ความเสี่ยงเหล่านี้จะมีลักษณะเป็นสากลอันจะช่วยให้องค์กรสามารถระบุปัจจัยเสี่ยงและจัดการกับความเสี่ยงได้ดียิ่งขึ้น และทำให้การบรรลุวัตถุประสงค์เป็นไปได้มากขึ้นด้วย

กรอบความเสี่ยงเพื่อการบริหารอีกรูปแบบหนึ่งจะพิจารณาใช้ในเรื่องต่าง ๆ ดังนี้
1. ความเสี่ยงภายนอก เช่น ลูกค้า, เทคโนโลยี, กฎหมาย
2. ความเสี่ยงภายใน เช่น การจัดองค์กรใหม่, ทรัพยากรขององค์กร, ทัศนคติของผู้คนในองค์กร
3. ความเสี่ยงพิเศษที่เกี่ยวกับสภาพแวดล้อมที่เปลี่ยนแปลงไป

ผมขอยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการและในบางมุมมอง เพื่อให้เห็นภาพของการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่สามารถนำไปประยุกต์ใช้ในการปฏิบัติงาน ตามแผนภาพด้านล่าง โดยจะขอนำเสนอเพียงบางส่วน เพื่อไม่ให้เป็นการรบกวนพื้นที่ในการพูดคุย (เขียน) มากเกินไป สำหรับตัวอย่างแบบเต็มสามารถกด Download ได้ที่นี่ครับ

ภาพนิ่ง1

ภาพนิ่ง2

ภาพนิ่ง3

ความเสี่ยงที่สำคัญโดยทั่วไปขององค์กร ขึ้นอยู่กับลักษณะธุรกิจ ความเข้าใจในงาน และ Business process ซึ่งความเสี่ยงที่สำคัญ ๆ ขององค์กร คือ
1. บุคลากร ความเป็นผู้นำ/การประสานงาน/ความซื่อสัตย์/จิตสำนึก/ความมุ่งมั่น/ความกล้าหาญ/ความสามารถ
2. สภาพแวดล้อมของธุรกิจ ที่เกี่ยวข้องกับ การแข่งขัน/การให้รางวัล/กฎเกณฑ์/วัฒนธรรม
3. เทคโนโลยี/เทคโนโลยีสารสนเทศ ในเรื่องของรายได้รั่วไหล/ความต่อเนื่อง/ความปลอดภัย/ข้อมูลสารสนเทศ และการบูรณาการ
4. ระบบงาน/โครงสร้างองค์กร (IT Governance)
5. กลยุทธ์ คือการพัฒนากลยุทธ์ ความชัดเจน การนำกลยุทธ์สู่การปฏิบัติ
6. ลูกค้า/ผู้มีประโยชน์ร่วม/ผู้กำกับฯ ในด้าน การจัดหา/ความพึงพอใจ/การบริการ
7. บริษัทร่วมการงาน/บริษัทในเครือ/บริษัทผู้ให้บริการ
8. การติดตาม/การจัดการ
9. การลงทุน/ความคุ้มค่าทางการเงิน/การบริหารรายได้/โครงการที่หมดยุค
10. กฎหมาย/กฎเกณฑ์/นโยบาย ที่เกี่ยวกับการเปลี่ยนแปลงและดุลยภาพ
11. การเงิน/รายได้/รายได้ทางเศรษฐกิจ ในเรื่องของการแข่งขันเสรี/การแปรสัญญา/ภาษี/การจัดการ/บัญชี

ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจ และเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา โดยการตั้งคำถามตนเองเสมอว่า “สามารถเข้าใจถึงการเปลี่ยนแปลงที่เกิดขึ้นแก่ธุรกิจ หรือความเสี่ยงที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนั้นเพียงใด” และ “องค์กรได้มีแนวปฏิบัติทางธุรกิจ รวมทั้งการควบคุมภายในอย่างเพียงพอเหมาะสมต่อการเปลี่ยนแปลงหรือไม่” เนื่องจากผู้บริหารมีหน้าที่ในการคัดเลือกวิธีที่จะจัดการกับความเสี่ยงในแต่ละประเภทให้เหมาะสม เนื่องจากวิธีการจัดการกับความสี่ยงในแต่ละประเภทนั้นย่อมแตกต่างกัน ไม่ควรเลือกใช้เทคนิคเดิม ๆ มาจัดการกับความเสี่ยงทุกประเภท

การระบุความเสี่ยงจะช่วยให้เราสามารถแยกความแตกต่างระหว่างสาเหตุและผลกระทบของความเสี่ยงได้ ซึ่งการที่เราสามารถแยกสาเหตุและผลกระทบของความเสี่ยงออกมาได้ ย่อมทำให้เราเลือกใช้การควบคุมภายในมาจัดการกับสาเหตุของความเสี่ยงมากกว่าการจัดการกับผลกระทบที่เกิดจากความเสี่ยง
– ผลหรือผลกระทบของความเสี่ยง คือผลลัพธ์สุดท้าย, อันตรายที่เกิดขึ้นจากการสูญเสียโอกาสในการบรรลุวัตถุประสงค์เมื่อเกิดความเสี่ยง
– สาเหตุของความเสี่ยง คือเหตุที่ทำให้เกิดความเสี่ยงขึ้น

ตัวอย่างของความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามกฎ
– ผลกระทบของความเสี่ยง ได้แก่ การถูกทำโทษ การจำคุก การประกาศเมื่อไม่ปฏิบัติตามกฎ
– สาเหตุของความเสี่ยง ได้แก่ พนักงานไม่ทราบกฎระเบียบนั้น พนักงานไม่เห็นว่ากฎนั้นมีความสำคัญ

ถ้าผลกระทบนั้นกระทบต่อการบรรลุผลสำเร็จของเป้าหมายอย่างมีนัยสำคัญ เราอาจต้องพิจารณาจัดให้มีการควบคุมภายใน เข้ามาจัดการกับสาเหตุของความเสี่ยงนั้น แทนที่จะรอจัดการกับผลกระทบของความเสี่ยงที่เกิดขึ้น

ข้อผิดพลาดทั่วไปในการระบุปัจจัยเสี่ยง
1. การอ้างอิงเป็นวงกลม เป็นการระบุปัจจัยเสี่ยงอย่างง่าย ๆ ที่แปรผันกับวัตถุประสงค์ เช่น ถ้ากำหนดให้วัตถุประสงค์คือ “การทำให้แน่ใจว่าต้องมีการอนุมัติใบแจ้งหนี้ก่อนที่จะมีการทำจ่ายเงิน” ดังนั้น เราสามารถระบุความเสี่ยงได้ว่า “มีการทำจ่ายใบเสนอราคาไปก่อนที่จะมีการอนุมัติให้จ่ายเงิน”
2. การระบุผลกระทบที่เกิดขึ้นแทนที่จะระบุถึงสาเหตุ จากวัตถุประสงค์ข้างต้น ความเสี่ยงเรื่องของการสำเนาใบจ่ายเงินอาจไม่ใช่ความเสี่ยงที่แท้จริงแต่เป็นผลกระทบที่เกิดขึ้น ซึ่งอาจนำไปใช้ในค่าใช้จ่ายที่ไม่จำเป็นหรือใช้ในการทุจริตได้
3. การควบคุมที่ไม่เป็นผล การฝึกอบรม การทบทวน การจัดสรรทรัพยากร เป็นว่าเป็นการควบคุมทั้งหมด แต่ถ้าการควบคุมเหล่านี้ทำงานอย่างไม่มีประสิทธิผล เช่น การฝึกอบรมไม่เหมาะสม การไม่ได้รับการทบทวนจากหัวหน้างานที่เพียงพอ และการจัดสรรทรัพยากรน้อยเกินไป การควบคุมเหล่านั้นก็จะสร้างปัจจัยเสี่ยงตัวอื่นขึ้นมาแทน

การให้พนักงานซึ่งเป็นผู้ที่มีส่วนรับผิดชอบในการทำให้วัตถุประสงค์บรรลุผลสำเร็จ เข้ามามีส่วนร่วมในการระบุปัจจัยเสี่ยง และออกแบบการควบคุมความเสี่ยงจะทำให้ได้ประโยชน์มากขึ้น เนื่องจากพนักงานเป็นผู้ที่ใกล้ชิดกับเหตุการณ์จริงมากที่สุด ย่อมรู้รายละเอียดของความเสี่ยงนั้นได้เป็นอย่างดี ทำให้การออกแบบการควบคุมความเสี่ยงนั้น มีความเป็นไปได้มากขึ้น อันจะเป็นหนทางที่จะทำให้องค์กรบรรลุวัตถุประสงค์ที่ต้องการ

การบริหารความเสี่ยง (Risk Management)
การบริหารความเสี่ยง หมายถึง กระบวนการที่ใช้ในการระบุและวิเคราะห์ความเสี่ยง/ความไม่แน่นอนที่จะมีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายขององค์กร รวมทั้งกำหนดแนวทางการควบคุมหรือการบริหารความเสี่ยงให้คงเหลือ (Residual Risk) ที่องค์กรยอมรับได้ รวมทั้งการสร้างโอกาสที่จะพัฒนาและสร้างมูลค่าเพิ่มให้กับองค์กรตามสภาวะการณ์ที่เกิดขึ้น

การบริหารความเสี่ยง เป็นกลวิธีที่เป็นเหตุผลที่นำมาใช้ในการบ่งชี้ วิเคราะห์ ประเมิน จัดการ ติดตาม และสื่อสารความเสี่ยงที่เกี่ยวข้องกับกิจกรรมหน่วยงาน หรือกระบวนการดำเนินงานขององค์กร เพื่อช่วยให้องค์กรลดความสูญเสียให้เหลือน้อยที่สุด และเพิ่มโอกาสให้แก่ธุรกิจมากที่สุด การบริหารความเสี่ยงยังหมายถึง การประกอบกันอย่างลงตัวของวัฒนธรรมขององค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหาร และผลได้ผลเสียของธุรกิจ

วัตถุประสงค์ทางธุรกิจและสภาพแวดล้อมที่ดำเนินธุรกิจอยู่มีการพัฒนาตลอดเวลา ทำให้ความเสี่ยงที่เกี่ยวข้องเปลี่ยนแปลงตามไปด้วยอย่างต่อเนื่อง การบริหารความเสี่ยงที่มีประสิทธิภาพคือการบริหารที่เอื้อประโยชน์ต่อธุรกิจในการจัดการและควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ แม้ว่าความเสี่ยงไม่สามารถถูกกำจัดให้หมดไป แต่ก็จะทำให้การจัดการความเสี่ยงอยู่ในระดับที่เหมาะสมกับผลตอบแทนที่ยอมรับได้

สำหรับการควบคุมความเสี่ยงที่เป็นกระบวนการที่สำคัญและจำเป็นต่อ CSA ซึ่งมีผลต่อหน่วยงานและองค์กรนั้น ผมจะมาเล่าสู่กันฟังในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การเจรจาเพื่อรักษาผลประโยชน์ของชาติ กับการบริหารความเสี่ยงที่มาจากแนวคิดแบบบูรณาการ ตอนที่ 1

เมษายน 29, 2013

การวิเคราะห์ข้อมูลและสารสนเทศ เพื่อก้าวไปสู่ความเข้าใจถึงวัตถุประสงค์หลักที่ไม่อาจเปิดเผย และ/หรือ เปิดเผย อย่างชัดเจนตามหลัก SMART เพื่อการบริหารความเสี่ยงและการควบคุม เพื่อการบรรลุวัตถุประสงค์ของประเทศชาติ/องค์กรโดยรวม เป็นสิ่งสำคัญยิ่งในกระบวนการจัดการที่ดี

ผมทราบตามข่าวว่า วันนี้ (29 เม.ย. 2556) จะมีการเจรจาระหว่างทางการของไทยกับกลุ่มที่เรียกว่า BRN ในการเจรจาปัญหาความสงบของ 3 จังหวัดชายแดนภาคใต้ของไทย ซึ่งเป็นเรื่องสำคัญมาก โดยเฉพาะอย่างยิ่งประเทศไทยที่ต้องการความสงบ จากปัญหาประจำวันที่เกิดขึ้นมาประมาณ 9 ปี โดยมีเหตุการณ์ไม่สงบเกิดขึ้นบ่อยครั้งและบางช่วงเวลาเกิดขึ้นเป็นรายวัน ผมเคยอ่านวิเคราะห์เหตุการณ์ของผู้สันทัดกรณี ที่วิเคราะห์ต้นเหตุของปัญหาดังกล่าวในหลายมุมมอง ซึ่งทุกมุมมองมีเหตุผลที่ไม่เหมือนกัน และมีน้ำหนักในการจัดการที่แตกต่างกันไป ทำให้การแก้ปัญหาที่แท้จริงที่มาจากต้นเหตุที่หลากหลายผสมปนเปกันไปนั้น ค่อนข้างยากที่จะควบคุมให้อยู่ในกรอบที่ต้องการได้ ผมสนใจในเรื่องกระบวนการบริหารความเสี่ยงในทุกระัดับของการจัดการที่ดี จึงขอแบ่งปันความคิดเห็นในเชิงสร้างสรร และนำเหตุการณ์ที่น่าสนใจมาเล่าสู่กันฟัง ดังนี้

โดยหลักการบริหารโดยทั่วไป ไม่ว่าจะเป็นเรื่องอะไรก็ตามที หากผู้กำกับและผู้ควบคุมไม่สามารถจัดการควบคุมต้นเหตุหรือสาเหตุของความเสี่ยง เพื่อลดระดับของเหตุการณ์ความเสี่ยงของเหตุการณ์ต่าง ๆ ที่เกิดขึ้น ให้อยู่ในระดับที่ยอมรับได้ (Risk Appettite) ผลของการจัดการหรือการจัดการที่ดีก็ค่อนข้างยากที่จะได้ผลลัพธ์ตามที่ต้องการ วิธีการวัดที่ง่าย ๆ ก็คือ เหตุการณ์ยังเกิดขึ้นบ่อย และมีความเสี่ยหายเป็นอย่างมาก ความยากลำบากที่ทราบกันโดยทั่วไปก็คือ ทางการของไทยยังไม่ทราบวัตถุประสงค์ที่ชัดเจนของผู้ปฏิบัติการแต่ละกลุ่มว่าทำไปเพื่อประสงค์อะไรกันแน่ และผู้ดำเนินการเป็นใครก็ยังไม่ทราบชัดเจน

ดังนั้น การนำหลักการบริหารความเสี่ยงที่เป็นเหตุการณ์ที่ก่อให้เกิดความเสียหายในการบรรลุเป้าประสงค์ของทางการ และประชาชนผู้ใคร่จะเห็นความสงบเกิดขึ้น จึงยังเป็นการยากที่จะบรรลุเป้าหมายได้ตามที่ต้องการ เพราะหลักการบริหารความเสี่ยงที่ดี ไม่ว่าจะใช้ Best Practice หรือมาตรฐานขององค์กรใดในสากล ก็ยังไม่อาจนำมาประยุกต์ใช้ได้อย่างเหมาะสม โดยเฉพาะอย่างยิ่งต้นเหตุที่เกิดจากวัฒนธรรม และสภาพแวดล้อมที่แตกต่างกันไป

Slide1

หลักการบริหารแบบบูรณาการ (Integrated Management) ซึ่งมีหลักการเป็นกรอบใหญ่ ๆ 2 ข้อ คือ
หลักการ Governance และ หลักการ Management ที่ต้องเข้าใจกระบวนความคิดในบริบทโดยรวม ที่เกี่ยวข้องกับการวางแผน ที่ต้องมีความสัมพันธ์กับความรู้ความเข้าใจในสถานการณ์ที่เกี่ยวข้องอย่างรอบด้าน และในที่สุดจะเกี่ยวข้องกับกลยุทธ์ และวิธีการที่เหมาะสมที่นำไปใช้ในการบรรลุเป้าประสงค์ ตามความต้องการในระดับประเทศ และประชาชนส่วนใหญ่ที่ต้องการเห็นความสงบ ที่มาจากกระบวนความคิดตามที่ได้แสดงไว้ในแผนภาพแทนคำอธิบายที่หลากหลายที่อาจจะเข้าใจได้ง่ายกว่าการอธิบายโดยใช้คำพูดที่พัน ๆ คำนั้น จึงเป็นเรื่องสำคัญเป็นอย่างยิ่ง

ในความเห็นส่วนตัวของผม หากประยุกต์จากการนำความคิดแบบบูรณาการ (Integrated Thinking) จากการคิดให้ครบจนจนความ ซึ่งอธิบายได้โดยการเริ่มต้นด้วยการตั้งคำถามที่มีเป้าหมายเฉพาะเจาะจงในแต่ละเรื่อง เมื่อได้คำตอบก็ให้วิเคราะห์ข้อมูลจากคำตอบหรือข้อมูลที่ได้รับมา เพื่อตั้งคำถามใหม่จากข้อมูลที่ได้รับมานั้น และฟังคำตอบหรือข้อมูลที่ได้รับมาจากคำถามที่ 2 และตั้งคำถามที่ 3 จากคำตอบที่ได้รับจากคำถามที่ 2 อย่างเป็นกระบวนการ และทำเช่นนี้ไปเรื่อย ๆ โดยมีเป้าหมายหลักอยู่ที่ เราจะสามารถรู้ต้นเหตุหรือสาเหตุหลักบางข้อจากหลายข้อนั้น ๆ ได้อย่างไร เพราะเมื่อเรารู้ต้นเหตุหรือสาเหตุ การจัดการหรือการควบคุมความเสี่ยงหรือผลกระทบที่มาจากต้นเหตุหรือสาเหตุ ที่เกิดเหตุการณ์ (Event) ที่ไม่พึงประสงค์หรือความไม่สงบต่าง ๆ ก็จะก้าวไปสู่ทิศทางที่น่าจะถูกต้องมากขึ้น เช่น หากจะยกตัวอย่างของจริงที่เกิดขึ้นเมื่อเร็ว ๆ นี้ จากเหตุการณ์ความไม่สงบเหตุการณ์หนึ่ง โดยมีข้อมูลที่เขียนในผืนผ้าสีขาวเป็นร้อยผืนติดตามสถานที่ต่าง ๆ ทั้งในตัวเมืองและนอกเมืองที่แปลเป็นไทยตามข่าวได้ว่า “หากไม่ยอมรับอำนาจของเรา เหตุการณ์ความสงบก็จะไม่เกิดขึ้น” หลายท่านที่ติดตามข่าวน่าจะจำได้เพราะเป็นข่าวใหญ่ที่เกิดขึ้นเมื่อ 3-4 วันที่ผ่านมานี้เอง (29 เม.ย. 2556)

ท่านคิดอะไรครับ เมื่อได้ยิน ได้ฟัง ได้เห็น หรือได้ทราบข้อมูลตามที่กล่าวในวรรคต้น แล้วเรื่องนี้ แม้จะเป็นเรื่องเล็ก ๆ เพียงเรื่องเดียว ในจำนวนหลายร้อยเรื่องที่สมควรจะนำมารวบรวม เรียบเรียง มาผสมผสานในลักษณะข้อมูลที่เป็นบูรณาการ ซึ่งเมื่อใช้ความคิดแบบเชิงบูรณาการตามที่ได้อธิบายเป็นตัวอย่างสั้น ๆ ไปแล้ว ก็อาจทราบเรื่องสำคัญเรื่องหนึ่งและอาจเป็นเรื่องสำคัญอย่างยิ่งที่เป็นเป้าประสงค์หลักของผู้ปฏิบัติการที่ทำให้เกิดเหตุการณ์ความไม่สงบ ถึงแม้อาจสรุปไม่ได้ในทันทีว่าเป้าประสงค์สุดท้ายคืออะไรกันแน่นั้น อย่างน้อยก็พอจะเห็นภาพหรือข้อมูลที่เป็นสะพาน หรือเป็นบันไดที่สำคัญที่จะนำไปสู่วัตถุประสงค์หลักของฝ่ายปฏิบัติการรายวัน เพื่อให้ประเทศไทยทราบว่า บันไดหลายขั้นหรือขั้นตอนในการก้าวสู่วัตถุประสงค์สุดท้าย หรือวัตถุประสงค์ที่สำคัญยิ่งของผู้ปฏิบัติการที่อาจกล่าวได้ว่า ต้องการการปกครอง ต้องการมีอำนาจ เหนือดินแดนที่มีปัญหารายวัน ที่กำลังเกิดขึ้น

หากเราเจรจาโดยปราศจากความเข้าใจถึงวัตถุประสงค์ที่แท้จริงของฝ่ายปฏิบัติการที่ต้องการอำนาจที่วิเคราะห์เบื้องต้นก็เข้าใจได้อย่างชัดเจน เพราะการกระทำเป็นเครื่องชี้เจตนา และฟ้องถึงหรือสื่อถึงการปฏิบัติการที่มาจากความคิดตามที่ปรากฎในผืนผ้าสีขาวที่ขออนุญาตกล่าวซ้ำอีกครั้งว่า “หากไม่ยอมรับอำนาจของเรา เหตุการณ์ความสงบก็จะไม่เกิดขึ้น” และเมื่อนำข้อมูลเพียงชิ้นนี้ชิ้นเดียวมาผสมผสานกับข้อมูลจากสื่อออนไลน์ (Youtube) ที่เป็นข่าวตั้งแต่เมื่อคืนและเมื่อเช้า ถึงเงื่อนไข BRN ยื่นไทย แลก เจรจา ดับไฟ ชาวใต้ ที่่แปลเป็นภาษาไทย 5 ข้อตามที่ปรากฎเป็นข่าวในทีวี เช้านี้เมื่อเวลาประมาณ 07:45 น. ได้ว่า
1. ไทย ต้องยอมให้ มาเลเซีย เป็นคนกลาง เจรจา ไม่ใช่ผู้อำนวยความสะดวก
2. ต้องพูดคุย ระหว่าง ชาวมาเลเซีย ในปัตตานี ผ่าน กลุ่ม BRN เพื่อนำข้อมูลมาคุยกับ ฝ่ายไทย
3. ระหว่างพูดคุยต้องมีผู้สังเกตการณ์จาก กลุ่มอาเซียน / องค์การการประชุมอิสลาม หรือ โอไอซี / และ เอ็นจีโอ
4. ไทย ต้องปล่อยคนที่ถูกคุมขังทั้งหมด และ ยกเลิกหมายจับทั้งหมดโดยไม่มีเงื่อนไข
5. ไทย ต้องยอมรับ BRN เป็น องค์กรเพื่อการปลดปล่อยปัตตานี ไม่ใช่ กลุ่มแบ่งแยกดินแดน

ข้อมูลและสารสนเทศที่กล่าวข้างต้น หากท่านชอบการวิเคราะห์และคิดอย่างสร้างสรร เพื่อผลประโยชน์ของประเทศชาติเป็นสำคัญ ท่านพอจะมองเห็นภาพเหตุการณ์ที่อาจจะเกิดขึ้นในอนาคต ที่อาจเป็นระยะกลางหรือระยะยาว ที่อาจเกิดขึ้นกับทางภาคใต้ของไทย และความมั่นคงของประเทศไทย และแน่นอนว่าต้องเกี่ยวข้องกับเศรษฐกิจและการเงินของประเทศไทย เพราะมีแหล่งน้ำมันและแก๊สธรรมชาติที่เป็นผลประโยชน์ร่วมกัน/ทับซ้อนกัน เพราะมีชายแดนร่วมกันและคาบเกี่ยวกัน ที่ในปัจจุบันก็มีการแบ่งผลประโยชน์กันอย่างได้ดุลยภาพพอสมควร หากมีการเปลี่ยนแปลงที่ยอมรับไม่ได้ จะเพราะเหตุผลใดก็ตาม ที่จะมีกระบวนการและขั้นตอนอย่างนุ่มนวล ที่หากขาดการบริหารความเสี่ยงอย่างเข้าใจจริงถึงการบรรลุวัตถุประสงค์ที่มิใช่เป็นความต้องการของประเทศไทยอย่างแท้จริงแล้วละก็ การตกลงใด ๆ จากมุมมองและความคิดที่แตกต่างกัน ย่อมจะมีผลไม่เพียงแต่อำนาจการบริหารและการปกครองเท่านั้น แต่ยังมีผลกระทบทางลบอื่น ๆ ต่อประเทศไทยอย่างเหลือคณานับ และแน่นอนว่าเป็นความเสี่ยงระดับประเทศที่ไม่อาจยอมรับได้เลยจริง ๆ

ผมขออธิษฐานในสิ่งที่ผมเชื่อ ได้โปรดดลบันดาล ประเทศไทย จะไม่เสียทรัพยากรของชาติไม่ว่าในมุมมองใดของกระบวนการจัดการ ทั้งในมุมมองของทรัพยากร/สินทรัพย์ที่มีตัวตน (Tangible Assets) และทรัพยากร/สินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) เพื่อการควบคุมความเสี่ยงให้อยู่ในระดับที่ ประเทศไทยไม่ต้องเสียอะไรไปจากที่มีอยู่แล้วนี้อีกเลย ทั้งนี้ ขอให้เกิดความสมัครสมาน ความเข้าใจที่ดี ความร่วมมือกันของคนในชาติทุกกลุ่ม ที่ร่วมกันรักษาผลประโยชน์ของชาติให้ได้ดุลยภาพควบคู่กับการบริหารความเสี่ยง และการบริหารทรัพยากรที่เหมาะสม รวมถึงให้ผู้แทนของไทยในทุกระดับรู้เท่าทันความคิด เล่ห์เหลี่ยม การช่วงชิงผลประโยชน์ของชาติ เพื่อรักษาและสร้างความเจริญเติบโตอย่างยั่งยืนให้กับประเทศไทยได้อย่างแท้จริง

สำหรับแนวความคิดซึ่งเป็นที่มาของการกำหนดยุทธศาสตร์ กลยุทธ์ ที่นำไปสู่นโยบาย แนวการปฏิบัติที่เหมาะสม นุ่มนวล แต่เข้มแข็งในแง่มุมอื่น ๆ นอกเหนือจากแนวคิดเชิงบูรณาการ (Integrated Thinking)/คิดให้ครบจนจบความ เช่น แนวคิดให้ลึกเชิงวิเคราะห์ (Analysis Thiking), แนวคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) และ แนวคิดในภาพรวมทั้งระบบ (System Thinking) ที่เกี่ยวข้องกับการรักษาผลประโยชน์ของชาติ ในมุมมองของการบริหารจัดการที่ีดี ผมจะนำมาเล่าสู่กันฟังในมุมมองความเห็นส่วนตัวในโอกาสต่อ ๆ ไปครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (1)

เมษายน 16, 2013

สวัสดีครับทุกท่าน หลังจากที่ห่างหายจากการเล่าสู่กันฟังในเรื่องราวหรือหมวดหมู่ของ IT Audit และ Non-IT Audit กันมาพอสมควร ผมจำได้ว่ายังมีเรื่องราวต่าง ๆ อีกมากมายที่จะแบ่งปันประสบการณ์ความรู้ ในมุมองของการการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือ CSA / Controls Self Assessment ซึ่งได้คุยกันก่อนหน้านี้มาบ้างแล้ว โดยได้แบ่งเป็นตอน ๆ เพื่อให้ผู้สนใจและติดตามเรื่องราวของ CSA ได้เข้าใจและไม่เกิดความสับสนเกี่ยวกับการประเมินตนเองเพื่อควบคุมความเสี่ยง ทั้งนี้เพราะการประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดในหลาย ๆ ส่วนที่อาจกล่าวได้ว่าเกี่ยวข้องสัมพันธ์ เชื่อมโยง เหมือนหรือคล้ายคลึงกันกับการบริหารความเสี่ยงจนไม่สามารถแยกแยะออกจากกันได้ ซึ่งขึ้นอยู่การนำไปประยุกต์ใช้กับหน้าที่การปฏิบัติงาน หน่วยงาน/องค์กร หรือขึ้นอยู่กับมุมมองของระดับการบริหารส่วนไหน ระดับใด ที่ต้องการควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appitite) แต่ในหมวดหมู่นี้ผมจะขอกล่าวเน้นถึง CSA ในส่วนที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ มากกว่าในส่วนของการบริหารความเสี่ยงขององค์กรทั่วไปโดยรวม ซึ่งผมได้เล่าสู่กันฟังในหมวดหมู่ของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework หรือสามารถติดตามจากเอกสารที่ให้ Download นี้ครับ

การตรวจสอบภายในเป็นเรื่องราวของความสัมพันธ์กันระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยมีหลักพื้นฐานว่า “การประเมินความเสี่ยงเป็นหัวใจสำคัญของวิธีการประเมินตนเองทุกประเภท” การประเมินตนเองจึงมุ่งเน้นด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง อันจะช่วยให้เกิดความเข้าใจในความหมายของแนวคิดเหล่านี้ได้ง่ายและเร็วยิ่งขึ้น

CSA-Control Self Assessment ได้ให้ความหมายของวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงไว้ดังนี้
– วัตถุประสงค์ เป็นสิ่งที่องค์กรต้องการทำให้สำเร็จ (เป็นผลสำเร็จที่องค์กรต้องการ)
– ความเสี่ยง เป็นอุปสรรค/สิ่งกีดขวางทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ได้
– การควบคุมความเสี่ยง เป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้โดยการบริหารจัดการกับความเสี่ยงเหล่านั้น

แม้ว่าความหมายข้างต้นจะนิยมใช้กันอย่างกว้างขวาง แต่ความหมายเหล่านี้ก็ยังขาดความเป็นทางการในกรอบการควบคุมความเสี่ยงอยู่ การเข้าใจความหมายของแนวคิดเรื่องการควบคุม อาจศึกษาได้จากกระบวนการประเมินการควบคุมอันประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
1. กำหนดวัตถุประสงค์ ควรกำหนดให้มีความชัดเจน สามารถทำความเข้าใจความหมาย ที่มาและคุณค่าได้ไม่ยากนัก เมื่อสามารถกำหนดวัตถุประสงค์ได้แล้วจึงนำไปสื่อสารให้แก่หน่วยงานต่างๆ ที่เกี่ยวข้องในองค์กรทราบ เพื่อให้มีความเข้าใจตรงกัน
2. การบ่งชี้ความเสี่ยง การระบุปัจจัยเสี่ยงที่อาจเป็นตัวขัดขวาง/อุปสรรคต่อการบรรลุวัตถุประสงค์
3. ระบุวิธีการควบคุมความเสี่ยงที่จะสามารถบรรเทาความเสี่ยงลงได้
จากขั้นตอนต่าง ๆ ข้างต้น เราอาจอธิบายง่าย ๆ ได้ว่า การควบคุมเริ่มจากการกำหนดวัตถุประสงค์ โดยระดมผู้มีส่วนร่วมมาช่วยกันวิเคราะห์และหาข้อสรุปออกมา เมื่อกำหนดวัตถุประสงค์ออกมาได้แล้ว ขั้นตอนต่อไปก็นำมาบ่งชี้ความเสี่ยงและระบุวิธีการควบคุมความเสี่ยงเหล่านั้นต่อไป

วัตถุประสงค์
ความหมายของคำว่า “วัตถุประสงค์” สามารถมองได้เป็นหลายมุมมอง เช่น
– เป็นผลลัพธ์ (Outcome) ที่องค์กรต้องการบรรลุผลสำเร็จในการดำเนินงาน
– เป็นก้าวแรกของการบริหารความเสี่ยง
– มิได้เป็นวิธีการ กระบวนการ หรือการดำเนินงานในเรื่องใดเรื่องหนึ่ง

วัตถุประสงค์เป็นหลักยึดสำหรับการวางแผน การจัดองค์กร การกำหนดวิธีการปฏิบัติงานและการควบคุมการดำเนินงาน ถ้าขาดวัตถุประสงค์ที่ชัดเจนและขาดการสื่อสารอย่างทั่วถึงย่อมจะสร้างความสับสนในการทำงานของบุคลากรทุกระดับ ดังนั้นผู้บริหารจึงควรใช้วัตถุประสงค์ให้เป็นประโยชน์ดังนี้
1. เป็นแนวทางการตัดสินใจ
2. เป็นแนวทางในการเพิ่มพูนประสิทธิภาพขององค์กร
3. เป็นแนวทางในการประเมินผลการปฏิบัติงาน

การเข้าใจความหมายของวัตถุประสงค์ย่อมช่วยให้สามารถบรรลุผลสำเร็จตามที่กำหนดไว้ได้ง่ายกว่าการเน้นที่วิธีการในการบรรลุวัตถุประสงค์ การกำหนดวัตถุประสงค์ไว้สูงเกินไปจะทำให้บรรลุวัตถุประสงค์ได้ยาก และยังเกิดความเสียเวลาในการทำความเข้าใจความหมาย ที่มา และคุณค่าของวัตถุประสงค์ ซึ่งอาจทำให้เราไม่สามารถบรรลุวัตถุประสงค์ที่ต้องการได้เลย เมื่อวัตถุประสงค์เป็นผลลัพธ์ที่องค์กรต้องการบรรลุผลสำเร็จ เปรียบเสมือนเส้นชัยขององค์กรที่ทุกฝ่ายต้องร่วมมือกันฟันฝ่าไปให้ถึง ดังนั้นทุกฝ่ายในองค์กรจึงต้องทำความเข้าใจถึงความหมาย ที่มา ของวัตถุประสงค์ให้ชัดเจนว่าวัตถุประสงค์เหล่านี้ถูกกำหนดมาขึ้นมาอย่างไร

ในองค์กรธุรกิจที่มีทีมงานที่มีกระบวนการกำหนดวัตประสงค์ที่ดี และเห็นว่าวัตถุประสงค์มีส่วนสำคัญที่จะช่วยในการดำเนินธุรกิจ ย่อมเป็นองค์กรที่มีความเหมาะสมในการนำการประเมินตนเองเพื่อการควบคุมความเสี่ยงไปใช้ปฏิบัติ ในการกำหนดวัตถุประสงค์ที่ดีควรต้องมีการพิจารณาให้รอบคอบและมีความเหมาะสมกับองค์กรในขณะนั้น โดยต้องระดมความคิดเห็นของบุคลากรหลาย ๆ ฝ่ายเพื่อช่วยในการกำหนดวัตถุประสงค์ วัตถุประสงค์จึงเป็นผลลัพธ์ที่องค์กรต้องการไม่ใช่วิธีการในการทำให้ผลลัพธ์นั้นบรรลุผลสำเร็จ ซึ่งได้มีการแยกความแตกต่างระหว่างวัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์ออกมาให้เห็นภาพชัดเจนขึ้น ดังนี้

วัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์

คำถามที่ใช้ในการแยกวัตถุประสงค์ออกจากวิธีการบรรลุวัตถุประสงค์ ได้แก่
1. เป็นผลลัพธ์สุดท้ายที่ต้องการหรือไม่
2. เป็นหนทางในการบรรลุวัตถุประสงค์หรือเป็นวัตถุประสงค์จริง
3. เป็นวิธีการหรือผลลัพธ์
4. ทำไมต้องทำสิ่งนั้น

ข้อผิดพลาดทั่วไปในการระบุวัตถุประสงค์
1. ระบุวิธีการ (งบประมาณหรือการอนุมัติ) เป็นผลลัพธ์
2. ผิดพลาดในการพิจารณารูปแบบของวัตถุประสงค์ทั้งหมด
3. ผิดพลาดในการพิจารณาความสัมพันธ์ระหว่างวัตถุประสงค์ซึ่งอาจไม่เกี่ยวข้องสัมพันธ์กัน หรือมีความขัดแย้งกัน

วัตถุประสงค์ระดับสูงขององค์กรโดยรวมบางข้ออาจไม่สามารถประยุกต์ใช้ได้เท่าเทียมกันในทุกแผนก ตัวอย่างเช่น
– วัตถุประสงค์ด้านการเพิ่มรายได้ต้องประยุกต์ใช้กับหน่วยงานที่รับผิดชอบงานด้านการขาย
– วัตถุประสงค์ด้านการลดค่าใช้จ่ายต้องประยุกต์ใช้กับหน่วยงานที่ต้องดูแลด้านค่าใช้จ่ายจำนวนมาก

ลำดับขั้นของวัตถุประสงค์
การกำหนดวัตถุประสงค์อาจไม่จำเป็นต้องกำหนดไว้เพียงขั้นเดียว อาจสามารถกำหนดไว้เป็นลำดับขั้นเพื่อให้เหมาะสมกับผู้ที่เกี่ยวข้องหรือผู้ที่รับผิดชอบดังนี้
1. วัตถุประสงค์ขององค์กรโดยรวม ถือเป็นวัตถุประสงค์หลักที่ผู้บริหารระดับสูงได้ตัดสินใจกำหนดขึ้น อันจะมีผลบังคับใช้ทั่วทั้งองค์กร เป็นวัตถุประสงค์สูงสุดที่แสดงจุดมุ่งหมายอันเป็นผลลัพธ์ขั้นสุดท้าย ที่ถือเป็นวัตถุประสงค์ร่วมของทุกหน่วยงาน
2. วัตถุประสงค์ของหน่วยงานระดับฝ่าย ถือเป็นวัตถุประสงค์เฉพาะด้านที่ผู้บริหารระดับกลางโดยคำปรึกษา (แนะนำ หรือชี้นำ สุดแล้วแต่กรณี) ของผู้บริหารระดับสูงจะตัดสินใจกำหนดขึ้น เพื่อใช้เป็นเป้าหมายในการดำเนินงานของแผนกต่าง ๆ ในหน่วยงาน หากทุกหน่วยงานสามารถทำงานให้บรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนด ก็จะทำให้กิจการโดยรวมบรรลุวัตถุประสงค์ไปด้วย
3. วัตถุประสงค์ย่อย เป็นการกำหนดวัตถุประสงค์ของงานประจำหรืองานเฉพาะโครงการ ที่สอดรับกับวัตถุประสงค์หลักและวัตถุประสงค์เฉพาะระดับฝ่ายงานดังที่กล่าวแล้ว การตัดสินใจที่จะกำหนดวัตถุประสงค์ระดับนี้ เป็นความรับผิดชอบของนักบริหารระดับกลาง ร่วมกับนักบริหารระดับต้นโดยความเห็นชอบ หรือการรับรู้ของนักบริหารระดับสูง

ลักษณะของวัตถุประสงค์ที่ดี (SMART principle)
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้นำไปปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน ต้องไม่ทำให้ผู้ปฏิบัติตีความหมายของวัตถุประสงค์ได้หลายทาง เพราะจะทำให้เกิดความสับสนเพราะถ้าแต่ละคนตีความหมายออกมาไม่เหมือนกัน การนำไปปฏิบัติอาจไม่สอดคล้องไปในแนวทางเดียวกัน จึงอาจเกิดความขัดแย้งกันจนทำให้ไม่สามารถบรรลุวัตถุประสงค์ได้
2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือ ในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย เพราะถ้าเรากำหนดวัตถุประสงค์ไว้โดยไม่สามารถวัดผลได้ เราย่อมไม่สามารถรู้ได้แน่ชัดว่าเราได้ดำเนินการมาถึงขั้นใดแล้ว และเมื่อใดจึงจะเรียกว่าบรรลุผลสำเร็จ
3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ นั่นคือ ในการกำหนดวัตถุประสงค์นั้น ไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ เพราะจะทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะไม่ว่าจะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรม เพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกัน คือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้
4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความเป็นเหตุเป็นผล และมีความเป็นจริง
5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

กรอบของวัตถุประสงค์หลักขององค์กรโดยทั่วไป
1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพในการทำงาน
– สร้างผลิตภัณฑ์และให้บริการที่เป็นเลิศ
– สร้างผลกำไรสูงสุด และมีต้นทุนต่ำที่สุด เพื่อเพิ่มคุณค่าทางเศรษฐศาสตร์ต่อผู้มีผลประโยชน์ร่วม
– จัดให้มีกระบวนการทำงานแบบสอดประสานทั่วทั้งองค์กรภายใต้ระบบเทคโนโลยีที่ดี คุ้มค่าเงินตามโครงสร้างที่สัมพันธ์กับระบบงานอย่างแท้จริง
– การรักษาและสร้างคุณภาพ คุณค่าเพิ่มจากสินทรัพย์ที่มีตัวตนและไม่มีตัวตนอย่างรู้คุณค่าของ Value และ Hidden Value (จากลักษณะธุรกิจ พนักงานและสารสนเทศ)
– เสริมสร้างและมีส่วนช่วยให้องค์กรบรรลุภารกิจและวิสัยทัศน์ตามที่กำหนด
– จัดให้มีสภาวะแวดล้อมที่เหมาะสมต่อพนักงานและผู้มีผลประโยชน์ร่วม
2. ความน่าเชื่อถือของระบบรายงาน
– รายงานที่ใช้ภายในองค์กรประเภทต่าง ๆ ที่ใช้ในการตัดสินใจ
– รายงานที่ใช้ภายนอกองค์กรเพื่อผู้ถือหุ้น ผู้กำกับดูแล และผู้มีผลประโยชน์ร่วม
– รายงานเกี่ยวกับการบริหารและการดำเนินงาน
3. การปฏิบัติตามกฎต่าง ๆ
– ตามกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบการปฏิบัติ ฯลฯ จากภายนอก
– ตามนโยบาย ระเบียบ คำสั่ง ข้อบังคับ ขั้นตอนการปฏิบัติงานภายในองค์กร

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Cloud Computing และการกำกับของหน่วยงานภาครัฐ

เมษายน 16, 2013

หากหน่วยงานที่เกี่ยวข้องในการกำกับและบริหารงานด้านเทคโนโลยีสารสนเทศที่สนใจจะนำ Cloud มาใช้+++ควรพิจารณาทำความเข้าใจความเสี่ยงในมุมมองต่างๆให้รอบคอบว่า องค์กรเรายอมรับความเสี่ยงได้ในระดับใด เพราะ เทคโนโลยี่ Cloud มีทั้งด้านบวกและด้านลบ บางองค์กร บางระบบงานเหมาะที่จะใช้มากๆ บางองค์กร+บางระบบงาน อาจยังไม่เหมาะสมในขณะนี้หรือในอนาคต++เรื่องนี้จึงต้องพิจารณาอย่างรอบคอบในลักษณะองค์รวม/Holistic framework และในลักษณะบูรณาการ/Integration
ภาพด้านล่างอาจใช้แทนคำอธิบายได้มากในหลายมุมมอง ที่ต้องนำมาประยุกต์ใช้ให้เหมาะสม++โดยเฉพาะอย่างยิ่ง หากหน่วยงานกำกับฯ ต้องการเริ่มต้นด้วยนโยบายที่ว่า การใช้ Cloud ที่ให้ผู้เกี่ยวข้องของประเทศ +องค์กร มี Governance in Mind+++

ข้อสำคัญน่าจะมาจากคำถามที่ว่า ในปัจจุบันนี้มีหน่วยงานกำกับภาครัฐกี่หน่วยงานที่กำลังทำงานเรื่อง Cloud โดยที่ไม่มีการหารือกันเท่าที่ควร ถ้าเป็นเช่นนี้รับรองได้ว่าจะมีคำถามและมีปัญหามากมายในการกำกับและการจัดการที่ดี ที่เกี่ยวข้องกับการใช้ Cloud อย่างมีระบบและมีแบบแผน ซึ่งผู้บริหารระดับสูงจะต้องเข้าใจภาพโดยรวมของการใช้ Cloud ซึ่งน่าจะนำหลักการบริหารในลักษณะของ Integrated Single Framework ของ COBIT 5 ที่ครอบคลุมการบริหารแบบบูรณาการตามหลักการ Integrated GRC ได้ในทุกแง่มุม

ทั้งนี้ควรจะมีการกำหนดนโยบายการใช้ Cloud ในภาครัฐ รวมทั้งระเบียบและหลักเกณฑ์ต่าง ๆ ที่เกี่ยวข้องให้เหมาะสมกับการเปลี่ยนแปลงที่จะเกิดขึ้นอย่างมากมาย อย่างไรก็ดี ผมมีความเห็นส่วนตัวว่า การใช้ Cloud ในประเทศไทย โดยเฉพาะอย่างยิ่งในหน่วยงานภาครัฐจะเกิดขึ้นได้ก็ต่อเมื่อมีการร่วมมือกันของหน่วยงานกำกับที่เกี่ยวข้อง และข้อสำคัญที่ใคร่จะขอกล่าวย้ำในที่นี้ก่อนจะลงในรายละเอียดในโอกาสต่อไป ก็คือการกำหนดกรอบของงานที่ควรจะทำ ทั้งในภาพใหญ่และในภาพย่อยอย่างชัดเจน

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ASEAN CSA Summit 2013 Bangkok Thailand. GRC and Audit

กุมภาพันธ์ 21, 2013

ผมได้มีโอกาสเป็นผู้หนึ่งใน Panelists ในหัวข้อ Cloud Governance : Cloud and GRC (Audit) และเป็นผู้ร่วมรับฟังในหัวข้อที่น่าสนใจอื่น ๆ อีกหลายเรื่อง ในงาน ASEAN CSA Summit 2013 Bangkok Thailand ที่จัดขึ้นเมื่อวันที่ 7 – 8 กุมภาพันธ์ 2556 ณ โรงแรมเซ็นทาราแกรนด์ ที่เซ็นทรัลพลาซ่า ลาดพร้าว จึงขอนำมาเล่าสู่กันฟังสั้นตามที่ผมเข้าใจในเบื้องต้นของภาพโดยรวมของงานดังนี้

Cloud and Change Enablement

As we are on the path towards the strategic roadmap of ASEAN ICT Master Plan 2015 to harness ICT to drive all strategic initiatives for ASEAN Economic Community (AEC), Cloud Computing has definitely presented the potential to enable ASEAN’s social and economic integration. The aim of the ASEAN CSA Summit- Bangkok 2013 is to build shared understanding in the role of cloud computing on ASEAN economy and its impact on business at national level as well as ASEAN level through public- private partnership (PPP) initiatives. There are several important factors and issues concerning both opportunities and challenges business and IT executives need to consider when making Cloud adoption decision.

Despite its potential business values such as cost savings, flexibility, and better resource optimization, several relevant risks have emerged and those, if left unmanaged, will prevent us from realizing business benefits of clouds. To achieve value realization as well as risk optimization of Cloud technology- both Public and Private platforms, it is crucial for every organization and country to pursue an integrated management approach, known as Integrated-Governance, Risk, and Compliance (GRC) or Integrated IT-GRC. That said, not only Value driver but also Risk driver of cloud computing has to be considered, well understood, and managed properly at all organizational levels and stakeholders.

It is essential for the management committee/board to assure the alignment of ASEAN goals and Enterprise goals which need to be cascaded down to IT-related goals regarding Cloud Computing environment with respective proper measures and target outcomes in order to monitor and evaluate value realization of cloud investments. Such alignments ought to address all the needs and concerns from various stakeholders including governments, citizens, businesses, and users with respect to expected value and risk appetite in order to achieve optimal level of enterprise performance and conformance.

In sum, ASEAN CSA Summit –Bangkok 2013 is a forum for sharing, discussing, collaborating, and setting a common direction for ASEAN Cloud Computing initiatives. The summit offers various sessions to discuss current critical gaps Cloud Security Alliance-CSA has against standards, good practices, and frameworks regarding IT/IS security driven by enterprise goals and ASEAN goals. The possible solutions to address those gaps at enterprise and national levels will also be discussed to provide guidance for CIOs, business leaders, and government agencies to consider and pursue in order to achieve benefits realization and effective risk management of Cloud Computing, as well as to optimize ICT resources.

GRC in SEPA and PMQA

ผมขอนำสไลด์ที่ใ้ช้ในการเป็น Panelist เพียง 2-3 สไลด์มาใช้ประกอบให้ท่านผู้อ่านได้ติดตามได้สะดวกขึ้น สำหรับสไลด์ที่เหลืออีกประมาณ 35 สไลด์นั้น ให้ท่านติดตามได้จาก http://www.csathailand.org นะครับ เพราะผมเองในการร่วมเป็น Panelist ก็ใช้เพียง 2-3 สไลด์หลัก ๆ นี้เท่านั้น

Cloud and GRC_Audit1

Cloud and GRC_Audit2

ความจริงข้อมูลข้างต้นผมได้ัจัดทำและนำเผยแพร่ตามที่ผมเข้าใจในกรอบของการจัดงาน ASEAN CSA Summit 2013 Bangkok Thailand ก่อนที่จะเข้ารับฟังและร่วมเป็น Panelists ในหัวข้อ Cloud Governance : Cloud and GRC (Audit) และหลังจากการมีส่วนร่วมในงานนี้แล้ว ผมก็ยังเข้าใจว่า ข้อมูลที่ได้เขียนไว้ก่อนหน้านี้ยังสามารถนำมาสื่อสารและสรุปตามที่กล่าวข้างต้นได้

สำหรับหัวข้อของผมที่พูดถึงเรื่อง GRC และ Audit เนื่องจากมีเวลาค่อนข้างจำกัดมาก ผมจึงอธิบายเรื่อง GRC และ Audit ได้ไม่เต็มที่นัก จึงขอเล่าสู่กันฟังเพิ่มเติมดังนี้ครับ

G+R+C ไม่เท่ากับ และไม่เป็น GRC และไม่ใช่ Integrated GRC อีกด้วย …ฟังแล้วก็อาจอยากฟังต่อ ก็ขออธิบายเชิงเปรียบเทียบเรื่องใกล้ๆตัวนะครับว่า…หิน+ปูน+ทราย ไม่เท่ากับ หรือไม่เป็น “ซิเมนต์” แต่เมื่อนำน้ำผสมคลุกเคล้ากับ หิน+ปูน+ทราย ก็จะได้ “ซิเมนต์” ณที่นี้ ซิเมนต์ก็คือมุมมองของ GRC หรือ Integrated GRC นั่นเอง…น้ำคือ “ความเข้าใจ” ในหลักการและกระบวนการทำงานของ GRC ที่ต้องผสมผสานกับหลักการบริหารแบบบูรณาการ/Integrated Management …หากจะพูดหรืออธิบายว่า..ซิเมนต์ ประกอบด้วย หิน+ปูน+ทราย ผสมกับน้ำ…นั่นคือ หลักการบริหารแบบบูรณการยุคใหม่ที่ไม่อาจบริหารแบบ SILO ให้ได้ผลตามความต้ัองการของผู้มีผลประโยชน์ร่วมได้อีก โดยเฉพาะอย่างยิ่งในยุค “Governance Enterprise of IT หรือ GEIT”

การอธิบาย GRC ในเวลาที่จำกัดตามที่กล่าวข้างต้นพอที่จะทำให้ท่านผู้อ่านได้เข้าใจความหมายของ GRC ได้ดีขึ้นระดับหนึ่ง แต่รายละเอียดต่าง ๆ ที่เกี่ยวข้องกับการบริหารและการจัดการแบบบูรณาการในลักษณะ Integrated Management and Audit นั้น คงต้องเล่ากันเป็นซีรีย์ยาวในโอกาสต่อ ๆ ไปนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

งาน ASEAN CSA-Cloud Security Alliance Summit – Bangkok 2013

กุมภาพันธ์ 4, 2013

วันนี้ผมจะได้พูดถึงเรื่องที่เกี่ยวข้องกับการจัดงาน ASEAN CSA Summit – Bangkok 2013 ในบางมุมมอง ดังนี้นะครับ

ASEAN CSA Summit – Bangkok 2013 จะมีแนวทางสร้างความเข้าใจร่วมกันในระดับหนึ่งของประชาชาติ ASEAN เมื่อมีการใช้ Cloud และผลกระทบที่เกิดขึ้นต่อธุรกิจในระดับ PPP- Public Private Partnership ตลอดจนมุมมองที่ผู้บริหารควรทราบก่อนการตัดสินใจใช้ Cloud และการใช้ Cloud เป็นสะพานเชื่อมโยง ASEAN ICT Master Plan กับ กลยุทธ์ต่างๆของ AEC ในปี 2015

การบริหารในแบบบูรณาการหรือ Integrated-GRC หรือ Integrated IT – GRC ที่มีเรื่อง Cloud นั้น มีความจำเป็นและมีความสำคัญยิ่งของทุกองค์กรและประเทศ ที่สนใจในการใช้ Cloud ไม่ว่าจะเป็น Private cloud หรือ Public cloud เนื่องมาจากค่าใช้จ่ายที่ประหยัดได้มากกว่า มีความสะดวกมากกว่าตามที่รับทราบกันมานั้น ว่า คุ้มค่ากับ Value driver ที่มาคู่กับ Risk driver จากการมีการใช้ Cloud ของผู้ต้องการใช้ในระดับต่าง ๆ มีความเข้าใจในการจัดการกับความเสี่ยงที่เหมาะสม เพื่อขับเคลื่อน Enterprise goals และ/หรือ ASEAN goals ได้ตามเป้าหมายที่กำหนด และมีตัวชี้วัดอะไร ในการติดตามและประเมินความสำเร็จดังกล่าวที่เป็นรูปธรรม

ประเด็นที่น่าคิดและพิจารณาของคณะกรรมการและผู้บริหารของทุกองค์กรและในระดับประเทศก็คือ เราทราบแล้วยังว่า ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของการใช้ Cloud ในมุมมองต่าง ๆ ของ Stakeholders ที่มีผลต่อการขับเคลื่อน Enterprise goals ตามเป้าประสงค์หลักทั้งสี่ของ Performance ที่ควรได้ดุลยภาพกับ Conformance และสัมพันธ์อย่างแนบแน่นกับ IT-related Goals คืออะไร องค์กรหรือประเทศจะสนองตอบและมีคำตอบที่ดี เป็นที่ยอมรับได้ทุกมุมมองอย่างได้ดุลยภาพของ Stakeholder ต่าง ๆ นั้น ควรพิจารณาจากปัจจัยอะไรบ้าง

ASEAN CSA Summit 2013

โดยงาน ASEAN CSA Summit 2013 ที่จะจัดขึ้นในวันที่ 7 – 8 กุมภาพันธ์ 2513 ที่โรงแรมเซ็นทารา แกรนด์ แอท เซ็นทรัลพลาซาลาดพร้าว กรุงเทพฯ ครั้งนี้ ผมเป็นผู้หนึ่งใน panalist ที่จะได้กล่าวถึงเรื่องของ Cloud Governance: Cloud and GRC (Audit) ซึ่งเป็นหัวข้อหรือ topic ในการเสวนา แสวงหาคำตอบ รวมถึงมีแนวทางร่วมกันว่า Cloud Security Alliance – CSA นั้นมีช่องว่างอะไรที่สำคัญเมื่อเทียบกับ Standards-Good practice-Good Framework ที่เกี่ยวกับ IT / IS Security -> IT – related Goals and Enterprise goals สู่ ASEAN หรือ AEC Goals เพื่อสนองตอบต่อ Internal & External Stakeholder หรือ Domestic and International ของทุกกลุ่มได้อย่างลงตัว และผู้บริหารจะมีแนวทางพิจารณาอย่างไรว่า องค์กร/ประเทศ มีคุณภาพในการบริหารผลประโยชน์ต่างๆด้วยการบริหารความเสี่ยง และบริหารทรัพยากรที่มีคุณภาพอย่างเหมาะสม เมื่อองค์กร /ประเทศจะใช้ หรือใช้ Cloud แล้วในการตอบสนองความต้องการของ Stakeholder ระดับต่าง ๆ อย่างมั่นใจได้

สำหรับงานที่จัดขึ้นนี้ยังมีรายละเอียดของหัวข้ออื่น ๆ ที่น่าสนใจอีกมากมาย ท่านผู้บริหาร หรือผู้ที่สนใจ หากมีโอกาสผมแนะนำให้ไปร่วมงาน โดยไม่มีค่าใช้จ่าย ซึ่งทุกท่านสามารถติดตามได้ที่ http://www.csathailand.org/ แล้วพบกันที่งานนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Cloud and Integrated GRC and Integrated IT – GRC

มกราคม 11, 2013

ปัจจุบันหลายองค์กรในหลาย ๆ ประเทศ ทั้งภาครัฐและเอกชน ต่างให้ความสนใจในการใช้ Cloud ซึ่งมีการประชาสัมพันธ์ว่า สะดวก รวดเร็ว คล่องตัว และประหยัด ทำให้ผู้บริหารระดับประเทศ ระดับองค์กรต่าง ๆ ให้ความสนใจเป็นอย่างมาก และมีความต้องการใช้เทคโนโลยี “Cloud”

วันนี้ผมจึงมีเรื่องพูดคุยกันในหัวข้อที่น่าสนใจคือ Cloud Security Alliance – CSA ที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ในทุกระดับว่า ควรจะมีแนวทางในการตัดสินใจอย่างไรบ้างเกี่ยวกับการใช้ Cloud เพราะหากไม่เข้าใจในเรื่อง Cloud อย่างแท้จริง โดยเฉพาะอย่างยิ่ง การบริหารจัดการกับความเสี่ยงที่ยอมรับได้ในมุมมองต่าง ๆ ก็จะก่อให้เกิดผลเสียเกินกว่าที่จะยอมรับได้นั้น จะมีแนวทางพิจารณาในเบื้องต้นอย่างไร ก่อนที่จะลงในรายละเอียดเพื่อตัดสินใจในเรื่องการใช้ Cloud เพราะมีต้นทุนในการตัดสินใจที่สูงมาก หากผู้บริหารตัดสินใจใช้ Cloud โดยไม่เข้าใจผลกระทบอย่างแท้จริงในมุมมองต่าง ๆ ที่มีผลต่อการดำเนินงาน ซึ่งอาจมีผลถึงการดำเ้นินงานอย่างต่อเนื่องอย่างมีนัยสำคัญได้ ซึ่งเป็นการพิสูจน์ในที่สุดว่า องค์กรได้ตัดสินใจผิดพลาดแล้วจากความไม่พร้อมในกระบวนการบริหารจัดการกับความเสี่ยงอย่างบูรณาการ (Integrated Risk Management)

Cloud and Integrated GRC and Risk Appetite

จากที่ผมได้กล่าวถึงข้างต้น เราควรจะมีแนวทางสร้างความเข้าใจร่วมกันในระดับหนึ่งของกลุ่มผู้ใช้ระบบ เมื่อมีการใช้ Cloud และผลกระทบที่เกิดขึ้นต่อธุรกิจในระดับ PPP- Public Private Partnership ตลอดจนมุมมองที่ผู้บริหารควรทราบก่อนการตัดสินใจใช้ Cloud และการใช้ Cloud เป็นสะพานเชื่อมโยงไปสู่กลยุทธ์ต่าง ๆ ในการวางแผนการดำเนินงานขององค์กร

การบริหารในแบบบูรณาการหรือ Integrated-GRC หรือ Integrated IT – GRC ที่มีเรื่อง Cloud นั้น มีความจำเป็นและเป็นสิ่งสำคัญอย่างยิ่งของทุกองค์กร และประเทศ ที่สนใจในการใช้ Cloud ไม่ว่าจะเป็น Private cloud หรือ Public cloud เนื่องมาจากค่าใช้จ่ายที่ประหยัดได้มากกว่า มีความสะดวกมากกว่าตามที่รับทราบกันมานั้น ว่า คุ้มค่ากับ Value driver ที่มาคู่กับ Risk driver จากการมีการใช้ Cloud ของผู้ต้องการใช้ในระดับต่าง ๆ มีความเข้าใจในการจัดการกับความเสี่ยงที่เหมาะสม เพื่อขับเคลื่อน Enterprise goals ได้ตามเป้าหมายที่กำหนด และมีตัวชี้วัดอะไร ในการติดตามและประเมินความสำเร็จดังกล่าวที่เป็นรูปธรรม

ประเด็นที่น่าคิดและพิจารณาของคณะกรรมการและผู้บริหารของทุกองค์กรและในระดับประเทศก็คือ เราทราบแล้วหรือยังว่า ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของการใช้ Cloud ในมุมมองต่าง ๆ ของ Stakeholders ที่มีผลต่อการขับเคลื่อน Enterprise goals ตามเป้าประสงค์หลักทั้งสี่ของ Performance ที่ควรได้ดุลยภาพกับ Conformance และสัมพันธ์อย่างแนบแน่นกับ IT-related Goals คืออะไร องค์กรหรือประเทศจะสนองตอบและมีคำตอบที่ดี เป็นที่ยอมรับได้ทุกมุมมองอย่างได้ดุลยภาพของ Stakeholder ต่าง ๆ นั้น ควรพิจารณาจากปัจจัยอะไรบ้าง

เราควรหาคำคอบและมีแนวทางร่วมกันว่า Cloud Security Alliance – CSA นั้นมีช่องว่างอะไรที่สำคัญเมื่อเทียบกับ Standards-Good practice-Good Framework ที่เกี่ยวกับ IT / IS Security -> IT – related Goals and Enterprise goals สู่เป้าหมายขององค์กร เพื่อสนองตอบต่อ Internal & External Stakeholder หรือ Domestic and International ของทุกกลุ่มได้อย่างลงตัว และผู้บริหารจะมีแนวทางพิจารณาอย่างไรว่า องค์กร/ประเทศ มีคุณภาพในการบริหารผลประโยชน์ต่าง ๆ ด้วยการบริหารความเสี่ยง และบริหารทรัพยากรที่มีคุณภาพอย่างเหมาะสม เมื่อองค์กร / ประเทศจะใช้ หรือใช้ Cloud แล้วในการตอบสนองความต้องการของ Stakeholder ระดับต่าง ๆ อย่างมั่นใจได้

ผมจะนำเรื่องนี้มาแลกเปลี่ยนความคิดเห็นกันในโอกาสต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5

ธันวาคม 22, 2012

วิวัฒนาการของ IT Management สู่ GEIT/COBIT5

ก่อนจะก้าวสู่ Quality Management Cycle โดย IT Governance ผ่านกระบวนการบริหารจัดการทางด้านการบริหารสารสนเทศที่ดี ตามกรอบที่เรียกว่า COBIT 4.1 เพื่อการเติบโตอย่างยั่งยืน สนองตอบต่อผู้มีผลประโยชน์ร่วมทั้งภายในและภายนอกองค์กรนั้น องค์กรส่วนใหญ่ได้ผ่านกระบวนการบริหารการจัดการสารสนเทศ ที่เรียกว่า IT Management มาก่อน แต่ก็มีหลายองค์กรที่มีระดับการจัดการ IT Management ที่แตกต่างกันมาก ส่งผลกระทบต่อประสิทธิผลและประสิทธิภาพที่มีต่อ Business Performance ในมุมมองของ Business Balanced Scorecard ทั้ง 4 โดยเฉพาะอย่างยิ่ง การขาดดุลยภาพระหว่าง Business Performance กับ Businesss Conformance ที่กล่าวถึงการบริหารให้สอดคล้องกับกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบ และ คำสั่งต่าง ๆ ที่เกี่ยวข้อง

ดังนั้น หน่วยงานกำกับภาครัฐบางแห่ง จึงมีการกำหนดการประเมินผล IT Managment ซึ่งได้ศึกษามาจากการบริหารการจัดการสารสนเทศที่ดีในเอกสารต่าง ๆ ที่เกี่ยวข้อง ซึ่งก็นับว่าได้ผลดีในระดับหนึ่ง โดยรายละเอียดต่าง ๆ ที่เกี่ยวข้องเป็นการเบื้องต้นนั้น ผมจะได้นำมาเล่าต่อท้ายจากบทสรุปนี้นะครับ ในช่วงเริ่มต้นนี้ ผมเพียงอยากจะเชื่อมโยงและเล่าเรื่องที่เกี่ยวข้องกับวิวัฒนาการ IT Managment ว่าก้าวไปสู่การบริหารแบบ Integrated Single Framework ที่เรียกว่า GEIT/COBIT 5 อย่างไร

แต่ก่อนที่จะก้าวไปสู่การบริหารแบบ Integrated Single Framework ที่เรียกว่า GEIT/COBIT 5 นั้น วิวัฒนาการของการบริหาร IT Management ได้ก้าวไปสู่การบริหารภายใต้หลักการที่เรียกว่า IT Governance ซึ่งก็มีวิวัฒนาการของตัว IT Governance เองมาตามลำดับ ซึ่งต่อไปผมจะได้นำแผนภาพมาเล่าสู่กันฟังในการบรรยายโดยละเอียดนะครับ ในขั้นนี้ ผมขอเล่าจากความก้าวหน้าของ IT Management ที่มีการประเมินผลโดยหน่วยงานภาครัฐ ที่ก้าวไปสู่การบริหารการจัดการที่ดีอย่างเป็นกระบวนการ ที่เรียกว่า COBIT 4.0 – 4.1 ซึ่งทางหน่วยงานกำกับภาครัฐบางแห่ง ก็ได้แนะนำให้หน่วยงานภายใต้สังกัดบริหารตามหลักการสำคัญ 9 กระบวนการ จาก 34 กระบวนการ

ถึงแม้หลักการ COBIT 4.1 จะสนองตอบต่อการบริหารองค์กรในภาพโดยรวมที่ดีพอสมควรแล้วก็ตาม แต่ก็ยังไม่พอเพียง เพราะบางมุมมองของการจัดการทางด้านเทคโนโลยีสารสนเทศ ที่ต้องมีความสัมพันธ์กับเป้าประสงค์ขององค์กร ยังไม่สามารถ Mapping หรือเข้ากันได้ดีนัก และบางกรณี การอธิบายก็ยังมีความสับสนโดยบางมุมมอง วิวัฒนาการของการบริหารแบบบูรณาการหรือที่เรียกว่า Integrated Single Framework จึงเกิดมีขึ้นตามมา ซึ่งเรียกว่า Governance of Enterprise IT – GEIT หรือ Corporate Governance of Enterprise IT ซึ่งเป็นกรอบใหญ่ที่ครอบคลุมกระบวนการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศที่สัมพันธ์กับ Enterprise Goals ที่สามารถสนองตอบต่อผู้มีผลประโยชน์ร่วมทุกฝ่ายได้อย่างลงตัวนั้น เป็นเรื่องที่น่าสนใจเป็นอย่างมาก เพราะ Enterprise Goals สามารถเชื่อมโยงหรือ Mapping ได้อย่างแนบสนิทกับ IT-related Goals ที่สามารถสร้างความเข้าใจให้กับคณะกรรมการ ผู้บริหารระดับสูง และผู้ปฏิบัติที่เกี่ยวข้องได้เป็นอย่างดี

ITM to Integrated IT-GRC to CEIT_COBIT5 in GRC

ผมจึงขอเล่าเรื่องความเป็นมาโดยย่อของ IT Management ที่ก้าวสู่ Integrated Single Framework ที่เรียกว่า GEIT/COBIT 5 สรุปได้ดังนี้

การบริหารสารสนเทศ (IT Management)
ระบบสารสนเทศสามารถนำมาช่วยสนับสนุนการดำเนินงานและเพิ่มประสิทธิภาพขององค์กรโดยทั่วไปได้เป็นอย่างดีและเป็นความจำเป็นอย่างยิ่งที่ทุกองค์กร ไม่ว่าจะมีขนาดเล็กหรือขนาดใหญ่ จะหวังกำไรหรือไม่หวังกำไรก็ตาม ไม่สามารถขาดระบบสารสนเทศเพื่อนำมาใช้ในกระบวนการจัดการที่ดีได้ เพราะสารสนเทศจะมีบทบาทเป็นโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานขององค์กร อันเนื่องมาจากความสามารถของระบบในการรองรับธุรกรรมจำนวนมาก ดังนั้น การบริหารการจัดการสารสนเทศขององค์กร จำเป็นต้องมีการปรับปรุงแผนแม่บทเทคโนโลยีสารสนเทศ (IT Master Plan) ที่สามารถตอบสนองต่อความต้องการและนโยบาย รวมทั้งกลยุทธ์ที่จำเป็นต้องเปลี่ยนแปลงไปตามสภาพแวดล้อมขององค์กร เพื่อให้สนองตอบต่อความต้องการของผู้มีผลประโยชน์ร่วมเป็นหลัก

หน่วยงานกำกับ โดยเฉพาะหน่วยงานการกำกับภาครัฐ จะมีแนวทางการกำหนดการประเมินผลกระบวนการจัดการเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ซึ่งในตอนต้น ๆ จะเรียกว่าเป็นการประเมินในเรื่อง IT Management โดยมีหลักการสั้น ๆ ที่ประกอบด้วย 2 ส่วนหลัก ๆ คือ
ส่วนแรก หน่วยงานต้องจัดให้มี IT Master Plan ที่สัมพันธ์กับ Business Plan และ ส่วนที่สอง การบริหารจัดการสารสนเทศ (IT Management) ที่ต้องประกอบด้วยแผนงานทางด้าน IT ที่สัมพันธ์กับ IT Master Plan โดยมีหัวข้อย่อยที่เกี่ยวกับการประเมินการบริหารจัดการสารสนเทศ ดังนี้

2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการขององค์กร
– ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
– ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
– ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
– ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
– ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
– การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)
 การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security)
 การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
– การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายใน เพื่อสร้างความมั่นใจได้ว่าองค์กรปฏิบัติได้ตาม กฏระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชี และการเงิน
– ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่า ระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)
– การดำเนินงานตามแผนงาน/โครงการหลักด้านสารสนเทศที่มีมูลค่าสูง และมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
– ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
– การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
– การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่าง ๆ ของรัฐบาล
– การลดขั้นตอนและการอำนวยความสะดวกแก่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน
 การลดระยะเวลา / ลดขั้นตอน ในการให้บริการด้านการอนุมัติ / อนุญาต
 ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายนอกองค์กร การติดต่อได้หลายช่องทาง หรือ การให้บริการ Online
 การเชื่อมโยงข้อมูลกับหน่วยงานภายนอกอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชนที่มาติดต่อ
 One Stop Service ในการให้บริการต่าง ๆ รวมทั้งที่ร่วมกับหน่วยงานอื่นภายนอกองค์กรเพื่อให้บริการร่วมกันที่จุดเดียว
– ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กรได้
– การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย
– การเปิดเผยข้อมูลต่าง ๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร
– การลดขั้นตอนและการอำนวยความสะดวกแก่พนักงานและผู้รับบริการภายในองค์กร
 การลดระยะเวลา / ลดขั้นตอน ในการให้บริการด้านการอนุมัติ / อนุญาต
 ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายในองค์กร การติดต่อระหว่างหน่วยงานภายในได้หลายช่องทาง
– การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
– ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้
– การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

ในวันนี้ ผมจึงเล่าแค่เพียงเริ่มต้นถึง IT Management ก่อนที่จะก้าวมาสู่ IT Governance ซึ่งเป็นร่มใหญ่ภายใต้กรอบของ Corporate Governance ก่อนจะก้าวมาสู่ Integrated IT-GRC และ CGEIT/COBIT 5 เท่านั้น ซึ่งในรายละเอียดผมจะได้กล่าวถึงในตอนต่อ ๆ ไปตามลำดับนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (4)

พฤศจิกายน 24, 2012

จากรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบต่าง ๆ นั้น ดังที่ผมได้กล่าวไปแล้วว่า การทำ CSA ส่วนใหญ่จะใช้วิธีการประชุมเชิงปฏิบัติการในการทำ CSA แต่ก็ยังมีวิธีการสำรวจและวิธีการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมด้วยเช่นกัน มาติดตามกันว่า 2 วิธีดังกล่าวนี้มีรายละเอียดอย่างไรบ้างกันดีกว่าครับ

วิธีการสำรวจ
แบบสอบถามหรือการทำสำรวจเพื่อ CSA ใช้แบบฟอร์มการสำรวจ ในการเสนอโอกาสเพื่อคำตอบง่าย ๆ ว่า “ใช่/ไม่ใช่” หรือ “มี/ไม่มี” เจ้าของกระบวนการใช้ผลของการสำรวจในการประเมินโครงสร้างการควบคุม

ผู้ตรวจสอบได้มีการใช้แบบสอบถามมาเป็นเวลาหลายปีและนำมาใช้ในการทำ CSA ซึ่งไม่มีความแตกต่างกันมากนัก สิ่งหนึ่งที่แตกต่างระหว่างแบบสอบถามที่ใช้ในการตรวจสอบ และแบบสอบถามที่ใช้ในการทำ CSA คือแบบสอบถามเพื่อใช้ใน CSA จำเป็นต้องเขียนตามภาษาของผู้รับ ไม่ใช้ของผู้ตรวจสอบ เนื่องจากไม่มีผู้รับผิดชอบในการตีความหรือไขข้อสงสัยของคำถามให้ผู้รับ ดังนั้นพวกเขาจะตอบคำถามตามที่เขาตีความหรือข้ามไปหากไม่เข้าใจ

แบบสอบถามถูกใช้บ่อยเมื่อวัฒนธรรมองค์กรไม่ยอมรับหรือสนับสนุนให้มีส่วนร่วมในการตอบในการประชุมเชิงปฏิบัติการ (เมื่อผู้เข้าร่วมไม่อภิปรายอย่างเปิดเผยตรงไปตรงมา) ที่เป็นเช่นนี้เพราะกลัวการโต้ตอบจากผู้บริหาร กลัวการสนับสนุนของกลุ่มเพื่อน หรือปัจจัยอื่น ๆ

การสำรวจสามารถใช้เพื่อขยายขอบเขตที่ครอบคลุมของการประเมินตนเองได้ โดยสามารถส่งแบบสอบถามให้กับคนเป็นจำนวนมากได้ในครั้งเดียว แต่อาจต้องใช้เวลาและความร่วมมืออย่างมากในการรวมคนกลุ่มเดียวกันให้เข้ามาร่วมประชุมเชิงปฏิบัติการ

การตอบสนองของการสำรวจอาจไม่มีการระบุชื่อหรือผู้ตอบอาจถูกขอร้องให้เปิดเผยชื่อ ซึ่งจะส่งผลว่าการมองการตอบนั้น ตอบอย่างซื่อสัตย์และถูกต้องได้อย่างไร ผู้ใช้การสำรวจเกือบทั้งหมดเห็นด้วยว่าการใช้การสำรวจโดยไม่มีการติดตามผลหรือการตรวจสอบการตอบทำให้ไม่ได้ผลลัพธ์ที่ถูกต้อง หากผู้ตอบรู้ว่าไม่มีใครติดตามการตอบของพวกเขา ก็จะมีแนวโน้มการตอบแบบสำรวจในลักษณะที่จะทำให้มีจำนวนงานที่ติดตามน้อยที่สุด ผู้ตอบจำนวนมากกล่าวได้ว่าทุกสิ่งทุกอย่างลงตัว แม้ว่าไม่เป็นความจริง ถ้าพวกเขารู้ว่าไม่มีใครอาจจับเขาได้

การสำรวจสามารถเป็นที่ชื่นชอบในการประชุมเชิงปฏิบัติการบนพื้นฐาน CSA ภายในสภาพแวดล้อมดังต่อไปนี้
• วัฒนธรรมองค์กรไม่พร้อมที่จะแบ่งปันข่าวสารข้อมูลที่ละเอียดอ่อนต่อการควบคุมในการประชุมเชิงปฏิบัติการแบบเปิดเผย
• ผู้บริหารมีความกังวลอย่างมากเกี่ยวกับเวลาที่ต้องการให้ลูกจ้างเข้าร่วมการประชุม
• ผู้ตรวจสอบมองหาหนทางลดค่าใช้จ่ายเพื่อให้ได้มาซึ่งข้อมูลเกี่ยวกับความเสี่ยงเพื่อใช้ในการเตรียมแผนการ ตรวจสอบประจำปี
• ไม่ได้แสดงทักษะในการตรวจสอบในการประชุมเพื่ออำนวยความสะดวก
• ขอบเขตของการประเมินตนเองคือความกว้างขวางขององค์กรและความต้องการข้อมูลข่าวสารอย่างรวดเร็ว

เทคนิคของการสำรวจที่ประสบความสำเร็จ
แม้ว่าจะมีการกล่าวไว้อย่างมากว่า การทำการสำรวจง่ายกว่าการวางแผนและการอำนวยความสะดวกในการประชุม CSA แต่ยังคงใช้ทักษะของตนเองอยู่ด้วย สิ่งที่ดีที่สุดคือการเตรียมการประชุมโดยการฝึกฝน แต่นั่นหมายความว่าจะต้องเกิดการผิดพลาดก่อน การใช้งานใครบางคนให้เกิดประโยชน์สูงสุดด้วยการนำประสบการณ์มาใช้ในการเขียนแบบสำรวจเป็นสิ่งสำคัญ หากส่วนงานเลือกวิธีการสำรวจในการทำ CSA ส่วนงานบริหารทรัพยากรมนุษย์สามารถช่วยได้โดยใช้เทคนิคการสำรวจ

การแนะนำที่เป็นประโยชน์ในการเตรียมแบบสอบถามประกอบด้วย
• ใช้ภาษาของผู้รับ
• ใช้หนึ่งคำถามต่อหนึ่งหัวข้อ
• ใช้คำศัพท์ที่มีความหมายชัดเจน
• ถามคำถามที่ง่ายต่อการตอบในครั้งแรก
• ทำแบบสอบถามให้สั้นและง่าย
• เขียนแบบสอบถามในลักษณะของผู้ปฏิบัติเอง
• แจกและเก็บคืนแบบสอบถามด้วยตนเอง
• ใช้แบบสอบถามให้เป็นเครื่องมือการสนทนาในการสัมภาษณ์

การใช้คำถามต้องการเพียงคำตอบว่า “ใช่” หรือ “ไม่ใช่” ทำให้การสำรวจง่ายในการรวบรวมมากกว่าการใช้คำถามแบบเปิด แต่อาจจะไม่ให้ผลเป็นประโยชน์ต่อการประเมินเพื่อการควบคุม ยกตัวอย่าง มีความแตกต่างมากถึงวิธีที่ผู้จัดการใช้ตอบคำถามสำหรับหน่วยงานของตนเอง
• พนักงานกังวัลในเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (ใช่)
• จะแน่ใจได้อย่างไรว่าพนักงานให้ความสนใจเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)
• พนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (เห็นด้วย)
• จะทราบได้อย่างไรว่าพนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)

ดังนั้นการสอบถามจากบุคคลแต่ละโดยตรงจะได้คำตอบที่แตกต่างกว่าหากผู้จัดการแผนกได้ถามคำถามเดียวกันให้กับแผนก

ผลดีและผลเสียของการสำรวจ
การศึกษาวิจัย IIA เรื่อง การนำรูปแบบการควบคุมไปปฏิบัติบัติ: วิธีปฏิบัติที่ดีที่สุด ประกอบด้วยข้อมูลเกี่ยวกับการสำรวจและแบบสอบถามพร้อมด้วยตัวอย่างของการสำรวจ วัตถุประสงค์ของบทนี้เราจะสิ้นสุดเรื่องหัวข้อการสำรวจด้วยการมองผลดีและผลเสียเพื่อใช้เปรียบเทียบการประชุมเชิงปฏิบัติการ

ตามประสบการณ์ของผม การสำรวจหรือแบบสำรวจถูกใช้ประมาณ 30 เปอร์เซ็นต์ของความพยายามในการทำ CSA และมักติดตามด้วยการประชุมเชิงปฏิบัติการหรือการสัมภาษณ์ผลลัพธ์ที่เกิดขึ้น

การวิเคราะห์ที่ทำโดยผู้บริหาร
การวิเคราะห์นี้รวมถึงวิธีทางต่าง ๆ ที่อาจสร้างข้อมูลเกี่ยวกับการควบคุมสำหรับผู้บริหาร การประชุมเชิงปฏิบัติการและการสำรวจเป็นรูปแบบที่นิยมมากสำหรับการทำ CSA

ตัวอย่างบางส่วนของการวิเคราะห์ที่ทำโดยผู้บริหารได้แก่
• แบบสำรวจที่ได้รับการพัฒนาและจัดการโดยผู้บริหารในการสนับสนุนความคิดเห็นเกี่ยวกับการควบคุมภายในที่กฎหมายและกฎระเบียบต้องการ ดังเช่น พระราชบัญญัติการปรับปรุง FDIC
• การอภิปรายท่ามกล่างผู้บริหารการเงินอาวุโสในการสนับสนุนหนังสือนำเสนอประจำปีซึ่งนักบัญชีภายนอกต้องการ
• การสอบสวนหาเหตุผลว่าทำไมการควบคุมเฉพาะเจาะจงถึงล่มสลายหรือล้มเหลว
• การตรวจสอบการนำการควบคุมภายในไปปฏิบัติของระบบใหม่ที่ได้รับพัฒนาหรือการรวมหน่วยทางธุรกิจ

ธรรมชาติและรูปแบบของประเภทของการประเมินตนเองมีความหลากหลาย รูปแบบที่เป็นที่นิยมมากในการทำ CSA และสิ่งที่คนทั่วไปมีแนวโน้มจะคิดถึงเมื่อกล่าวถึง CSA คือการประชุมเชิงปฏิบัติการและการสำรวจ

ตามที่ได้รับทราบไปแล้ว CSA ได้ถูกปฏิบัติอย่างแตกต่างโดยผู้ปฏิบัติทั้งหมด การทำ CSA ที่แตกต่างนั้น ไม่ได้หมายความว่าคนใดคนหนึ่งทำผิด หากการอำนวยความสะดวกในการประชุม, การสำรวจ, หรือการวิเคราะห์อื่น ๆ ช่วยให้องค์กรบรรลุวัตถุประสงค์แล้วสิ่งนั้นย่อมเป็นจุดสำคัญในทางใดทางหนึ่ง

สำหรับครั้งหน้าผมจะมาเล่าให้ฟังว่าทำไมการทำ CSA-Control Self Assessment ถึงต้องกำหนดวัตถุประสงค์ของความเสี่ยงและการควบคุมความเสี่ยง อย่าลืมติดตามนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »