IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 2)

พฤศจิกายน 28, 2013

<strong>วิวัฒนาการของ IT Management สู่ -> COBIT4.1 -> GEIT/COBIT5</strong>

ตั้งแต่ วันที่ 22 ธันวาคม 2555 ผมได้เคยเขียนเล่าเรื่องวิวัฒนาการของ IT Management สู่ GEIT/COBIT5 มานานพอสมควร แต่เนื่องจากมีเหตุการณ์และเรื่องราวที่เป็น hot issue เข้ามาแทรกในช่วงตั้งแต่เวลานั้นค่อนข้างมาก ผมจึงใช้เวลามาจนถึงวันนี้ที่จะเล่าเรื่องต่อในหัวข้อดังกล่าว ซึ่งได้เริ่มว่า…

ก่อนจะก้าวสู่ Quality Management Cycle โดย IT Governance ผ่านกระบวนการบริหารจัดการทางด้านการบริหารสารสนเทศที่ดี ตามกรอบที่เรียกว่า COBIT 4.1 เพื่อการเติบโตอย่างยั่งยืน สนองตอบต่อผู้มีผลประโยชน์ร่วมทั้งภายในและภายนอกองค์กรนั้น องค์กรส่วนใหญ่ได้ผ่านกระบวนการบริหารการจัดการสารสนเทศ ที่เรียกว่า IT Management มาก่อน แต่ก็มีหลายองค์กรที่มีระดับการจัดการ IT Management ที่แตกต่างกันมาก ส่งผลกระทบต่อประสิทธิผลและประสิทธิภาพที่มีต่อ Business Performance ในมุมมองของ Business Balanced Scorecard ทั้ง 4 โดยเฉพาะอย่างยิ่ง การขาดดุลยภาพระหว่าง Business Performance กับ Businesss Conformance ที่กล่าวถึงการบริหารให้สอดคล้องกับกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบ และ คำสั่งต่าง ๆ ที่เกี่ยวข้อง

….

Slide1
การบริหารจัดการเทคโนโลยีสารสนเทศ (IT  Management) เพื่อการบริหารการเปลี่ยนแปลง (Change Management Process) ที่เกี่ยวข้องกับการเพิ่มประสิทธิภาพ และประสิทธิผลในการดำเนินงาน และสร้างความมั่นใจต่อผู้ที่เกี่ยวข้อง/ผู้มีผลประโยชน์ร่วม เพื่อยกระดับกระบวนการบริหารและการจัดการที่ดีในการขับเคลื่อนเป้าประสงค์ที่สัมพันธ์ และสอดคล้องกับการประเมินผลของผู้กำกับฯ ที่เกี่ยวข้องกับการบริหารและการจัดการสารสนเทศที่ดี (IT Governance) ตามแนวทางของ COBIT

ในวันนี้ผมจะมาเล่าสู่กันฟังในเรื่องที่หลายท่านสนใจก็คือเรื่อง การจัดทำแผนปฏิบัติงาน (Action Plan/Implementation Plan)  ซึ่งใช้เป็นแนวทางการบริหารการเปลี่ยนแปลงเพื่อยกระดับการบริหารสารสนเทศที่เกี่ยวข้อง (IT Management)  โดยมีความสอดคล้องกับผลการประเมินช่องว่างตามกรอบ IT Governance COBIT 4.1

โดยจะนำเสนอแผนการดำเนินงานทั้งหมด 9 แผนงานหลัก ซึ่งสอดคล้องกับกระบวนการด้าน IT ในระดับ High Level 9 กระบวนการ (Process) รวมทั้งสิ้น 34 กระบวนการ จาก 4 Domain ซึ่งในแต่ละแผนงานมีองค์ประกอบหลัก คือ แนวทางปฏิบัติที่ดี ความเชื่อมโยงกับวัตถุประสงค์ด้านไอทีและวัตถุประสงค์ทางธุรกิจ วัตถุประสงค์ ระยะเวลาดำเนินงาน ผู้รับผิดชอบ วิธีการดำเนินงาน (Implementation) ตัวชี้วัด และทรัพยากรที่ใช้  ทั้งนี้ โดยมีเป้าประสงค์ที่จะก่อให้เกิดการสร้างคุณค่าเพิ่มตามความคาดหวังของผู้มีผลประโยชน์ร่วมที่เกี่ยวข้องกับการบริหารทรัพยากรทางด้านเทคโนโลยีสารสนเทศ ซึ่งได้แก่ บุคลากร ระบบงานประยุกต์ เทคโนโลยี สิ่งอำนวยความสะดวก และข้อมูล ที่สัมพันธ์กับการบริหารความเสี่ยงอย่างได้ดุลยภาพ เพื่อให้ได้คุณลักษณะที่ดีของสารสนเทศ 7 ประการที่เกี่ยวกับ ประสิทธิผล ประสิทธิภาพ การรักษาความลับ ความครบถ้วนถูกต้อง สภาพพร้อมใช้งาน การปฏิบัติตามกฎ และความเชื่อถือได้ ซึ่งจะเกี่ยวข้องกับกระบวนการ (Process) ทั้ง 9 เพื่อนำไปจัดทำแผนงานตามกระบวนการต่าง ๆ ดังนี้

1)    การจัดทำแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (Define a Strategic IT Plan) เพื่อให้องค์กรได้รับประโยชน์สูงสุดจากการใช้ IT
2)    การประเมินและบริหารจัดการความเสี่ยง (Assess and Manage IT Risks) เพื่อให้ IT สามารถตอบสนองความต้องการของผู้บริหารในการตัดสินใจเพื่อลดความเสี่ยง โดยให้ข้อมูลที่เป็นรูปธรรม และชี้ให้เห็นประเด็นที่สำคัญ
3)    การบริหารจัดการโครงการ (Manage Projects) เพื่อกำหนดระดับความสำคัญ และดำเนินการให้แล้วเสร็จภายในเวลาและงบประมาณที่กำหนด
4)    การบริหารจัดการการเปลี่ยนแปลง (Manage Changes) เพื่อลดโอกาสการหยุดชะงัก การแก้ไขโดยพลการ และความผิดพลาด
5)    การสร้างความมั่นใจในความปลอดภัยของระบบ (Ensure Systems Security) เพื่อปกป้องข้อมูลจากการถูกใช้ เปิดเผย แก้ไข ทำลาย โดยไม่ได้รับอนุมัติหรือการสูญหาย
6)    การจัดการข้อมูล (Manage Data) เพื่อให้มั่นใจว่าข้อมูลมีความสมบูรณ์ ถูกต้องและน่าเชื่อถือ สำหรับ input, update และ storage
7)    การติดตามและประเมินผลเทคโนโลยีสารสนเทศ (Monitor and Evaluate IT Performance) เพื่อให้มั่นใจว่ากิจกรรมด้าน IT สามารถบรรลุเป้าหมายการปฏิบัติงานตามที่กำหนด
8)    การสร้างความมั่นใจในการปฏิบัติตามความต้องการจากภายนอก (Ensure Compliance with External Requirement) เพื่อเพิ่มความมั่นใจ และความไว้วางใจระหว่างองค์กร ผู้ใช้ และบุคคลภายนอก
9)    การจัดการด้านเทคโนโลยีสารสนเทศที่ดีหรือธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (Provide IT Governance) เพื่อเพิ่มระดับความมั่นใจและให้เกิดประโยชน์ทางธุรกิจจาการใช้ทรัพยากรเทคโนโลยีสารสนเทศสูงสุด

Slide2

ในครั้งต่อไปผมจะมาเล่าสู่กันฟังในเรื่องของการจัดทำแผนปฏิบัติงาน (Action Plan/Implementation Plan) ทั้ง 9 กระบวนการ ซึ่งเป็นเรื่องที่น่าสนใจเป็นอย่างมากสำหรับผู้ที่เกี่ยวข้อง ไม่ว่าจะเป็น CIO ผู้บริหารระดับสูง หัวหน้าผู้ตรวจสอบ ผู้ตรวจสอบทางด้าน IT และ Non-IT รวมทั้ง Integreated Auditor ยุคใหม่พึงเข้าใจ เพราะวัตถุประสงค์ทางธุรกิจ (Interprise Goals/Business Goals) จะต้องมีความสัมพันธ์กับ IT-Related Goals ซึ่งจะเกี่ยวข้องกับการบริหารในแต่ละกิจกรรมตามกระบวนการทั้ง 9 จาก 34 กระบวนการ ตาม COBIT 4.1 ซึ่งต่อมาจะวิวัฒนาการไปสู่ COBIT 5

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Crossing Borders CIOs’ Innovation & Inspiration and Integrated Management – What CEOs Want From CIOs ตอนที่ 2 Evolution of the IT Leadership Role

ตุลาคม 1, 2013

วันนี้ผมจะกล่าวต่อจากตอนที่ 1 ซึ่งอาจสรุปได้ว่าการเปลี่ยนแปลงบทบาทของ CIO ในปัจจุบันนั้น มีความสำคัญอย่างยิ่งที่นำไปสู่กระบวนทัศน์ใหม่ ทั้งในมุมมองของ CIO และ CEO และคณะกรรมการชุดต่าง ๆ ทั้งด้านทั่วไปและทางด้าน IT เพราะการบริหารยุคใหม่ ซึ่งได้เริ่มขึ้นแล้วอย่างเป็นรูปธรรมที่ปฏิบัติได้จริง ที่กล่าวถึงเรื่อง Integrated Management หรือการบริหารองค์กร/ธุรกิจอย่างเป็นบูรณาการนั้น ผู้บริหารทุกภาคส่วนจำเป็นจะต้องมีแนวคิดของการสร้างคุณค่าเพิ่ม ไม่ว่าจะในมุมมองของ CIO เพื่อเชื่อมต่อไปยังวัตถุประสงค์ของการบริหารตามมุมมองของ CEO หรือกลับกันนั้น เป้าหมายหลักของธุรกิจ/องค์กร ก็คือ การสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม เพื่อการบรรลุวัตถุประสงค์ตามมุมมองของ Enterprise Goals เป็นสำคัญที่ต้องเชื่อมโยงกับ IT Related Goals อย่างแยกกันไม่ได้ในทุกองค์ประกอบและในทุกปัจจัยของการกำกับ ควบคุม และติดตามผลโดยคณะกรรมการ ตามหลักการของ Integrated Governance และ Integrated Management ตามลำดับ

เพื่อให้ท่านผู้อ่านที่ได้ติดตามเรื่องนี้มาตั้งแต่ต้น ได้เห็นภาพการเปลี่ยนแปลงทางด้านการบริหารของผู้นำทางด้าน IT หรือ CIO ตั้งแต่ยุคแรก ปี ค.ศ. 1950s หรือ ปี พ.ศ. 2493 ถึงปัจจุบัน (ค.ศ. 2013 หรือ พ.ศ. 2556)
ผมขออ้างอิงเอกสารของ KORN/FERRY INTERNATIONAL ที่กล่าวถึง การเปลี่ยนแปลงบทบาทของผู้บริหารหรือผู้นำทางด้าน IT หรือ CIO ดังนี้

  • 1950s – Tab Supervisor
  • 1960s – Data Processing Manager
  • 1970s – MIS Director
  • 1980s – Vice President of Information Systems
  • 1990s – SVP/EVP & Chief Information Officer
  • 2000s – ????
  • 2001-2002 – End of the Technology Bubble

– Dot-com implosion
– Deep corporate IT cost cutting
– Focus on tactical operations post – Y2K/ERP

  • 2003-2007 – “The 21st Century CIO”

– Comprehensive definition of the “C-level” IT role
– Strategic alignment and governance
– Process & operational optimization/ERP
– Business intelligence and customer intimacy
– Value creation

  • 2008-2010 – Dealing with Global Recession

– Cost management, modest budget & staff reduction
– “21st Century CIO Agenda” Still a mandate

Change and Innovation_Business Transformation10 ข้อจากนี้ไป คือ การเปลี่ยนแปลงของผู้บริหาร หรือ CIO ในยุคปัจจุบัน ทั้งนี้ขอให้ท่านในฐานะเป็นคณะกรรมการ หรือผู้บริหารระดับสูง รวมทั้ง CEO และ CIO ได้ประเมินการบริหารความเสี่ยงด้วยตนเอง ซึ่งเรียกย่อ ๆ CSA – Control Self Assessment ตามมุมมองของ IT Management เพื่อก้าวไปสู่ Enterprise Management หรือ Enterprise Golas ตามลำดับ ในบางมุมมองของ CIO ที่น่าจะสอดคล้องกับความต้องการของ CEO ยุคใหม่ ดังนี้:

1. IT Strategy – Business strategy alignment, business case and projected return on investments, priorities versus resources
2. IT Governance – Portfolio managment, IT investment funding and review process, performance measurement, project management (PMO), SDLC, processes, standards, procurement
3. IT Organization & Staffing – Centralized, decentralized, fereral model, shared services; reporting relationships, FTEs, staff augmentation, on/near/off-shore, capability/maturity, training
4. Technology – Architecture; bleeding/leading edge or trailing; build or buy, suite or best-of-breed; infrastructure and networking insourced/outsourced, total cost of ownership (TCO), support
5. Technology Awareness – Board of Directors, senior and middle management, rank and file
6. Corporate Governance – Compliance, disaster recovery, business continuity, security, privacy, intellectual property protection
7. Business Intelligence – Data modeling & warehousing, metrics, analytics, forecasting & modeling
8. ERP – Business integration, value chain, process improvement & innovation, change management, quality programs
9. Customer Care – Customer relationship mamagement (CRM), contact centers, customer portals, B2B collaborative computing (EDI, VMI, CPER)
10. Internet – e-business strategy, portals, web-enabled applications, telecommunications (Web 2.0)

Managing IT as an integrated enterprise

นอกจากนี้ ผมยังมีความเห็นเพิ่มเติมดังนี้

การบริหารยุคใหม่ ไม่ว่าจะเป็นมุมมองของ CIO หรือ CEO ซึ่งแยกกันไม่ได้ เมื่อคำนึงถึงการก้าวสู่วัตถุประสงค์หลักขององค์กร/ธุรกิจ ตามมุมมองของ Business Goals หรือ Enterprise Goals นั้น ก้าวแรกที่ต้องมองเห็นภาพเหมือนกันก็คือ ความรู้ความเข้าใจในสภาพแวดล้อม ทั้งภายในและภายนอกองค์กร วัฒนธรรมในการบริหารองค์กร และการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ตามมุมมองของ GEIT – Governance Enterprise of IT ซึ่งเป็นการบริหารแบบ Integrated Single Framework หรืออาจจะเรียกง่าย ๆ ว่าเป็นการบริหารแบบบูรณาการ (Integrated Management) ตามกรอบและหลักการของ Integrated GRC และ GRC in COBIT 5 ซึ่งมีรายละเอียดในการก้าวเข้าสู่วัตถุประสงค์ของ Enterprise Goals ที่เชื่อมโยงกับ IT Related Goals ได้อย่างลงตัว ผมใคร่ขอให้ท่านที่สนใจเรื่องนี้ได้ติดตามการบริหารแบบบูรณาการตามมุมมองทั้ง 2 อย่างละเอียดต่อไป

บทความนี้เป็นการเขียนแบบย่อ ๆ หากท่านผู้อ่านที่สนใจสามารถติดตามรายละเอียดที่มากกว่านี้ได้ภายในงาน Crossing Borders CIOs’ Innovation & Inspiration topic ในวันที่ 3 ตุลาคม 2556 ที่จะถึงนี้ ที่โรงแรมเซ็นทารา ลาดพร้าว ห้อง Main Ballroom ซึ่งเป็นการจัดงานโดย 10th Anniversary of CIO16 Association of Thailand ครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Crossing Borders CIOs’ Innovation & Inspiration and Integrated Management – What CEOs Want From CIOs

กันยายน 22, 2013

วันนี้ ผมจะพาท่านที่สนใจในเรื่องการบริหารจัดการเทคโนโลยีสารสนเทศยุคใหม่ ที่จะต้องก้าวข้ามการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศเพียงอย่างเดียว เช่น การเป็นผู้บริหารระดับสูงหรือ CIO ทางด้าน IT หรือศูนย์คอมพิวเตอร์ มาเป็นผู้บริหารระดับสูงทางธุรกิจที่ใช้เทคโนโลยีสารสนเทศเข้ามาช่วยในการวางแผนกลยุทธ์ และการดำเนินงานต่าง ๆ เพื่อขับเคลื่อนวัตถุประสงค์หลัก ๆ ขององค์กร/ธุรกิจ ตามกรอบที่เข้าใจกันโดยทั่วไป เพื่อนำไปสู่การบรรลุวัตถุประสงค์ที่ได้ดุลยภาพตามหลักการของ Balanced Business Scroecard ซึ่งเป็นที่แน่นอนว่า CIO ยุคใหม่จะมีบทบาทหน้าที่และความรับผิดชอบที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อนาคตของ CIO จะขึ้นอยู่กับวิสัยทัศน์ ความรู้ ความเข้าใจในการบริหารเชิงธุรกิจ (Enterprise Goals) ที่ควบคู่กันไปกับการบริหารการจัดการทางด้านเทคโนโลยีสารสนเทศ (IT Related Goals)

นี่คือ การก้าวข้ามพรมแดนที่มีการเปลี่ยนแปลงกระบวนทัศน์ (Paradigm) ที่สำคัญยิ่งของ CIO ซึ่งอนาคตของ CIO ยุคใหม่จะต้องมีความเข้าใจการบริหารเชิงธุรกิจอย่างลึกซึ้ง ควบคู่กันไปกับการมีความรู้ทางด้านการบริหารจัดการเทคโนโลยีสารสนเทศ ในลักษณะ Integrated Single Framework โดยมีวัตถุประสงค์เพื่อเสริมสร้างความรู้ความเข้าใจในกรอบปฏิบัติด้านการกำกับดูแลและการบริหารจัดการที่ดีด้าน IT ในเรื่องการกำหนดเป้าหมายด้าน IT ที่สนับสนุนเป้าหมายระดับองค์กร โดยเป็นเป้าหมายที่เป็นเป้าประสงค์หลักที่ตอบสนองต่อความต้องการของผู้มีผลประโยชน์ร่วมขององค์กร จากการพิจารณาเป้าประสงค์และแรงขับเคลื่อนสำคัญที่มีอิทธิพล หรือส่งต่อความต้องการและความคาดหวังดังกล่าว

    สรุปเบื้องต้น… ก่อนจะก้าวไปในรายละเอียดเล็กน้อย เพื่อให้เห็นภาพใหญ่โดยรวม ในเรื่องของการบริหารแบบบูรณาการ (Integrated Management) ก็คือ CIO และ CEO นั่นคือผู้บริหารและผู้ที่เกี่ยวข้องกับ IT/ICT และผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารเพื่อให้ได้เป้าประสงค์หลักตาม Business Balanced Scorecard ทั้ง 4 มุมมอง ควรจะมีหรือต้องมีความเข้าใจตรงกันในเรื่องการประสานงานเพื่อเชื่อมโยงกระบวนการ การกำกับ ควบคุม ดูแล งานทางด้าน IT/ICT ซึ่งเป็นงานหลักของ CIO และ Business ซึ่งเป็นงานหลักของ CIO ให้เป็นหนึ่งเดียวกันหรือเรื่องเดียวกัน เพื่อก้าวไปสู่วัตถุประสงค์ของ Enterpise Goals เป็นสำคัญและแยกกันไม่ได้ระหว่างงาน IT และ Non-IT

    ขออนุญาตสรุปอีกครั้งหนึ่งก่อนจบในช่วงแรกของ Integrated Management ว่า :
    1. Governance – G, Risk Management – R, Compliance – C
    G + R + C ไม่เท่ากับ GRC หรือ Integrated GRC พิสูจน์ได้จากวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ เป้าประสงค์ แผนงานและบทบาทของคณะกรรมการที่เกี่ยวข้อง รวมทั้งสิ่งแวดล้อมและวัฒนธรรมในการดำเนินงานขององค์กร/ธุรกิจ…
    2. หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ… น้ำในที่นี้คือ ความเข้าใจในกระบวนการบริหารแบบบูรณาการ ทั้งทางด้าน Business และทางด้าน IT/ICT และความเกี่ยวเนื่องตามมุมมองของ Integrated Single Framework +++

ทั้งนี้ CIO ยุคใหม่ที่จะก้าวข้ามเข้าไปสู่แนวความคิด ซึ่งเป็นไปตามความต้องการของ CEO หรือผู้บริหารระดับสูงสุดของธุรกิจ/องค์กรว่า CEO ต้องการอะไรจาก CIO และการที่ CIO ที่มีความคิดก้าวหน้า รู้เท่าทันความต้องการของธุรกิจในกระบวนการบริหารและการจัดการที่ดี ทั้งทางด้านการกำกับ ควบคุม ดูแล (Governance) ซึ่งเป็นหน้าที่และความรับผิดชอบ (Accountability) ของคณะกรรมการ ที่จะกำกับและชี้ทิศทางการขับเคลื่อนองค์กรอย่างเป็นกระบวนการ เพื่อให้ผู้บริหารระดับสูง ซึ่งแน่นอนว่ารวม CIO อยู่ด้วยนั้น มีหน้าที่ในการบริหารจัดการอย่างเป็นกระบวนการ เพื่อขับเคลื่อนธุรกิจ/องค์กร ไปสู่เป้าประสงค์ของผู้มีประประโยชน์ร่วม (Stakeholder) อย่างได้ดุลยภาพ เพื่อสร้างคุณค่าเพิ่ม (Value Creation) ตามมุมมองของ Good Governance ที่ดี และเป็นบูรณาการตั้งแต่ในระดับของ Governance นั่นคือ การนำ Corporate Governance – CG มาเชื่อมโยงกับ IT Governance (ITG) อย่างเหมาะสม เพื่อขับเคลื่อนเป้าประสงค์หลักของผู้มีผลประโยชน์ร่วมทุกกลุ่ม ในการบริหารองค์กรและธุรกิจอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งหมายถึงคุณภาพการบริหารการจัดการที่ได้ประโยชน์สูงสุดในมุมมองทางการเงิน (Financial) และ บริการ (Service) รวมทั้งชื่อเสียงของธุรกิจควบคู่กันไปและแยกกันไม่ได้กับการบริหารทรัพยากร และการบริหารความเสี่ยงทางด้าน IT และ Non – IT อย่างเหมาะสม

ดังนั้น CIO ยุคใหม่ และปัจจุบัน ต้องเข้าใจแรงขับเคลื่อน (Stakeholder Drivers) จากสภาพแวดล้อมทั้งภายในและภายนอกองค์กร และปัจจัยต่าง ๆ ที่เกี่่ยวข้อง เช่น การเปลี่ยนแปลงเทคโนโลยีสารสนเทศ การเปลี่ยนแปลงของกฎระเบียบ หรือกฎหมาย ที่มีผลลบังคับใช้กับธุรกิจ/องค์กร เป็นต้น ที่มีอิทธิพลหรือส่งผลต่อความต้องการหรือความคาดหวังของผู้มีผลประโยชน์ร่วม โดยสรุปวัตถุประสงค์ เป็น 3 กลุ่ม ได้แก่ การรับรู้ด้านผลประกอบการ การจัดการด้านความเสี่ยง และ การจัดการด้านทรัพยากรได้อย่างเหมาะสมตามที่ได้กล่าวข้างต้นซึ่งเป็นเรื่องสำคัญมากแล้ว นั่นคือ CIO และแน่นอนว่าควรจะรวมถึง CEO แม้กระทั่งระดับคณะกรรมการหรือ Board ซึ่งควรเข้าใจตรงกันถึงผลลัพธ์ที่คาดหวังจากเป้าประสงค์ความต้องการของผู้มีผลประโยชน์ร่วมที่แสดงวัตถุประสงค์ตอบสนองต่อแรงขับเคลื่อน (Stakeholder Drivers)

ผู้นำทางด้าน CIO ยุคใหม่ จะต้องดำเนินการในลักษณะ Go beyound IT and the CIO’s Comfort zone นั่นคือ CIO ยุคใหม่จะต้องมีการบริหารและการจัดการที่จะต้องก้าวข้ามเฉพาะการบริหารทางด้าน IT เพื่อ IT มาเป็นการบริหาร IT/ICT เพื่อธุรกิจ

ขั้นตอนต่อไปที่ CIO ยุคใหม่ ควรเข้าใจในมุมมองของ CEO หรือผู้บริหารวัตถุประสงค์โดยรวมของธุรกิจ/องค์กร ในการเชื่อมโยงกับกลยุทธ์ นโยบาย พันธกิจ วิสัยทัศน์ เพื่อตอบสนองความคาดหวังหรือความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholder Needs) ที่คาดหวังให้คณะกรรมการและผู้บริหารระดับสูงกำกับ ควบคุม ดูแล ไปสู่เป้าหมายระดับองค์กร (Enterprise Goals) โดยมีการบริหารและการจัดการที่สามารถเชื่อมโยงกับ IT Related Goals ซึ่งเป็นปัจจัยหลักในการขับเคลื่อนความสำเร็จในมุมมองต่าง ๆ ตามความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วม

เป้าหมายทางด้าน IT หรือการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีที่ครอบคลุมไปยัง IT Related Goals ทุกมุมมองของ IT Balanced Scorecard ที่ CIO และ CEO ต้องเข้าใจในการนำไปสู่การเชื่อมโยงของ Business Balanced Scorecard ทั้ง 4 นั่นคือ เป้าหมายทางด้านประสิทธิภาพการบริหารทางด้านการเงิน ด้านลูกค้า/ผู้มีผลประโยชน์ร่วม ด้านกระบวนการภายใน และด้านการเรียนรู้ที่ควรมีความสัมพันธ์กับวัตถุประสงค์ตามเป้าหมายระดับองค์กรทั้ง 4 ด้านตามที่่ได้กล่าวมาแล้ว และในทางกลับกัน หากมองในมุมมองของ CEO ซึ่งควรมีความเข้าในที่สัมพันธ์กับเป้าหมายทางด้าน IT คือ (IT-Related Golas) ที่กำหนดเฉพาะเจาะจงให้สามารถใช้สนับสนุนเป้าหมายระดับธุรกิจ/องค์ร ตามที่ได้กำหนดในเป้าประสงค์ลหักและแน่นอนว่า ควรมีการกำหนดในการประเมินวัดผลตามเกณฑ์ชี้วัดของเป้าหมายที่เกี่ยวข้องได้อย่างชัดเจนอย่างเป็นรูปธรรม

The 21st Century CIO

ข้้นตอนต่อไปในการก้าวข้ามพรมแดนการบริหารจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศ เพื่อการบรรลุเป้าประสงค์ทางธุรกิจขององค์กรโดยรวม (Integrated Management) ก็คือ ทั้ง CIO และ CEO ควรเข้าใจอย่างสอดคล้องและตรงกันว่า กระบวนการทางด้านเทคโนโลยีสารสนเทศ ควรมีผลลัพธ์ที่คาดหวังได้ว่าสามารถสรุปเป็นแผนการดำเนินงานที่จะนำไปสู่ภาคปฏิบัติ เพื่อตอบสนองเป้าหมายทางด้านเทคโนโลยีสารสนเทศตามที่ได้กำหนดไว้

กระบวนการทางด้าน IT/ICT (IT Related Processes) ควรมีกิจกรรมที่สามารถระบุกระบวนการทางด้าน IT ที่สนับสนุนเป้าหมายทางด้าน IT และ Enterprise เพื่อนำไปสู่ Enterprise Goals

อาจสรุปกระบวนการทางด้าน IT/ICT ที่ใช้สนับสนุนเป้าหมายทาง IT/ICT ที่มีกรอบการปฏิบัติในการบริหารจัดการองค์กรแบบบูรณาการ (Integrated Management) ซึ่งต้องแบ่งเป็นกระบวนการหลัก และกระบวนการในระดับรองลงไปเป็นกลุ่มได้ดังนี้
1 กระบวนการด้านการกำกับดูแลที่ดี (Governance)

  • กลุ่มกระบวนการประเมิน กำกับ และติดตาม

    • 2 กระบวนการด้านการบริหารจัดการ (Management)

  • กลุ่มกระบวนการสำหรับการวางแผนและจัดโครงสร้าง (Align, Plan and Organise)
  • กลุ่มกระบวนการสำหรับการจัดทำและนำไปปฏิบัติ (Bulid, Acquire and Implement)
  • กลุ่มกระบวนการสำหรับการดำเนินการและสนับสนุน (Deliver, Service and Support)
  • กลุ่มกระบวนการสำหรับการติตามตามวัดผลและตรวจประเมิน (Monitor, Evaluate and Assess)

    • ในตอนต่อไป ผมจะได้นำเสนอบทบาทของการจัดการและผู้บริหาร IT/ICT จากยุคแรก ๆ ปี ค.ศ. 1950s หรือ ปี พ.ศ. 2493 ถึงปัจจุบัน (ค.ศ. 2013 หรือ พ.ศ. 2556) เพื่อให้ทราบว่าบทบาทของผู้บริหารของ CIO ยุคเดิมจนถึงยุคปัจจุบันนั้นได้เปลี่ยนแปลงไปมากน้อยเพียงใด และ CIO ในยุคปัจจุบัน ได้สนองตอบความต้องการของผู้มีผลประโยชน์ร่วม คณะกรรมการ ผู้บริหารระดับสูง และ CEO อย่างไร

    การเขียนบทความนี้เป็นส่วนหนึ่งของการที่ผมได้มีโอกาสร่วมงาน Crossing Borders CIOs’ Innovation & Inspiration topic ซึ่งผมได้เป็นผู้ดำเนินรายการในหัวข้อ เรื่อง Thai CIOs are crossing the borders everyday ในวันที่ 3 ตุลาคม 2556 ที่จะถึงนี้ ที่โรงแรมเซ็นทารา ลาดพร้าว ห้อง Main Ballroom ซึ่งเป็นการจัดงานโดย 10th Anniversary of CIO16 Association of Thailand เนื้อหาในตอนนต่อไปซึ่งจะเผยแพร่ในเว็บไซต์ในวันที่ 1 ตุลาคม 2556 นะครับ

    Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 9 CoCo (Criteria of Control)

    สิงหาคม 17, 2013

    สวัสดีครับ เราได้พูดคุยกันถึงเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงมาถึงตอนที่ 9 แล้วนะครับ และผมจะขอกล่าวถึง CoCo (Criteria of Control) ซึ่งได้เคยเอ่ยถึงในตอนที่ผ่านมาแล้วว่า เป็น CSA อีกรูปแบบหนึ่งที่สามารถนำมาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยง โดย  CICA – Canadian Institute of Chartered Accountants ซึ่งเป็นสถาบันหรือองค์กรไม่แสวงหาผลกำไร ที่จัดตั้งขึ้นตามพระราชบัญญัติพิเศษจากรัฐสภาแคนาดาในปี 1902 ได้เสนอแบบจำลองการควบคุมออกมาโดยเรียกว่า เกณฑ์การควบคุม หรือแบบจำลอง CoCo โดยในการศึกษาแบบจำลองนี้ ควรเริ่มจากการให้ความหมายของการควบคุมภายในเสียก่อน ซึ่งการควบคุมภายในประกอบด้วยองค์ประกอบหลายอย่างในองค์กร เช่น ทรัพยากร ระบบ กระบวนการ วัฒนธรรม โครงสร้างและงานต่าง ๆ อันจะช่วยในการสนับสนุนการปฏิบัติงานของบุคลากร ให้สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่องค์กรต้องการโดยมุ่งเน้นไปที่

    1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน

    2. ความน่าเชื่อถือของรายงานทางการเงินและการบริหาร

    3. การปฏิบัติตามกฎหมาย กฎระเบียบ และนโยบายภายใน

    องค์ประกอบการควบคุมภายในของ CoCo

    กรอบแนวทางการควบคุมกลุ่ม ประกอบด้วย

    1. เป้าหมาย (Purpose) เป็นเกณฑ์กลุ่มที่เป็นทิศทางขององค์กร เปรียบเสมือนหลักชัยขององค์กรที่ต้องดำเนินการไปให้ถึง (สิ่งที่องค์กรต้องทำ) พิจารณาได้ดังนี้

    1. จัดตั้งวัตถุประสงค์และมีการสื่อสารให้รับรู้
    2. ความเสี่ยงทั้งภายในและภายนอกที่องค์กรต้องเผชิญมีนัยสำคัญต่อความสำเร็จของวัตถุประสงค์ ควรจะระบุและมีการติดตามประเมินผล
    3. ออกแบบนโยบายเพื่อสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร และการจัดการความเสี่ยงที่ควรได้รับการยอมรับ มีแนวทางปฏิบัติและสื่อสารเพื่อให้ผู้คนเข้าใจสิ่งที่เป็นที่คาดหวังขององค์กร และขอบเขตของหน้าที่ที่จะต้องทำ
    4. การวางแผนที่เป็นแนวทางในการบรรลุวัตถุประสงค์ขององค์กร ควรได้รับการยอมรับและมีการสื่อสารให้เข้าใจ
    5. วัตถุประสงค์และแผนงานที่เกี่ยวข้อง ควรจะรวมถึงเป้าหมายในการวัดประสิทธิภาพและตัวชี้วัด

    2. ความผูกพัน (Commitment) เป็นเกณฑ์กลุ่มที่แสดงความเป็นเอกลักษณ์และค่านิยม (ความต้องการทำสิ่งนั้น) พิจารณาได้ดังนี้

    1. จริยธรรมค่านิยมที่ใช้ร่วมกัน รวมทั้งความสมบูรณ์ ควรได้รับการจัดตั้ง มีการสื่อสารและการปฏิบัติทั่วทั้งองค์กร
    2. นโยบายการพัฒนาทรัพยากรมนุษย์และการปฏิบัติที่ควรจะสอดคล้องกับค่านิยมทางจริยธรรมขององค์กรและความสำเร็จของวัตถุประสงค์
    3. ผู้มีอำนาจ ผู้มีหน้าที่ปฏิบัติ และผู้ที่มีหน้าที่รับผิดรับชอบ ควรจะกำหนดพันธกิจ และแผนงานไว้อย่างชัดเจนและสอดคล้องกับวัตถุประสงค์ขององค์กร เพื่อนำไปใช้ในการตัดสินและปฏิบัติโดยบุคคลที่เหมาะสม
    4. มีบรรยากาศของความไว้วางใจซึ่งกันและกัน เพื่อเป็นการส่งเสริม สนับสนุนการใช้งานข้อมูลระหว่างหน่วยงานต่าง ๆ เพื่อผลการดำเนินงานที่มีประสิทธิภาพที่มีต่อการบรรลุวัตถุประสงค์ขององค์กร

    3. ความสามารถ (Capability) เป็นเกณฑ์กลุ่มที่เป็นความสามารถขององค์กร (เครื่องมือในการทำสิ่งนั้น) พิจารณาได้ดังนี้

    1. ทุกคนควรจะมีทักษะที่จำเป็นความรู้และเครื่องมือที่จะสนับสนุนความสำเร็จของวัตถุประสงค์ขององค์กร
    2. กระบวนการการสื่อสารควรจะสนับสนุนค่านิยมขององค์กรและความสำเร็จของวัตถุประสงค์
    3. ข้อมูลที่เพียงพอและมีความเกี่ยวข้อง ควรจะระบุและมีการสื่อสารในเวลาที่ เหมาะสม เพื่อให้ผู้ปฏิบัติหน้าที่สามารถดำเนินการตามที่ได้รับมอบหมาย
    4. ควรมีการประสานงานในการตัดสินใจและการปฏิบัติงานในส่วนงานที่แตกต่างกันขององค์กร
    5. กิจกรรมการควบคุมควรจะออกแบบเป็นส่วนหนึ่งขององค์กรที่คำนึงถึงวัตถุประสงค์ของความเสี่ยง เพื่อความสำเร็จขององค์กรและ interrelatedness ขององค์ประกอบการควบคุม

    4. การติดตามและการเรียนรู้ (Monitoring and Learning) เป็นเกณฑ์กลุ่มที่แสดงพัฒนาการขององค์กร (ดูว่าเราได้ทำสิ่งนั้นหรือยัง) (พิจารณาได้ดังนี้

    1. สภาพแวดล้อมภายนอกและภายใน ควรจะตรวจสอบเพื่อให้ได้ข้อมูลที่อาจส่งสัญญาณความต้องการที่จะประเมินอีกครั้งวัตถุประสงค์ขององค์กรหรือการควบคุม
    2. ผลการปฏิบัติงานควรจะตรวจสอบกับเป้าหมาย และตัวชี้วัดที่ระบุไว้ในวัตถุประสงค์ขององค์กรและแผนงาน
    3. สมมติฐานที่อยู่เบื้องหลังวัตถุประสงค์ขององค์กรควรจะท้าทายเป็นระยะ ๆ
    4. ความต้องการของระบบสารสนเทศและข้อมูลที่เกี่ยวข้องควรจะคล้อยตามการเปลี่ยนแปลงวัตถุประสงค์หรือเป็นข้อบกพร่องการรายงานจะมีการระบุ
    5. ควรมีขั้นตอนของกระบวนการติดตาม เพื่อให้แน่ใจถึงการปฏิบัติงานที่เกิดขึ้นและการเปลี่ยนแปลงที่เหมาะสม
    6. ควรมีการจัดการประเมินความมีประสิทธิผลของการควบคุมในองค์กรเป็นระยะ ๆ และแจ้งผลให้กับผู้รับผิดชอบ

    การนำ CoCo ไปใช้ใน CSA

    ผู้ปฏิบัติงานด้าน CSA หลายท่านพบว่า CoCo เป็นวิธีการบริหารที่สัมพันธ์กับการควบคุมภายใน และการอธิบายอย่างง่าย ๆ ในการกำหนด Workshop CoCo เป็นวิธีการในขั้นที่สูงกว่า COSO เพราะจะเน้นที่การประเมินความเสี่ยงของแต่ละคน และกิจกรรมการควบคุมความเสี่ยง อีกทั้งใช้เป็นพื้นฐาน individual objective-by-objective และใช้เป็นพื้นฐานของแผนกด้วย

    ในการทำ Workshop ผู้ประสานงานควรพัฒนาคำถามที่ใช้เป็นเกณฑ์ของ CoCo และดำเนินการ Workshop นั้น โดยการถามคำถามเหล่านั้น หรือผู้ประสานงานควรวางคำถามไว้ให้มีลักษณะทั่วไปมากที่สุด เช่น อะไรคือสิ่งที่ช่วยให้คุณบรรลุวัตถุประสงค์ของแผนก และแจกแจงการตอบสนองนั้นไปสู่เกณฑ์ของ CoCo จากนั้นผู้ประสานงาน ควรถามคำถามเฉพาะเกี่ยวกับเกณฑ์อื่น ๆ ของCoCo ที่ไม่ได้ทำการควบคุมในขณะนั้น

    ต่อไปนี้คือ ตัวอย่างคำถามเพื่อประเมินประสิทธิผลของการควบคุมตามเกณฑ์ CoCo

    เป้าหมาย (Purpose)

    • เราเข้าใจภารกิจและวิสัยทัศน์ขององค์กรหรือไม่
    • เราไม่เข้าใจวัตถุประสงค์ของเราเป็นกลุ่มและวิธีการที่พวกเขาพอดีกับวัตถุประสงค์อื่น ๆ ในองค์กรหรือไม่
    • ข้อมูลที่มีอยู่ในปัจจุบันช่วยให้เราสามารถระบุความเสี่ยงและการประเมินความเสี่ยงได้หรือไม่
    • เราเข้าใจความเสี่ยงที่เราจำเป็นต้องควบคุม และระดับของความเสี่ยงที่ยอมรับได้ เพื่อความรับผิดชอบต่อการควบคุมหรือไม่
    • เราไม่เข้าใจนโยบายที่ส่งผลกระทบต่อการดำเนินการของเราหรือไม่
    • แผนงานของเราคือการตอบสนองและความเพียงพอที่จะบรรลุการควบคุมใช่หรือไม่
    • เรามีเป้าหมายในการจัดการประสิทธิภาพการทำงานหรือไม่

    ความผูกพัน (Commitment)

    • เราได้รับการฝึกฝนหลักการของความซื่อสัตย์และจริยธรรมค่านิยมร่วมกันหรือไม่
    • มีผู้ได้รับผลตอบแทนอย่างเป็นธรรมตามวัตถุประสงค์ขององค์กรและค่านิยมหรือไม่
    • เราไม่เข้าใจสิ่งที่เรารับผิดชอบและเราไม่มีคำนิยามที่ชัดเจนต่อความรับผิดชอบของเราใช่หรือไม่
    • การตัดสินใจที่สำคัญ ๆ ถูกกระทำโดยผู้เชี่ยวชาญและมีอำนาจหน้าที่รับผิดชอบใช่หรือไม่
    • ระดับของความไว้วางใจซึ่งกันและกันในแต่ละหน่วยงานเพียงพอที่จะสนับสนุนข้อมูลและประสิทธิภาพการทำงานอย่างไร

    ความสามารถ (Capability)

    • เรามีบุคลากรที่มีความรู้ความสามารถ เครื่องมือ และทรัพยากรที่เหมาะสมหรือไม่
    • มีการรายงานความผิดพลาดอย่างรวดเร็ว ข่าวร้าย และข้อมูลอื่น ๆ ให้กับผู้บริหาร โดยปราศจากความกลัวและการแก้แค้นหรือไม่
    • มีข้อมูลเพียงพอที่จะช่วยในการดำเนินงานหรือไม่ อย่างไร
    • มีการประสานงานระหว่างผู้ปฏิบัติงานกับหน่วยงานอื่น ๆ ที่เกี่ยวข้องขององค์กรหรือไม่
    • มีขั้นตอนและกระบวนการที่จะช่วยให้บรรลุวัตถุประสงค์ขององค์กรหรือไม่

    การติดตามและการเรียนรู้ (Monitoring and Learning)

    • มีการทบทวนสภาพแวดล้อมภายในและภายนอกเพื่อการเปลี่ยนแปลงและกำหนดให้มีวัตถุประสงค์หรือการควบคุมหรือไม่
    • เราจะตรวจสอบประสิทธิภาพกับเป้าหมายและตัวชี้วัดที่เกี่ยวข้องอย่างไร
    • เราตั้งสมมติฐานที่ท้าทายที่อยู่เบื้องหลังวัตถุประสงค์ของเราหรือไม่
    • เราได้รับและให้ข้อมูลที่จำเป็นและเกี่ยวข้องกับการตัดสินใจหรือไม่
    • ระบบข้อมูลของเรามีการปรับปรุงให้เป็นปัจจุบันอยู่เสมอหรือไม่
    • มีการเรียนรู้จากผลการตรวจสอบและปรับปรุงอย่างต่อเนื่องเพื่อการควบคุมที่ดีหรือไม่
    • มีการกำหนดระยะเวลาการประเมินประสิทธิภาพของการควบคุมหรือไม่

    แนวการประเมินตนเองโดยการตั้งคำถามแบบกว้าง ๆ ตามตัวอย่างที่กล่าวข้างต้นในบางเรื่องและบางมุมมองนั้น ไม่เพียงพอที่จะทำการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ดั้งนั้น ผู้อำนวยความสะดวก หรือ Facilitator ซึ่งปกติจะเป็นผู้ตรวจสอบภายใน ซึ่งได้รับการคาดหมายว่าเป็นผู้เชี่ยวชาญในการบริหารความเสี่ยงในระดับองค์กร รวมทั้งการควบคุมความเสี่ยงระดับองค์กร ซึ่งปกติจะต้องเริ่มจากการประเมินความเสี่ยงของสายงานต่าง ๆ ภายในองค์กรนั้น ๆ ก่อนที่จะนำมาสรุปเป็นภาพรวมของการบริหารความเสี่ยงระดับองค์กร ภายใต้ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ต้องผ่านการอนุมัติจากคณะกรรมการ ที่ควรจะครอบคลุมความเสี่ยงแบบสมดุลจากหลักการ Besiness Balanced Scorecard ที่จะเชื่อมโยง สัมพันธ์ เกี่ยวเนื่องกับความเสี่ยงทางด้าน IT Balanced Scorecard ที่เกี่ยวข้องกับวัตถุประสงค์หลัก 17 ข้อด้วยกัน ทั้ง 17 ข้อนี้อยู่ภายใต้ร่มของกลยุทธ์ที่เชื่อมโยงมายังวัตถุประสงค์ทั้ง 4 ด้านตามหลักการ Besiness Balanced Scorecard และในขณะเดียวกันวัตถุวัตถุประสงค์หลัก 17 ข้อ ของ Besiness Balanced Scorecard นั้น ก็ยังต้องสัมพันธ์กับวัตถุประสงค์หลักของ IT Related Goals ทั้ง 17 ข้อ ที่เชื่อมโยง (mapping) ได้อย่างลงตัว

    มาถึงตอนนี้ ท่านผู้บริหาร ผู้อำนวยความสะดวกในการทำ CSA และผู้มีหน้าที่ปฏิบัติงานของแต่ละฝ่ายหรือสายงานต่าง ๆ อาจจะรู้สึกสับสนได้บ้าง ทั้งนี้เพราะผมกำลังพาท่านผู้อ่านไปสู่ยุคใหม่ของการบริหารธุรกิจ / องค์กรแบบบูรณาการ (Integrated Single Framework) หรือ Integrated Management ที่ไม่สามารถแยกการบริหาร Enterprise Goals กับ IT Related Goals ออกจากกันได้ในลักษณะ SILO สมัยเดิมได้อีกแล้ว นั่นคือ CIO ยุคใหม่ และในอนาคตจะต้องทำงานในลักษณะการบริหารองค์กรหรือการบริหารธุรกิจควบคุมกันไปกับ CEO และในขณะเดียวกัน CEO ก็ต้องมีความรู้เกี่ยวข้องกับผลกระทบของ IT Risk ที่มีผลต่อวัตถุประสงค์หลักทั้ง 17 ข้อ

    ในการทำ CSA ในยุคปัจจุบันและในอนาคต การประเมินความเสี่ยงและการควบคุมภายใน และ/หรือการประเมินการควบคุมภายในที่มีอยู่ว่าเพียงพอที่จะลดความเสี่ยงต่าง ๆ ทั้งในระดับ Strategic Risk ที่มีผลเชื่อมโยงไปยัง Enterprise / Business Risk ที่เกี่ยวข้องกับความเสี่ยงตามมุมมองของ Business Balanced Scroecard ทั้ง 4 ด้าน ซึ่งเป็นภาพใหญ่นั้น จำเป็นที่ผู้อำนวยความสะดวก (Facilitator – ผู้ตรวจสอบภายใน) จะต้องเข้าใจหลักการบริหารและการจัดการแบบบูรณาการ เพื่อประเมินความเสี่ยงและผลกระทบที่เกี่ยวข้องว่ามีการควบคุมที่ต้นเหตุ (Root Cause) ที่แท้จริงหรือไม่ ทั้งนี้ก็เพราะกระบวนการควบคุมที่ปลายเหตุจะไม่มีประสิทธิภาพและประสิทธิผลใด ๆ ในการทำ CSA เลยแม้แต่น้อย

    CSA and CIA_Facilitator

    ท่านผู้อ่านครับ CSA หรือการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่กล่าวมาตั้งแต่ต้นนั้น สรุปได้ว่า คณะกรรมการและผู้บริหาร และผู้ปฏิบัติงาน ควรจะมีการสื่อสารให้เข้าใจตรงกันว่า การบริหารเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้สำหรับยุคใหม่นั้น จะต้องพิจารณาความต้องการของผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ซึ่งจะเป็นผู้ผลักดันและขับเคลื่อนความต้องการบรรลุวัตถุประสงค์ที่แท้จริงของธุรกิจ/องค์กร ภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงตลอดเวลา

    ดังนั้น การหาจุดพอดี หรือดุลยภาพของความต้องการของ Stakeholders ที่แตกต่างกันนั้น จึงเป็นเรื่องที่สำคัญมาก ๆ เพราะหากไม่เกิดดุลยภาพในขั้นตอนแรกนี้ จะมีปัญหากระทบต่อ Governance ที่เกี่ยวข้องกับการสร้างคุณค่าเพิ่ม (Value Creation) ที่ลงตัวและจะไม่เกิดความยั่งยืน (Sustainable) ซึ่งพิจารณาได้ว่าเป็นกระดุมเม็ดแรกของการขับเคลื่อน Value Creation ให้กับธุรกิจและองค์กรในระยะยาว ทั้งนี้ Value Creation มีหลักการและแนวความคิดที่ว่า Stakeholders ต้องการผลตอบแทนที่เหมาะสมที่ต้องสัมพันธ์กับดุลยภาพการบริหารความเสี่ยงที่พอเหมาะ และการบริหารจัดการทรัพยากรที่เหมาะสมควบคู่กันไปอย่างแยกกันไม่ได้

    ขอสรุปเป็นครั้งสุดท้ายในเรื่อง CSA ว่า จากวรรคที่กล่าวข้างต้นจะนำไปสู่การกำหนด Enterprise Goals และเชื่อมโยงไปยัง IT Related Goals และเชื่อมโยงต่อไปยัง Process Goals และ Enabler Goals ที่ต้องการความเข้าใจในทุกขั้นตอนและในทุกกระบวนการบริหารอย่างแท้จริงว่า หากจะมีการดำเนินการจัดทำ CSA ผู้อำนวยความสะดวกและผู้บริหารที่เกี่ยวข้องควรจะเข้าใจในหลักการบริหารแบบบูรณาการที่เหมาะสมและพอเพียงเพียงใด

    G (Governance) + R (Risk Management) + C (Compliance) ไม่เท่ากับ Integrated GRC/COBIT 5 หรือการบริหารแบบบูรณาการ

    หิน + ปูน + ทราย ไม่เท่ากับ ซีเมนต์ หากขาดน้ำ

    “น้ำ” ในที่นี้หมายถึง ความเข้าใจในกระบวนการบริหารและการจัดการแบบบูรณาการ ครับ

    Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 8 COSO (Committee of Sponsoring Organizations)

    กรกฎาคม 13, 2013

    สวัสดีครับ ทุกท่านที่ติดตามเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ครั้งก่อนผมได้กล่าวทิ้งท้ายไว้ว่า ยังมีการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจและนำไปประยุกต์ใช้ในการประเมินตนเองได้อย่างมีประสิทธิภาพ อย่าง COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ซึ่งในครั้งนี้ผมจะขอเล่าสู่กันฟังเกี่ยวกับ COSO ก่อนนะครับ โดยจะกล่าวถึงในมุมมองของการควบคุมภายใน และการประเมินตนเองเพื่อควบคุมความเสี่ยงในภาพโดยรวม ส่วนในมุมมองของการบริหารความเสี่ยงและการควบคุมภายในที่นำ COSO ไปประยุกต์ใช้ ผมเคยได้กล่าวไว้ในหัวข้อ ของ แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework แล้ว

    COSO_ERM and Internal Control

    COSO (Committee of Sponsoring Organizations)
    COSO ได้ออกแบบกรอบการควบคุมความเสี่ยงขึ้น เนื่องจากต้องการให้ความหมายการควบคุมภายในที่ชัดเจนตรงกันในองค์กรที่มีความหลากหลาย โดยเรียกแบบจำลองนั้นว่า แบบจำลอง COSO หรือเรียกสั้น ๆ ว่า COSO

    ในการพัฒนาแบบจำลองของ COSO ต้องเริ่มจากการทำความเข้าใจความหมายของการวบคุมภายในเสียก่อน การควบคุมภายใน (Internal Control) จึงเป็นวิธีการหนึ่งที่จะช่วยให้องค์กรบรรลุผลสำเร็จ โดยการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นอันจะเป็นการขัดขวางการบรรลุผลสำเร็จขององค์กร และเป็นกระบวนการที่เกิดขึ้นโดยคณะกรรมการบริหาร ผู้บริหาร และทุกคนในองค์กรที่ออกแบบมาเพื่อเป็นการประกันการบรรลุวัตถุประสงค์ขององค์กรในด้านต่าง ๆ ดังนี้
    1. ประสิทธิผลและประสิทธิภาพของการดำเนินงาน
    2. ความน่าเชื่อถือของรายงานทางการเงิน
    3. การปฏิบัติตามกฎหมาย กฎระเบียบ

    5 องค์ประกอบของการควบคุมภายใน (Components of Internal Control) ของ COSO
    การควบคุมภายในประกอบด้วยองค์ประกอบหลายด้านที่ต้องทำการพิจารณา โดยองค์ประกอบของการควบคุมภายในรูปแบบหนึ่ง อาจพิจารณาในเรื่องต่าง ๆ ดังนี้

    1. สภาพแวดล้อมของการควบคุม (Control Environment) เมื่อสภาพแวดล้อมการทำงานเป็นสิ่งที่มีความสำคัญในการบริหารธุรกิจ จึงควรที่มีการจัดสภาพแวดล้อมการทำงานให้เหมาะสมกับการปฏิบัติงาน เพื่อให้พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ อันจะช่วยให้การดำเนินธุรกิจเป็นไปอย่างราบรื่น สามารถบรรลุเป้าหมายทางธุรกิจได้ตามที่ต้องการ สภาพแวดล้อมที่สำคัญได้แก่
    1.1 ความร่วมมือร่วมใจกันของพนักงาน
    1.2 การให้คุณค่าต่อจรรยาบรรณ ความซื่อสัตย์ในการปฏิบัติงาน
    1.3 ความสามารถในการทำงานของพนักงานทุกฝ่าย
    1.4 ปรัชญาในการดำเนินงานของฝ่ายบริหาร
    1.5 รูปแบบการปฏิบัติงาน วิธีการปฏิบัติงานที่ผู้บริหารมอบหมายอำนาจความรับผิดชอบและการจัดการ
    1.6 การพัฒนาคนภายในองค์กร
    1.7 การควบคุม เอาใจใส่ และการวางแผนจากคณะกรรมการ
    1.8 การสื่อสารจากระดับสูง
    1.9 การบริหารข้อมูลและข่าวสารร่วมกัน
    1.10 ความเข้าใจในระบบการควบคุมภายใน
    1.11 โครงสร้างขององค์กร
    1.12 วัฒนธรรมขององค์กร
    1.13 ความเป็นผู้นำของผู้บริหาร
    1.14 อื่น ๆ

    2. การประเมินความเสี่ยง (Risk Assessment) เป็นการตระหนักถึง และจัดการกับความเสี่ยงที่องค์กรต้องเผชิญ โดยต้องมีการกำหนดวัตถุประสงค์ที่บูรณาการขององค์กร เช่น การขาย การผลิต การตลาด การเงินกับกิจกรรมอื่น ๆ โดยเน้นให้องค์กรต้องวิเคราะห์/ ประเมินผลและบริหารความเสี่ยงที่เผชิญทั้งปัจจุบันและอนาคตในทุกมุมมอง ทุกระดับ
    2.1 การตั้งวัตถุประสงค์ในการดำเนินงานขององค์กรที่เชื่อมโยงระดับต่าง ๆ ฝ่ายต่าง ๆ เข้าด้วยกัน และยึดมั่นแน่นเหนียวภายในองค์กร ซึ่งฝ่ายตรวจสอบภายในจะมีบทบาทในเรื่องนี้มาก
    2.2 การประเมินความเสี่ยง คือการค้นหาและวิเคราะห์ความเสี่ยง เพื่อบริหารหรือจัดการให้วัตถุประสงค์ นโยบายขององค์กรที่ตั้งไว้สำเร็จผลอย่างมีประสิทธิภาพและประสิทธิผล
    2.3 การเปลี่ยนแปลง คือสิ่งที่ไม่แน่นอน ไม่ว่าในระดับกว้าง ระดับแคบ ทั้งทางด้านเศรษฐกิจการเงิน ลักษณะธุรกิจ เทคนิคข้อบังคับ รวมทั้งเงื่อนไขในการดำเนินงาน จึงจำเป็นต้องมีวิธีการตรวจหาและจัดการกับความเสี่ยงโดยเฉพาะ

    3. กิจกรรมการควบคุม (Control Activities) เป็นการพิจารณากำหนดนโยบายและกระบวนการควบคุมให้รอบคอบว่า สิ่งที่กำหนดขึ้นมานั้นสามารถช่วยให้องค์กรบรรลุผลสำเร็จได้อย่างมีประสิทธิผล
    การควบคุมก็คือนโยบายและวิธีการต่าง ๆ ที่ทำให้มั่นใจว่าคำสั่งของฝ่ายบริหารได้นำไปปฏิบัติ
    3.1 ช่วยให้มั่นใจว่ามีการดำเนินการต่าง ๆ ที่จำเป็นเพื่อบอกถึงความเสี่ยงต่อการทำให้เกิดความสำเร็จตามวัตถุประสงค์ของหน่วยงาน
    3.2 ต้องสร้างขั้นตอนการควบคุมความเสี่ยงภายในองค์กรทุกระดับ และทุกแผนก
    3.3 การควบคุม รวมทั้งการพิจารณาอนุมัติ การให้อำนาจกระทำการ การตรวจสอบความถูกต้อง การไกล่เกลี่ยความขัดแย้ง การทบทวนผลการดำเนินงาน การรักษาความปลอดภัยของทรัพย์สิน การแบ่งแยกหน้าที่ ฯลฯ เพื่อให้องค์กรบรรลุเป้าหมาย

    COSO_CSA_Components of Internal Control

    4. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication) เน้นการส่งข่าว และความเข้าใจร่วมในองค์กรสำหรับกิจกรรม และระเบียบต่าง ๆ ให้เข้าใจตรงกันตามความรับผิดชอบในแต่ละระดับชั้น ในเวลาที่เหมาะสม
    การให้ข้อมูลต้องทำอย่างเหมาะสมด้วยสื่อทั้งภายในและภายนอก
    4.1 ต้องสื่อสารเป็นวงกว้าง จากระดับบนสู่ล่าง จากซ้ายไปขวา จากขวาไปซ้าย แล้วย้อนล่างไปบน โดยต้องมีการสร้างระบบข้อมูลสารสนเทศและการสื่อสารที่เอื้อต่อการนำไปใช้ และมีการแลกเปลี่ยนกันตามความจำเป็นเพื่อใช้ในการปฏิบัติ การบริหาร และการควบคุมการดำเนินงาน
    4.2 พนักงานทุกคนต้องเข้าใจบทบาทตนเองในระบบการควบคุมภายใน ตลอดจนความรู้ว่าการดำเนินงานของแต่ละคนสัมพันธ์กับการทำงานของผู้อื่น/หน่วยงานอื่นอย่างไร
    4.3 รูปแบบการสื่อสารในองค์กรสามารถทำได้หลายทาง เช่น การประชุม การจัดทำรายงานประจำเดือน เป็นต้น การมีข้อมูลข่าวสารและระบบการสื่อสารที่ดีย่อมช่วยให้ผู้บริหารได้สอบทานสถานะของความเสี่ยงและแผนการดำเนินงาน สิ่งเหล่านี้จะช่วยให้เกิดการบอกกล่าวข้อมูลที่สำคัญ และทำให้เกิดการตัดสินใจที่มีประสิทธิผลได้อย่างทันเวลา

    5. การติดตาม/การสอดส่องดูแล (Monitoring) เนื่องจากสภาพแวดล้อมทางภายในและภายนอกองค์กรมีการเปลี่ยนแปลงตลอดเวลา ระบบการควบคุมจึงต้องมีการติดตามและดัดแปลง รวมทั้งการตรวจสอบให้เหมาะสมเท่าที่จำเป็น สามารถเปลี่ยนแปลงให้เหมาะสมกับเงื่อนไขต่าง ๆ ได้เป็นอย่างดี โดยระบบการควบคุมภายในทุกระดับของฝ่ายในองค์กรจำเป็นต้องมีการสอดส่องดูแลอย่างใกล้ชิด และมีการประเมินคุณภาพการทำงานของระบบเป็นระยะ ทำได้โดยการสอดส่องและประเมินผลตลอดเวลาทุกขั้นตอนการดำเนินงาน

    การนำ COSO ไปใช้ใน CSA
    สูตรความเสี่ยงพื้นฐานที่ได้อธิบายมาก่อนหน้านี้ (วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง) ที่ถูกนำมาใช้ในกรอบของ COSO คือเรื่องของการประเมินความเสี่ยง และระดับกิจกรรมการควบคุมความเสี่ยง

    องค์กรมักนำ COSO มาใช้ใน CSA โดยการออกแบบสอบถามหรือแบบสำรวจทั่วทั้งองค์กรประจำปี เพื่อประเมินสภาพแวดล้อมการควบคุมขององค์กร ซึ่งอาจทำได้โดยการสัมภาษณ์แบบมีโครงสร้างหรืออาจใช้วิธีการลงชื่อลับ

    เครื่องมือการประเมินองค์ประกอบ ได้แก่ แบบสอบถาม, Workshop หรือการสัมภาษณ์ รวมทั้งการใช้ข้อมูลสารสนเทศ การสื่อสาร และการติดตามในการประเมินตนเองทั่วทั้งองค์กร

    นอกจากนี้บางองค์กรยังนำ COSO มาใช้ใน CSA ในการทำ Workshops ในระดับทีมงาน เพื่อประเมินการควบคุมในระดับกิจกรรม ซึ่งจะเน้นไปที่กระบวนการทางธุรกิจหรือกิจกรรมที่มีโครงสร้างเหมือน Generic Activities เช่น การสั่งซื้อ บัญชีรายรับ บัญชีรายจ่าย ทรัพยากรมนุษย์ ฯลฯ ซึ่งจะทำงานร่วมกันเป็นทีม วัตถุประสงค์ระดับกิจกรรมที่ระบุไว้ใน COSO เรียกว่าวัตถุประสงค์ด้านการควบคุม ซึ่งจะใช้ในการเริ่มกำหนดคำถามด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงเพื่อใช้ในการปฏิบัติงาน

    สำหรับ CoCo (Criteria of Control) หากท่านผู้อ่านอยากทราบเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ด้วย CoCo อย่าพลาดติดตามในครั้งหน้านะครับ

    Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    100 ปี แห่งการเปลี่ยนแปลงการปกครอง กับ 100 ปี แห่งการเป็นประเทศที่พัฒนาแล้ว / 100 years of rule changes to the 100 years of the developed countries

    มิถุนายน 24, 2013

    “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” ตามที่ผมเคยนำเสนอว่าประเทศไทยควรจะกำหนดวิสัยทัศน์ที่ชัดเจน เป็นลายลักษณ์อักษร เพื่อเป็นธงหลักของประเทศในการกำหนดทิศทาง กระบวนการบริหารและการจัดการที่ดี และเป็นไปตามหลักสากลที่ว่า เราจะบริหารองค์กรไม่ได้เลย ถ้าหากขาดวิสัยทัศน์ และพันธกิจ รวมทั้งนโยบายและกลยุทธ์ และแผนงานที่เกี่ยวข้อง เพื่อสนับสนุนการก้าวไปสู่วิสัยทัศน์ขององค์กร แน่นอนว่า หากประเทศไทยเราได้กำหนดวิสัยทัศน์ที่ชัดเจน และเป็นรูปธรรมที่เป็นลายลักษณ์อักษรแล้ว การจัดสรรงบประมาณให้กระทรวง ทบวง กรม ต่าง ๆ ก็จะมีทิศทางที่เอื้ออำนวยให้ประเทศไปสู่ทิศทางเดียวกันตามวิสัยทัศน์ที่กำหนด

    วันนี้เป็นวันที่ 24 มิถุนายน พ.ศ. 2556 ซึ่งเวลาได้ผ่านพ้นมา 81 ปี เมื่อนับจากวันแห่งการเปลี่ยนแปลงการปกครอง เมื่อวันที่ 24 มิถุนายน พ.ศ. 2475 เหลือเวลาเพียง 19 ปีเท่านั้น ที่จะผลักดันให้ประเทศไทยก้าวไปสู่การเป็นประเทศที่พัฒนาแล้ว ซึ่งนับว่ามี

    ภาพจาก www.iseehistory.com โดย หมาป่าดำ

    ภาพจาก http://www.iseehistory.com โดย หมาป่าดำ

    เวลาไม่มากนัก แต่ก็ยังดีกว่ามากเมื่อเทียบกับการไม่กำหนดเป้าหมายหลักของประเทศที่เราต้องการเห็น หรือไปให้ถึง ทำให้การจัดสรรงบประมาณ อาจจะขาดหางเสือหรือทิศทางที่จะนำนาวาที่ชื่อ “ประเทศไทย” ไปสู่เป้าหมายที่พึงต้องการได้ ในปี พ.ศ. 2575 เพราะการจัดสรรงบประมาณไม่ได้มีทิศทางเพื่อจะให้ประชาชนคนไทยมีรายได้โดยเฉลี่ย ไม่ต่ำกว่า 15,000 USD ตามที่กำหนดเอาไว้เป็นข้อ 1 ในหลายข้อของการพิจารณาว่าประเทศไทยที่เป็นประเทศที่พัฒนาแล้ว (Developed Country)

    ดังนั้น เมื่อถึงปี พ.ศ. 2575 ประเทศไทยก็อาจยังไม่เป็นประเทศที่พัฒนาแล้ว ตามหลักเกณฑ์หรือหลักสากลที่กำหนดไว้ ซึ่งเป็นเรื่องที่น่าเสียดายยิ่ง เพราะทุกประเทศที่พัฒนาแล้ว และกำลังจะก้าวไปสู่ประเทศที่พัฒนา อย่างประเทศมาเลเซียเพื่อนบ้านของเรา ก็กำหนดวิสัยทัศน์ที่ชัดเจนว่า “ในปี ค.ศ. 2020 ประเทศมาเลเซีย จะเป็นประเทศที่พัฒนาแล้ว” เป็นต้น ซึ่งเหลือเวลาเพียง 7 ปีสำหรับประเทศมาเลเซีย ที่จะนำพาประเทศและประชากรของเขาไปสู่ประเทศที่พัฒนาแล้ว ซึ่งเป็นที่น่าภาคภูมิใจเป็นอย่างยิ่ง สำหรับประเทศเล็ก ๆ ที่มีเนื้อที่และประชากรที่น้อยกว่าประเทศไทยเราเป็นอย่างมาก

    ลองวิเคราะห์เบื้องต้นอย่างหยาบ ๆ ก็จะพบว่า วิสัยทัศน์ของมาเลเซีย มีทางเป็นไปได้ค่อนข้างสูงมาก ที่จะนำพาประเทศไปสู่การเป็นประเทศที่พัฒนาแล้ว ทั้งนี้เพราะ การจัดสรรงบประมาณของประเทศมาเลเซีย การกำหนดนโยบาย การกำหนดวิสัยทัศน์ และการกำหนดขั้นตอนการบริหารประเทศ รวมทั้งโครงการต่าง ๆ ที่ผ่าน กระทรวง ทบวง กรม และรัฐบาลที่มั่นคงของประเทศมาเลเซีย ตั้งแต่อดีตจนถึงปัจจุบัน มีทิศทางที่สอดประสานและบูรณาการเป็นหนึ่งเดียวกันก็คือ ทุกทิศทางภายใต้กรอบงบประมาณและแผนงาน ล้วนแล้วแต่สนับสนุนการยกระดับเศรษฐกิจ การเงิน การงาน ซึ่งเน้นหนักในกิจกรรมที่เกี่ยวข้องกับการสร้างมูลค่าเพิ่ม ทั้งทางตรงและทางอ้อม ที่ผลักดันประเทศไปสู่ในทิศทางเดียวกันนั่นคือ “ในปี ค.ศ. 2020 ประเทศมาเลเซีย จะเป็นประเทศที่พัฒนาแล้ว”

    หากมีโอกาส ผมจะลองวิเคราะห์ให้ผู้อ่านเห็นภาพชัดเจนว่า ประเทศมาเลเซียได้วางแผนและพัฒนาประเทศอย่างไร และทิ้งห่างกับประเทศไทยอย่างไรบ้าง เพื่อนำพาประเทศของเขาไปสู่วิสัยทัศน์ตามที่กล่าวข้างต้น โดยเฉพาะอย่างยิ่ง การพัฒนาบุคคลากรของคนในชาติมาเลเซีย ที่เน้นองค์ความรู้ และสร้างความคิดเพื่อให้ประชาชนของเขาสามารถสร้างนวัตกรรมใหม่ ๆ และสามารถสร้างคุณค่าเพิ่มได้จากเทคโนโลยี เทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ที่มีกลยุทธ์ชาญฉลาด ลึกซึ้งเป็นอย่างยิ่ง จากความคิดของผู้นำ รัฐบาลที่มีความมั่นคงติดต่อกันมาหลายยุค หลายสมัย

    อนุสาวรีย์ประชาธิปไตยในอดีต ภาพจาก wikipedia

    อนุสาวรีย์ประชาธิปไตยในอดีต ภาพจาก wikipedia

    ผมอาจเข้าใจผิดว่า ประเทศไทย ยังไม่ได้กำหนดวิสัยทัศน์ตามที่ได้กล่าวข้างต้น จากการที่ไม่ได้ปักธง หรือกำหนดวิสัยทัศน์ของประเทศ เป็นลายลักษณ์อักษรก็ได้นะครับ

    ถ้าเป็นเช่นนั้น หากมีใครทราบว่า ประเทศไทยได้กำหนดวิสัยทัศน์ของประเทศไว้อย่างไร ไว้ในสมัยรัฐบาลใด ในปี พ.ศ. ใด ที่เป็นลายลักษร์อักษรชัดเจนและนำไปใช้ในทางปฏิบัติ ที่เกี่ยวข้องกับการผลักดันงบประมาณ ผ่าน กระทรวง ทบวง กรมต่าง ๆ ซึ่งเปรียบเสมือนฝีพาย เพื่อนำพานาวาของรัฐหรือประเทศไทย ไปสู่การเป็นประเทศพัฒนาแล้ว ในปี พ.ศ. 2575 คือ 100 ปี นับจากปี พ.ศ. 2475 ที่มีการเปลี่ยนแปลงการปกครองของประเทศ เมื่อวันที่ 24 มิถุนายน พ.ศ. 2475

    และเมื่อใดกันครับ ที่เราจะเห็นวิสัยทัศน์ของประเทศที่เป็นลายลักษณ์อักษร ที่มีความหมายและสามารถสื่อสารไปยังประชาชนคนไทยทั้งประเทศผ่านนโยบายและวิสัยทัศน์ที่จะขับเคลื่อนแผนงาน โครงการต่าง ๆ โดยใช้งบประมาณที่จัดสรรในแต่ละปีให้เหมาะสมและได้ดุลยภาพกับคนไทยเพื่อให้เกิดคุณค่าเพิ่มแก่คนไทยทั้งประเทศ ผ่านกลไกในการขับเคลื่อนประเทศที่ดีควบคู่กับการบริหารความเสี่ยงและการบริหารทรัพยากรของประเทศอย่างเหมาะสม

    เรื่องนี้เป็นเรื่องสำคัญอย่างยิ่งในความคิดของผม และใคร่อยากจะได้เห็นวิสัยทัศน์ของประเทศที่กำหนดเป็นลายลักษณ์อักษรที่สามารถสื่อความและชี้ทิศทางให้ประเทศไทยเดินไปสู่อนาคตที่ดีและเติบโตอย่างยั่งยืน ตามหลักการจัดการที่ดีและเป็นสากลได้

    Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (3)

    มิถุนายน 21, 2013

    สวัสดีครับทุกท่านที่ติดตามสาระ ความรู้จาก itgthailand.wordpress.com แห่งนี้ สำหรับการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือที่เรียกกันว่า CSA – Controls Self Assessment ที่ได้พูดคุยกันมาถึงตอนที่ 7 แล้ว ในครั้งก่อน ผมได้พูดถึง ความเสี่ยง การบริหารความเสี่ยง และทางเลือกในการบริหารความเสี่ยง พร้อมทั้งยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการในบางมุมมอง ซึ่งคาดว่าจะเป็นประโยชน์อย่างมากสำหรับการนำไปประยุกต์ใช้ให้เหมาะสมในแต่ละองค์กร และเมื่อพูดถึงความเสี่ยง การบริหารความเสี่ยงแล้ว แน่นอนว่าจะขาดไม่ได้ที่จะไม่กล่าวถึง การควบคุม (Control) ที่เป็นกระบวนการที่สำคัญและจำเป็นต่อการประเมินตนเองเพื่อการควบคุมความเสี่ยงขององค์กร

    การควบคุม (Control) หมายถึง ขั้นตอน กระบวนการ หรือกลไกซึ่งองค์กรกำหนดขึ้นเพื่อให้มั่นใจว่า กิจกรรมในการดำเนินธุรกิจจะประสบความสำเร็จ และได้ผลลัพธ์ตามวัตถุประสงค์ที่ได้กำหนดไว้
    การควบคุมเป็นกระบวนการตรวจสอบกิจกรรมเพื่อให้เกิดความมั่นใจว่าสามารถบรรลุวัตถุประสงค์ตามแผนที่กำหนดไว้
    การควบคุมเป็นหน้าที่ที่สำคัญอย่างหนึ่งของการบริหาร การควบคุมมีความสัมพันธ์ใกล้ชิดกับการวางแผน เพราะการควบคุมเป็นเครื่องมือสำคัญในการกำหนดแผน การดำเนินการตามแผนและการประเมินผลตอบแทน

    รูปแบบของการควบคุม
    รูปแบบของการควบคุมจะแสดงให้เห็นถึงวิธีการตอบสนองต่อความเสี่ยง ซึ่งรูปแบบการควบคุมเหล่านี้ได้แก่
    1. การป้องกัน (Preventive) คือความพยายามที่จะสกัดไม่ให้เกิดความเสี่ยงขึ้น เป็นการควบคุมล่วงหน้าก่อนที่จะเกิดความเสี่ยงขึ้น เช่น การขออนุมัติใบสั่งซื้อก่อน หรือการใส่รหัสลับในเครื่องคอมพิวเตอร์
    2. การตรวจสอบ/ติดตาม(Detective) คือความพยายามในการติดตามความเสี่ยงที่เกิดขึ้นถึงแม้จะมีการควบคุมแบบการป้องกันแล้ว นั่นคือเมื่อมีความเสี่ยงเกิดขึ้น บริษัทจะจัดให้มีระบบการควบคุมความเสี่ยงขึ้นมา ซึ่งการติดตามที่ดีต้องมีระบบการสื่อสารที่ดีด้วย โดยต้องจัดให้มีระบบการสื่อสารที่รวดเร็วและสม่ำเสมอโดยวิธีการที่หลากหลาย
    3. การกำกับ (Directive) คือความพยายามหลีกเลี่ยงความเสี่ยงโดยการกำหนดวิธีการเฉพาะที่เหมาะสม เป็นการเสนอให้ทำสิ่งที่ถูกต้อง (เป็นแนวทางหรือการฝึกอบรม)

    จากรูปแบบการควบคุมข้างต้น จะเห็นได้ว่า นอกจากการควบคุมจะเป็นการป้องกันไม่ให้เกิดความเสี่ยงขึ้นแล้ว ยังมีรูปแบบอื่นที่สามารถทำได้อีก เช่น การติดตามความเสี่ยงที่อาจเกิดขึ้น หรือการให้คำแนะนำหรือฝึกอบรมพนักงานให้กับพนักงานเพื่อจัดการกับความเสี่ยง

    การทำความเข้าใจเป้าหมายที่แท้จริงของระบบการควบคุบภายในจะช่วยให้สามารถบรรลุวัตถุประสงค์ของธุรกิจง่ายขึ้น โดยการประเมินความเสี่ยงเป็นวิธีการที่ง่ายที่สุดในการบรรลุวัตถุประสงค์ และสิ่งที่ต้องทำเพื่อให้บรรลุผลสำเร็จตามวัตถุประสงค์ คือ การระบุ/ บ่งชี้ปัจจัยเสี่ยง โดยการระบุปัจจัยเสี่ยงนี้ จะมีประโยชน์ในการออกแบบระบบการควบคุมความเสี่ยงที่เหมาะสมกับความเสี่ยงนั้น ๆ มีการกำหนดระบบการควบคุมที่มีต้นทุน-ประสิทธิผล ที่เหมาะสมมากที่สุด เพื่อบรรเทาผลกระทบจากความเสี่ยงที่เกิดขึ้น อันจะทำให้เราสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้

    นอกจากนี้ยังควรตระหนักถึงความสัมพันธ์ระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงด้วย การควบคุมความเสี่ยงเกือบทั้งหมดจะใช้ในการบรรเทาความเสี่ยงที่เกิดขึ้นอันจะมีผลต่อการบรรลุวัตถุประสงค์ การออกแบบการควบคุมภายในเพียงอย่างเดียว ไม่สามารถนำไปใช้ในการบริหารความเสี่ยงทุกประเภทได้ การออกแบบการควบคุมความเสี่ยงโดยผู้ที่มีความรู้และประสบการณ์ใกล้ชิดกับงานที่ทำ น่าจะสามารถทำได้ดีกว่าการออกแบบการควบคุมที่เกิดขึ้นจากผู้บริหาร ผู้ตรวจสอบภายใน หรือผู้ที่ทำหน้าที่ในการประเมินตนเองเพื่อการควบคุมภายใน

    กรอบการควบคุม ในการประเมินตนเองเพื่อควบคุมความเสี่ยง
    กรอบการควบคุมความเสี่ยง (แบบจำลองการควบคุมความเสี่ยง) เป็นความหมายและโครงสร้างที่ใช้ในการอธิบายการควบคุมภายใน วิธีการนำเอาแบบจำลองการควบคุมความเสี่ยงไปปฏิบัที่ดีที่สุดคือ เริ่มจากการสัมภาษณ์มุมมองเชิงลึกถึงวิธีการที่องค์กรจะนำเอาแบบจำลองการควบคุมไปใช้ และข้อมูลสารสนเทศเกี่ยวกับวิธีที่ใช้ในการประเมินตนเอง

    การนำกรอบการควบคุมความเสี่ยงไปใช้

    กรอบความคิดต่าง ๆ จะถูกกำหนดขึ้นมาให้เหมาะกับวัตถุประสงค์เฉพาะของแต่ละคน ตัวอย่างเช่น กรอบความคิดหนึ่งอาจถูกออกแบบมาเพื่อใช้อธิบายความหมายและรายละเอียดของการควบคุมภายใน โดยมีพื้นฐานจากวัตถุประสงค์ขององค์กร ส่วนกรอบอื่น ๆ ที่มีอยู่อาจใช้ในการระบุความเสี่ยง และการให้บริการลูกค้า

    ประโยชน์ของการใช้กรอบการควบคุมในการประเมินตนเองเพื่อควบคุมความเสี่ยง
    1. แสดงให้เห็นถึงความครอบคลุมทั้งหมดของการควบคุมความเสี่ยง
    2. ใช้เป็นเครื่องมือในการติดตามผลเพื่อรวบรวมเป็นชุดของหน่วยงานที่มีลักษณะคล้ายกัน
    3. ใช้เป็นคำถามที่มีรูปแบบเพื่อเตรียมไว้สำหรับการจัดโครงสร้างและลักษณะทั่วไปของหน่วยงาน

    เรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA ยังไม่จบเพียงเท่านี้ ผมยังมีเรื่องราวของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบอื่น ๆ ที่น่าสนใจมาเล่าสู่กันฟัง อาทิเช่น COSO (Committee of Sponsoring Organizations) และ CoCo (Criteria of Control) ส่วนจะมีรายละเอียดเป็นอย่างไรนั้น โปรดติดตามในครั้งต่อไปนะครับ

    Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (2)

    พ.ค. 9, 2013

    จากการประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ที่ผมได้เล่าสู่กันฟังมาหลายตอน และได้กล่าวถึงวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยเน้นในส่วนของ CSA ที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ ในครั้งที่แล้วนั้น แต่เนื่องจากมีรายละเอียดมากพอสมควร ไม่อาจกล่าวได้ครอบคลุมทั้งวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง จึงจำเป็นต้องแยกเป็นหัวข้อที่ย่อยลงไป โดยในครั้งนี้จะขอกล่าวถึงเฉพาะเรื่องของความเสี่ยง สำหรับเรื่องของการควบคุมความเสี่ยง คงจะไว้พูดคุยกันในโอกาสต่อไป แต่อยากจะขอเน้นย้ำอีกสักครั้ง เพื่อให้เข้าใจได้ชัดเจนว่า การประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดหลาย ๆ ส่วนที่เกี่ยวข้องสัมพันธ์ เชื่อมโยงกันกับการบริหารความเสี่ยง ซึ่งหลายอย่างในบางส่วนหรือบางมุมมมองก็ไม่สามารถแยกแยะออกจากกันได้ ขึ้นอยู่การนำไปใช้กับหน้าที่การปฏิบัติงานในระดับต่าง ๆ ของหน่วยงาน/องค์กร

    เมื่อพุดถึง ความเสี่ยง (Risk) คำจำกัดความของความเสี่ยงนั้นมีได้หลายมุมมอง แล้วแต่ว่าองค์กรนั้นเป็นองค์กรในลักษณะใด ทำธุรกิจด้านไหน แต่อย่างไรก็ตาม ทุกมุมมองจะมุ่งเน้นไปที่เป้าหมาย แต่ในที่นี้ผมขอให้คำจำกัดความไว้ดังนี้

    ความเสี่ยง หมายถึง ภาวะคุกคาม ปัญหา อุปสรรค หรือการสูญเสียโอกาส ซึ่งจะมีผลทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้หรือก่อให้เกิดผลเสียหายต่อองค์กร หรือ…
    ความเสี่ยง หมายถึง สาเหตุ มูลเหตุที่จะเกิดปัญหา ความผิดพลาด ความสูญเปล่า การรั่วไหล ความล้มเหลว ความเสียหาย หรือความไม่แน่นอน ซึ่งไม่พึงประสงค์ที่จะทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนดไว้ และ/หรือการไม่เกิดโอกาสหรือความสูญเสียโอกาสดี ๆ ที่จะเป็นประโยชน์ในการสร้างมูลค่าเพิ่มให้กับองค์กร หรือ…
    ความเสี่ยง หมายถึง เหตุการณ์หรือการกระทำใด ๆ ที่อาจเกิดขึ้นในอนาคตซึ่งเมื่อเกิดขึ้น ล้วนจะมีผลกระทบต่อการบรรลุวัตถุประสงค์ขององค์กร

    ความเสี่ยงเป็นสิ่งที่สามารถเกิดขึ้นได้เสมอในทุกองค์กร บางครั้งอาจเป็นเหตุการณ์ที่ทำให้ผลที่องค์กรได้รับจากเหตุการณ์จริงไม่เป็นไปตามที่คาดหวังหรือวางแผนไว้ อันเนื่องมาจากสาเหตุต่าง ๆ กัน เช่น ต้นทุนที่เกิดขึ้นจริงสูงกว่างบประมาณที่กำหนดไว้ เป็นต้น

    นอกจากนี้ยังมีความเสี่ยงบางประเภทที่มีความหมายในทางลบ โดยจะมองความเสี่ยงว่าเป็นอันตราย เป็นตัวขัดขวางทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ หรือสร้างความเสียหายต่อองค์กร แต่ในความเป็นจริงแล้วการที่เราสามารถระบุปัจจัยเสี่ยงออกมาได้ ย่อมทำให้เราสามารถที่จะเลือกได้ว่าจะตัดสินใจในการบริหารความเสี่ยง รวมถึงนำไปสู่การประเมินตนเองเพื่อควบคุมความเสี่ยงนั้น ๆ ได้อย่างไร

    เราจะมีทางเลือกในการบริหารความเสี่ยงอย่างไรได้บ้าง

    1. การหลีกเลี่ยงความเสี่ยง (Avoidance) เป็นการไม่ยอมรับความเสี่ยงนั้นเลย จึงอาจต้องทำให้เปลี่ยนวัตถุประสงค์ ตัวอย่างเช่น เมื่อเราได้พิจารณาแล้วเห็นว่า ประเทศใดกำลังเผชิญกับปัญหาด้านความมีเสถียรภาพทางการเงินและการเมืองสูง ย่อมทำให้เราตัดสินใจไม่เข้าไปลงทุนในประเทศนั้น นั่นคือการที่เราไม่ยอมรับความเสี่ยงที่เกิดขึ้นจากการเข้าไปลงทุนในประเทศนั้น

    2. การลดหรือบรรเทาความเสี่ยง (Mitigation), การควบคุม (Control) เป็นการที่บริษัทตัดสินใจที่จะนำการควบคุมภายในมาใช้ในการลดหรือบรรเทาความเสี่ยงที่อาจเกิดขึ้นจนทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้

    3. การโยกย้าย, โอนย้ายความเสี่ยง (Transferring) เป็นการโอนความเสี่ยงไปให้ผู้อื่นรับผิดชอบ เนื่องจากความเสี่ยงบางอย่างบริษัทสามารถที่จะโยกย้ายความรับผิดชอบนั้นไปให้กับบุคลลที่สามรับผิดชอบแทนได้ เช่นการทำประกันอุบัติเหตุให้กับพนักงาน นั่นคือแทนที่บริษัทจะต้องใช้ทรัพยากรบางส่วนมาลงทุนดูแลงานด้านอุบัติเหตุเองให้กับพนักงานเอง บริษัทก็ไปจ้างบริษัทตัวแทนที่ทำหน้าที่นี้โดยตรง เข้ามารับผิดชอบดูแลแทน โดยยอมเสียค่าเบี้ยประกันจำนวนหนึ่งที่สามารถควบคุมได้แน่นอนให้กับบริษัทตัวแทน เพื่อเป็นการควบคุมความเสี่ยงให้กับบริษัทตน

    4. การยอมรับความเสี่ยง (Residual risk) ถ้าความเสี่ยงยังอยู่ในระดับที่ยอมรับได้ บริษัทก็จะยังไม่เข้าไปดำเนินการใด ๆ เป็นพิเศษเพื่อที่จะลด โยกย้าย หรือหลีกเลี่ยงความเสี่ยง

    หากเรามีการนำกรอบการกำหนดความเสี่ยงมาใช้ ก็จะช่วยให้สามารถระบุปัจจัยเสี่ยงได้อย่างมีประสิทธิภาพและประสิทธิผลมากขึ้น และจะทำให้สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ง่ายขึ้นด้วย ซึ่งกรอบการกำหนดความเสี่ยงส่วนใหญ่ของธุรกิจที่สำคัญ เพื่อการบริหารเบื้องต้นที่ผมจะขอกล่าวถึงมี 10 ประการ คือ

    1. การบันทึกบัญชีและสารสนเทศไม่ถูกต้อง บิดเบือน/ ไม่ทันเวลา/ ซ้ำซ้อน/ ไม่บูรณาการ ฯลฯ
    2. หลักการบัญชี นโยบายการบัญชีที่ไม่อาจยอมรับได้
    3. ธุรกิจหยุดชะงัก หรือเสียชื่อเสียง/ความน่าเชื่อถือ IT/Logic/พนักงาน/กฎเกณฑ์ ฯลฯ
    4. การถูกรัฐ/รัฐบาลตำหนิหรือการถูกลงโทษจากหน่วยงานรัฐ จากการไม่ปฏิบัติตามนโยบาย หลักการ ระเบียบ คำสั่งฯ ที่กำหนด หรือจากการทำให้ส่วนของความเป็นเจ้าของทุนลดค่า/ด้อยค่าลงหรือความเข้าใจในการตีความ กระบวนการที่ขัดกับเป้าหมายหลักของรัฐโดยรวม
    5. ต้นทุนสูง ค่าใช้จ่ายสูง จากนโยบาย/การบริหาร/การจัดการ
    6. การไม่รับรู้รายจ่ายหรือผลขาดทุน/ความเสียหาย ที่เกิดจาก
    – การถ่ายโอนผลประโยชน์ขององค์กรไปสู้บริษัทร่วมการงานแบบไม่ตั้งใจ/ตั้งใจ
    – การบริหาร Value และ Hidden Value อย่างไม่รู้คุณค่าที่แท้จริงหรือรู้ไม่เท่าทัน
    – การแก้ไขสัญญาโดยองค์กรเสียเปรียบทั้งทางตรงและทางอ้อมจากคุณค่าซ่อนเร้น
    – การเปลี่ยนแปลงสู่กฎเกณฑ์ กฎหมาย การจัดระเบียบ จากการแข่งขัน ฯลฯ
    7. การทำให้สินทรัพย์ ส่วนของผู้ลงทุน/เจ้าของสูญเสีย หรือถูกทำลาย หรือลดมูลค่าแบบตั้งใจ หรือคิดไปไม่ถึงทั้งในปัจจุบันและอนาคต รวมทั้งการถูกฟ้องร้องในภายหลัง เช่น การลดสินทรัพย์และส่วนของผู้เป็นเจ้าของโดยไม่จำเป็น และไม่ถูกต้องตามขั้นตอน กฎเกณฑ์ นโยบาย ระเบียบ วิธีปฏิบัติทางบัญชี….ฯลฯ
    8. ผู้มีผลประโยชน์ร่วมไม่พอใจและ/หรือเสียเปรียบการแข่งขัน เช่น
    – จากการเปลี่ยนแปลงกฎเกณฑ์ ระเบียบ หลักการที่ขัดกับดุลภาพโดยรวมของการจัดการ
    – จากพื้นฐานและความพร้อมรวมทั้งสภาพแวดล้อมที่แตกต่างกัน ฯลฯ
    9. การทุจริตหรือขัดแย้ง/ทับซ้อน ทางผลประโยชน์ของผู้บริหาร/พนักงาน เช่น
    – จากสัญญา/บริษัทร่วมการงาน-ร่วมลงทุน
    – จากผลประโยชน์ Hidden Value และความไม่ซื่อสัตย์ต่อตนเองและวิชาชีพ
    – จากบริษัทที่ปรึกษาต่าง ๆ ที่ผลงานไม่คุ้มค่าเงินหรือไม่ได้ใช้ผลงานนั้น ฯลฯ
    10. คุณภาพการบริหารความเสี่ยง นโยบาย กลยุทธ์ไม่เหมาะสม ไม่เพียงพอและ/หรือกระบวนการตัดสินใจไม่ถูกต้อง เช่น
    – จากการเข้าใจกระบวนการบริหารความเสี่ยงที่แตกต่างกัน
    – จากกระบวนความคิดที่ไม่เป็นระเบียบ พิจารณาอย่างขาดบูรณาการ
    – ข้อมูลข่าวสารไม่ถูกต้อง

    แม้ว่าความเสี่ยงดังกล่าวข้างต้นอาจไม่ใช่สิ่งที่ทุกองค์กรต้องเผชิญอยู่ทุกวัน แต่ความเสี่ยงเหล่านี้จะมีลักษณะเป็นสากลอันจะช่วยให้องค์กรสามารถระบุปัจจัยเสี่ยงและจัดการกับความเสี่ยงได้ดียิ่งขึ้น และทำให้การบรรลุวัตถุประสงค์เป็นไปได้มากขึ้นด้วย

    กรอบความเสี่ยงเพื่อการบริหารอีกรูปแบบหนึ่งจะพิจารณาใช้ในเรื่องต่าง ๆ ดังนี้
    1. ความเสี่ยงภายนอก เช่น ลูกค้า, เทคโนโลยี, กฎหมาย
    2. ความเสี่ยงภายใน เช่น การจัดองค์กรใหม่, ทรัพยากรขององค์กร, ทัศนคติของผู้คนในองค์กร
    3. ความเสี่ยงพิเศษที่เกี่ยวกับสภาพแวดล้อมที่เปลี่ยนแปลงไป

    ผมขอยกตัวอย่างการบริหารความเสี่ยงในลักษณะของ CSA ของสถาบันการเงินบางประการและในบางมุมมอง เพื่อให้เห็นภาพของการประเมินตนเองเพื่อการควบคุมความเสี่ยงที่สามารถนำไปประยุกต์ใช้ในการปฏิบัติงาน ตามแผนภาพด้านล่าง โดยจะขอนำเสนอเพียงบางส่วน เพื่อไม่ให้เป็นการรบกวนพื้นที่ในการพูดคุย (เขียน) มากเกินไป สำหรับตัวอย่างแบบเต็มสามารถกด Download ได้ที่นี่ครับ

    ภาพนิ่ง1

    ภาพนิ่ง2

    ภาพนิ่ง3

    ความเสี่ยงที่สำคัญโดยทั่วไปขององค์กร ขึ้นอยู่กับลักษณะธุรกิจ ความเข้าใจในงาน และ Business process ซึ่งความเสี่ยงที่สำคัญ ๆ ขององค์กร คือ
    1. บุคลากร ความเป็นผู้นำ/การประสานงาน/ความซื่อสัตย์/จิตสำนึก/ความมุ่งมั่น/ความกล้าหาญ/ความสามารถ
    2. สภาพแวดล้อมของธุรกิจ ที่เกี่ยวข้องกับ การแข่งขัน/การให้รางวัล/กฎเกณฑ์/วัฒนธรรม
    3. เทคโนโลยี/เทคโนโลยีสารสนเทศ ในเรื่องของรายได้รั่วไหล/ความต่อเนื่อง/ความปลอดภัย/ข้อมูลสารสนเทศ และการบูรณาการ
    4. ระบบงาน/โครงสร้างองค์กร (IT Governance)
    5. กลยุทธ์ คือการพัฒนากลยุทธ์ ความชัดเจน การนำกลยุทธ์สู่การปฏิบัติ
    6. ลูกค้า/ผู้มีประโยชน์ร่วม/ผู้กำกับฯ ในด้าน การจัดหา/ความพึงพอใจ/การบริการ
    7. บริษัทร่วมการงาน/บริษัทในเครือ/บริษัทผู้ให้บริการ
    8. การติดตาม/การจัดการ
    9. การลงทุน/ความคุ้มค่าทางการเงิน/การบริหารรายได้/โครงการที่หมดยุค
    10. กฎหมาย/กฎเกณฑ์/นโยบาย ที่เกี่ยวกับการเปลี่ยนแปลงและดุลยภาพ
    11. การเงิน/รายได้/รายได้ทางเศรษฐกิจ ในเรื่องของการแข่งขันเสรี/การแปรสัญญา/ภาษี/การจัดการ/บัญชี

    ผู้บริหารควรทำความเข้าใจถึงการเปลี่ยนแปลงที่มีผลต่อธุรกิจ และเหตุแห่งความเสี่ยงที่เกิดขึ้นตลอดเวลา โดยการตั้งคำถามตนเองเสมอว่า “สามารถเข้าใจถึงการเปลี่ยนแปลงที่เกิดขึ้นแก่ธุรกิจ หรือความเสี่ยงที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนั้นเพียงใด” และ “องค์กรได้มีแนวปฏิบัติทางธุรกิจ รวมทั้งการควบคุมภายในอย่างเพียงพอเหมาะสมต่อการเปลี่ยนแปลงหรือไม่” เนื่องจากผู้บริหารมีหน้าที่ในการคัดเลือกวิธีที่จะจัดการกับความเสี่ยงในแต่ละประเภทให้เหมาะสม เนื่องจากวิธีการจัดการกับความสี่ยงในแต่ละประเภทนั้นย่อมแตกต่างกัน ไม่ควรเลือกใช้เทคนิคเดิม ๆ มาจัดการกับความเสี่ยงทุกประเภท

    การระบุความเสี่ยงจะช่วยให้เราสามารถแยกความแตกต่างระหว่างสาเหตุและผลกระทบของความเสี่ยงได้ ซึ่งการที่เราสามารถแยกสาเหตุและผลกระทบของความเสี่ยงออกมาได้ ย่อมทำให้เราเลือกใช้การควบคุมภายในมาจัดการกับสาเหตุของความเสี่ยงมากกว่าการจัดการกับผลกระทบที่เกิดจากความเสี่ยง
    – ผลหรือผลกระทบของความเสี่ยง คือผลลัพธ์สุดท้าย, อันตรายที่เกิดขึ้นจากการสูญเสียโอกาสในการบรรลุวัตถุประสงค์เมื่อเกิดความเสี่ยง
    – สาเหตุของความเสี่ยง คือเหตุที่ทำให้เกิดความเสี่ยงขึ้น

    ตัวอย่างของความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามกฎ
    – ผลกระทบของความเสี่ยง ได้แก่ การถูกทำโทษ การจำคุก การประกาศเมื่อไม่ปฏิบัติตามกฎ
    – สาเหตุของความเสี่ยง ได้แก่ พนักงานไม่ทราบกฎระเบียบนั้น พนักงานไม่เห็นว่ากฎนั้นมีความสำคัญ

    ถ้าผลกระทบนั้นกระทบต่อการบรรลุผลสำเร็จของเป้าหมายอย่างมีนัยสำคัญ เราอาจต้องพิจารณาจัดให้มีการควบคุมภายใน เข้ามาจัดการกับสาเหตุของความเสี่ยงนั้น แทนที่จะรอจัดการกับผลกระทบของความเสี่ยงที่เกิดขึ้น

    ข้อผิดพลาดทั่วไปในการระบุปัจจัยเสี่ยง
    1. การอ้างอิงเป็นวงกลม เป็นการระบุปัจจัยเสี่ยงอย่างง่าย ๆ ที่แปรผันกับวัตถุประสงค์ เช่น ถ้ากำหนดให้วัตถุประสงค์คือ “การทำให้แน่ใจว่าต้องมีการอนุมัติใบแจ้งหนี้ก่อนที่จะมีการทำจ่ายเงิน” ดังนั้น เราสามารถระบุความเสี่ยงได้ว่า “มีการทำจ่ายใบเสนอราคาไปก่อนที่จะมีการอนุมัติให้จ่ายเงิน”
    2. การระบุผลกระทบที่เกิดขึ้นแทนที่จะระบุถึงสาเหตุ จากวัตถุประสงค์ข้างต้น ความเสี่ยงเรื่องของการสำเนาใบจ่ายเงินอาจไม่ใช่ความเสี่ยงที่แท้จริงแต่เป็นผลกระทบที่เกิดขึ้น ซึ่งอาจนำไปใช้ในค่าใช้จ่ายที่ไม่จำเป็นหรือใช้ในการทุจริตได้
    3. การควบคุมที่ไม่เป็นผล การฝึกอบรม การทบทวน การจัดสรรทรัพยากร เป็นว่าเป็นการควบคุมทั้งหมด แต่ถ้าการควบคุมเหล่านี้ทำงานอย่างไม่มีประสิทธิผล เช่น การฝึกอบรมไม่เหมาะสม การไม่ได้รับการทบทวนจากหัวหน้างานที่เพียงพอ และการจัดสรรทรัพยากรน้อยเกินไป การควบคุมเหล่านั้นก็จะสร้างปัจจัยเสี่ยงตัวอื่นขึ้นมาแทน

    การให้พนักงานซึ่งเป็นผู้ที่มีส่วนรับผิดชอบในการทำให้วัตถุประสงค์บรรลุผลสำเร็จ เข้ามามีส่วนร่วมในการระบุปัจจัยเสี่ยง และออกแบบการควบคุมความเสี่ยงจะทำให้ได้ประโยชน์มากขึ้น เนื่องจากพนักงานเป็นผู้ที่ใกล้ชิดกับเหตุการณ์จริงมากที่สุด ย่อมรู้รายละเอียดของความเสี่ยงนั้นได้เป็นอย่างดี ทำให้การออกแบบการควบคุมความเสี่ยงนั้น มีความเป็นไปได้มากขึ้น อันจะเป็นหนทางที่จะทำให้องค์กรบรรลุวัตถุประสงค์ที่ต้องการ

    การบริหารความเสี่ยง (Risk Management)
    การบริหารความเสี่ยง หมายถึง กระบวนการที่ใช้ในการระบุและวิเคราะห์ความเสี่ยง/ความไม่แน่นอนที่จะมีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมายขององค์กร รวมทั้งกำหนดแนวทางการควบคุมหรือการบริหารความเสี่ยงให้คงเหลือ (Residual Risk) ที่องค์กรยอมรับได้ รวมทั้งการสร้างโอกาสที่จะพัฒนาและสร้างมูลค่าเพิ่มให้กับองค์กรตามสภาวะการณ์ที่เกิดขึ้น

    การบริหารความเสี่ยง เป็นกลวิธีที่เป็นเหตุผลที่นำมาใช้ในการบ่งชี้ วิเคราะห์ ประเมิน จัดการ ติดตาม และสื่อสารความเสี่ยงที่เกี่ยวข้องกับกิจกรรมหน่วยงาน หรือกระบวนการดำเนินงานขององค์กร เพื่อช่วยให้องค์กรลดความสูญเสียให้เหลือน้อยที่สุด และเพิ่มโอกาสให้แก่ธุรกิจมากที่สุด การบริหารความเสี่ยงยังหมายถึง การประกอบกันอย่างลงตัวของวัฒนธรรมขององค์กร กระบวนการและโครงสร้างองค์กร ซึ่งมีผลโดยตรงต่อประสิทธิภาพการบริหาร และผลได้ผลเสียของธุรกิจ

    วัตถุประสงค์ทางธุรกิจและสภาพแวดล้อมที่ดำเนินธุรกิจอยู่มีการพัฒนาตลอดเวลา ทำให้ความเสี่ยงที่เกี่ยวข้องเปลี่ยนแปลงตามไปด้วยอย่างต่อเนื่อง การบริหารความเสี่ยงที่มีประสิทธิภาพคือการบริหารที่เอื้อประโยชน์ต่อธุรกิจในการจัดการและควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ แม้ว่าความเสี่ยงไม่สามารถถูกกำจัดให้หมดไป แต่ก็จะทำให้การจัดการความเสี่ยงอยู่ในระดับที่เหมาะสมกับผลตอบแทนที่ยอมรับได้

    สำหรับการควบคุมความเสี่ยงที่เป็นกระบวนการที่สำคัญและจำเป็นต่อ CSA ซึ่งมีผลต่อหน่วยงานและองค์กรนั้น ผมจะมาเล่าสู่กันฟังในครั้งต่อไปนะครับ

    Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    การเจรจาเพื่อรักษาผลประโยชน์ของชาติ กับการบริหารความเสี่ยงที่มาจากแนวคิดแบบบูรณาการ ตอนที่ 1

    เมษายน 29, 2013

    การวิเคราะห์ข้อมูลและสารสนเทศ เพื่อก้าวไปสู่ความเข้าใจถึงวัตถุประสงค์หลักที่ไม่อาจเปิดเผย และ/หรือ เปิดเผย อย่างชัดเจนตามหลัก SMART เพื่อการบริหารความเสี่ยงและการควบคุม เพื่อการบรรลุวัตถุประสงค์ของประเทศชาติ/องค์กรโดยรวม เป็นสิ่งสำคัญยิ่งในกระบวนการจัดการที่ดี

    ผมทราบตามข่าวว่า วันนี้ (29 เม.ย. 2556) จะมีการเจรจาระหว่างทางการของไทยกับกลุ่มที่เรียกว่า BRN ในการเจรจาปัญหาความสงบของ 3 จังหวัดชายแดนภาคใต้ของไทย ซึ่งเป็นเรื่องสำคัญมาก โดยเฉพาะอย่างยิ่งประเทศไทยที่ต้องการความสงบ จากปัญหาประจำวันที่เกิดขึ้นมาประมาณ 9 ปี โดยมีเหตุการณ์ไม่สงบเกิดขึ้นบ่อยครั้งและบางช่วงเวลาเกิดขึ้นเป็นรายวัน ผมเคยอ่านวิเคราะห์เหตุการณ์ของผู้สันทัดกรณี ที่วิเคราะห์ต้นเหตุของปัญหาดังกล่าวในหลายมุมมอง ซึ่งทุกมุมมองมีเหตุผลที่ไม่เหมือนกัน และมีน้ำหนักในการจัดการที่แตกต่างกันไป ทำให้การแก้ปัญหาที่แท้จริงที่มาจากต้นเหตุที่หลากหลายผสมปนเปกันไปนั้น ค่อนข้างยากที่จะควบคุมให้อยู่ในกรอบที่ต้องการได้ ผมสนใจในเรื่องกระบวนการบริหารความเสี่ยงในทุกระัดับของการจัดการที่ดี จึงขอแบ่งปันความคิดเห็นในเชิงสร้างสรร และนำเหตุการณ์ที่น่าสนใจมาเล่าสู่กันฟัง ดังนี้

    โดยหลักการบริหารโดยทั่วไป ไม่ว่าจะเป็นเรื่องอะไรก็ตามที หากผู้กำกับและผู้ควบคุมไม่สามารถจัดการควบคุมต้นเหตุหรือสาเหตุของความเสี่ยง เพื่อลดระดับของเหตุการณ์ความเสี่ยงของเหตุการณ์ต่าง ๆ ที่เกิดขึ้น ให้อยู่ในระดับที่ยอมรับได้ (Risk Appettite) ผลของการจัดการหรือการจัดการที่ดีก็ค่อนข้างยากที่จะได้ผลลัพธ์ตามที่ต้องการ วิธีการวัดที่ง่าย ๆ ก็คือ เหตุการณ์ยังเกิดขึ้นบ่อย และมีความเสี่ยหายเป็นอย่างมาก ความยากลำบากที่ทราบกันโดยทั่วไปก็คือ ทางการของไทยยังไม่ทราบวัตถุประสงค์ที่ชัดเจนของผู้ปฏิบัติการแต่ละกลุ่มว่าทำไปเพื่อประสงค์อะไรกันแน่ และผู้ดำเนินการเป็นใครก็ยังไม่ทราบชัดเจน

    ดังนั้น การนำหลักการบริหารความเสี่ยงที่เป็นเหตุการณ์ที่ก่อให้เกิดความเสียหายในการบรรลุเป้าประสงค์ของทางการ และประชาชนผู้ใคร่จะเห็นความสงบเกิดขึ้น จึงยังเป็นการยากที่จะบรรลุเป้าหมายได้ตามที่ต้องการ เพราะหลักการบริหารความเสี่ยงที่ดี ไม่ว่าจะใช้ Best Practice หรือมาตรฐานขององค์กรใดในสากล ก็ยังไม่อาจนำมาประยุกต์ใช้ได้อย่างเหมาะสม โดยเฉพาะอย่างยิ่งต้นเหตุที่เกิดจากวัฒนธรรม และสภาพแวดล้อมที่แตกต่างกันไป

    Slide1

    หลักการบริหารแบบบูรณาการ (Integrated Management) ซึ่งมีหลักการเป็นกรอบใหญ่ ๆ 2 ข้อ คือ
    หลักการ Governance และ หลักการ Management ที่ต้องเข้าใจกระบวนความคิดในบริบทโดยรวม ที่เกี่ยวข้องกับการวางแผน ที่ต้องมีความสัมพันธ์กับความรู้ความเข้าใจในสถานการณ์ที่เกี่ยวข้องอย่างรอบด้าน และในที่สุดจะเกี่ยวข้องกับกลยุทธ์ และวิธีการที่เหมาะสมที่นำไปใช้ในการบรรลุเป้าประสงค์ ตามความต้องการในระดับประเทศ และประชาชนส่วนใหญ่ที่ต้องการเห็นความสงบ ที่มาจากกระบวนความคิดตามที่ได้แสดงไว้ในแผนภาพแทนคำอธิบายที่หลากหลายที่อาจจะเข้าใจได้ง่ายกว่าการอธิบายโดยใช้คำพูดที่พัน ๆ คำนั้น จึงเป็นเรื่องสำคัญเป็นอย่างยิ่ง

    ในความเห็นส่วนตัวของผม หากประยุกต์จากการนำความคิดแบบบูรณาการ (Integrated Thinking) จากการคิดให้ครบจนจนความ ซึ่งอธิบายได้โดยการเริ่มต้นด้วยการตั้งคำถามที่มีเป้าหมายเฉพาะเจาะจงในแต่ละเรื่อง เมื่อได้คำตอบก็ให้วิเคราะห์ข้อมูลจากคำตอบหรือข้อมูลที่ได้รับมา เพื่อตั้งคำถามใหม่จากข้อมูลที่ได้รับมานั้น และฟังคำตอบหรือข้อมูลที่ได้รับมาจากคำถามที่ 2 และตั้งคำถามที่ 3 จากคำตอบที่ได้รับจากคำถามที่ 2 อย่างเป็นกระบวนการ และทำเช่นนี้ไปเรื่อย ๆ โดยมีเป้าหมายหลักอยู่ที่ เราจะสามารถรู้ต้นเหตุหรือสาเหตุหลักบางข้อจากหลายข้อนั้น ๆ ได้อย่างไร เพราะเมื่อเรารู้ต้นเหตุหรือสาเหตุ การจัดการหรือการควบคุมความเสี่ยงหรือผลกระทบที่มาจากต้นเหตุหรือสาเหตุ ที่เกิดเหตุการณ์ (Event) ที่ไม่พึงประสงค์หรือความไม่สงบต่าง ๆ ก็จะก้าวไปสู่ทิศทางที่น่าจะถูกต้องมากขึ้น เช่น หากจะยกตัวอย่างของจริงที่เกิดขึ้นเมื่อเร็ว ๆ นี้ จากเหตุการณ์ความไม่สงบเหตุการณ์หนึ่ง โดยมีข้อมูลที่เขียนในผืนผ้าสีขาวเป็นร้อยผืนติดตามสถานที่ต่าง ๆ ทั้งในตัวเมืองและนอกเมืองที่แปลเป็นไทยตามข่าวได้ว่า “หากไม่ยอมรับอำนาจของเรา เหตุการณ์ความสงบก็จะไม่เกิดขึ้น” หลายท่านที่ติดตามข่าวน่าจะจำได้เพราะเป็นข่าวใหญ่ที่เกิดขึ้นเมื่อ 3-4 วันที่ผ่านมานี้เอง (29 เม.ย. 2556)

    ท่านคิดอะไรครับ เมื่อได้ยิน ได้ฟัง ได้เห็น หรือได้ทราบข้อมูลตามที่กล่าวในวรรคต้น แล้วเรื่องนี้ แม้จะเป็นเรื่องเล็ก ๆ เพียงเรื่องเดียว ในจำนวนหลายร้อยเรื่องที่สมควรจะนำมารวบรวม เรียบเรียง มาผสมผสานในลักษณะข้อมูลที่เป็นบูรณาการ ซึ่งเมื่อใช้ความคิดแบบเชิงบูรณาการตามที่ได้อธิบายเป็นตัวอย่างสั้น ๆ ไปแล้ว ก็อาจทราบเรื่องสำคัญเรื่องหนึ่งและอาจเป็นเรื่องสำคัญอย่างยิ่งที่เป็นเป้าประสงค์หลักของผู้ปฏิบัติการที่ทำให้เกิดเหตุการณ์ความไม่สงบ ถึงแม้อาจสรุปไม่ได้ในทันทีว่าเป้าประสงค์สุดท้ายคืออะไรกันแน่นั้น อย่างน้อยก็พอจะเห็นภาพหรือข้อมูลที่เป็นสะพาน หรือเป็นบันไดที่สำคัญที่จะนำไปสู่วัตถุประสงค์หลักของฝ่ายปฏิบัติการรายวัน เพื่อให้ประเทศไทยทราบว่า บันไดหลายขั้นหรือขั้นตอนในการก้าวสู่วัตถุประสงค์สุดท้าย หรือวัตถุประสงค์ที่สำคัญยิ่งของผู้ปฏิบัติการที่อาจกล่าวได้ว่า ต้องการการปกครอง ต้องการมีอำนาจ เหนือดินแดนที่มีปัญหารายวัน ที่กำลังเกิดขึ้น

    หากเราเจรจาโดยปราศจากความเข้าใจถึงวัตถุประสงค์ที่แท้จริงของฝ่ายปฏิบัติการที่ต้องการอำนาจที่วิเคราะห์เบื้องต้นก็เข้าใจได้อย่างชัดเจน เพราะการกระทำเป็นเครื่องชี้เจตนา และฟ้องถึงหรือสื่อถึงการปฏิบัติการที่มาจากความคิดตามที่ปรากฎในผืนผ้าสีขาวที่ขออนุญาตกล่าวซ้ำอีกครั้งว่า “หากไม่ยอมรับอำนาจของเรา เหตุการณ์ความสงบก็จะไม่เกิดขึ้น” และเมื่อนำข้อมูลเพียงชิ้นนี้ชิ้นเดียวมาผสมผสานกับข้อมูลจากสื่อออนไลน์ (Youtube) ที่เป็นข่าวตั้งแต่เมื่อคืนและเมื่อเช้า ถึงเงื่อนไข BRN ยื่นไทย แลก เจรจา ดับไฟ ชาวใต้ ที่่แปลเป็นภาษาไทย 5 ข้อตามที่ปรากฎเป็นข่าวในทีวี เช้านี้เมื่อเวลาประมาณ 07:45 น. ได้ว่า
    1. ไทย ต้องยอมให้ มาเลเซีย เป็นคนกลาง เจรจา ไม่ใช่ผู้อำนวยความสะดวก
    2. ต้องพูดคุย ระหว่าง ชาวมาเลเซีย ในปัตตานี ผ่าน กลุ่ม BRN เพื่อนำข้อมูลมาคุยกับ ฝ่ายไทย
    3. ระหว่างพูดคุยต้องมีผู้สังเกตการณ์จาก กลุ่มอาเซียน / องค์การการประชุมอิสลาม หรือ โอไอซี / และ เอ็นจีโอ
    4. ไทย ต้องปล่อยคนที่ถูกคุมขังทั้งหมด และ ยกเลิกหมายจับทั้งหมดโดยไม่มีเงื่อนไข
    5. ไทย ต้องยอมรับ BRN เป็น องค์กรเพื่อการปลดปล่อยปัตตานี ไม่ใช่ กลุ่มแบ่งแยกดินแดน

    ข้อมูลและสารสนเทศที่กล่าวข้างต้น หากท่านชอบการวิเคราะห์และคิดอย่างสร้างสรร เพื่อผลประโยชน์ของประเทศชาติเป็นสำคัญ ท่านพอจะมองเห็นภาพเหตุการณ์ที่อาจจะเกิดขึ้นในอนาคต ที่อาจเป็นระยะกลางหรือระยะยาว ที่อาจเกิดขึ้นกับทางภาคใต้ของไทย และความมั่นคงของประเทศไทย และแน่นอนว่าต้องเกี่ยวข้องกับเศรษฐกิจและการเงินของประเทศไทย เพราะมีแหล่งน้ำมันและแก๊สธรรมชาติที่เป็นผลประโยชน์ร่วมกัน/ทับซ้อนกัน เพราะมีชายแดนร่วมกันและคาบเกี่ยวกัน ที่ในปัจจุบันก็มีการแบ่งผลประโยชน์กันอย่างได้ดุลยภาพพอสมควร หากมีการเปลี่ยนแปลงที่ยอมรับไม่ได้ จะเพราะเหตุผลใดก็ตาม ที่จะมีกระบวนการและขั้นตอนอย่างนุ่มนวล ที่หากขาดการบริหารความเสี่ยงอย่างเข้าใจจริงถึงการบรรลุวัตถุประสงค์ที่มิใช่เป็นความต้องการของประเทศไทยอย่างแท้จริงแล้วละก็ การตกลงใด ๆ จากมุมมองและความคิดที่แตกต่างกัน ย่อมจะมีผลไม่เพียงแต่อำนาจการบริหารและการปกครองเท่านั้น แต่ยังมีผลกระทบทางลบอื่น ๆ ต่อประเทศไทยอย่างเหลือคณานับ และแน่นอนว่าเป็นความเสี่ยงระดับประเทศที่ไม่อาจยอมรับได้เลยจริง ๆ

    ผมขออธิษฐานในสิ่งที่ผมเชื่อ ได้โปรดดลบันดาล ประเทศไทย จะไม่เสียทรัพยากรของชาติไม่ว่าในมุมมองใดของกระบวนการจัดการ ทั้งในมุมมองของทรัพยากร/สินทรัพย์ที่มีตัวตน (Tangible Assets) และทรัพยากร/สินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) เพื่อการควบคุมความเสี่ยงให้อยู่ในระดับที่ ประเทศไทยไม่ต้องเสียอะไรไปจากที่มีอยู่แล้วนี้อีกเลย ทั้งนี้ ขอให้เกิดความสมัครสมาน ความเข้าใจที่ดี ความร่วมมือกันของคนในชาติทุกกลุ่ม ที่ร่วมกันรักษาผลประโยชน์ของชาติให้ได้ดุลยภาพควบคู่กับการบริหารความเสี่ยง และการบริหารทรัพยากรที่เหมาะสม รวมถึงให้ผู้แทนของไทยในทุกระดับรู้เท่าทันความคิด เล่ห์เหลี่ยม การช่วงชิงผลประโยชน์ของชาติ เพื่อรักษาและสร้างความเจริญเติบโตอย่างยั่งยืนให้กับประเทศไทยได้อย่างแท้จริง

    สำหรับแนวความคิดซึ่งเป็นที่มาของการกำหนดยุทธศาสตร์ กลยุทธ์ ที่นำไปสู่นโยบาย แนวการปฏิบัติที่เหมาะสม นุ่มนวล แต่เข้มแข็งในแง่มุมอื่น ๆ นอกเหนือจากแนวคิดเชิงบูรณาการ (Integrated Thinking)/คิดให้ครบจนจบความ เช่น แนวคิดให้ลึกเชิงวิเคราะห์ (Analysis Thiking), แนวคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) และ แนวคิดในภาพรวมทั้งระบบ (System Thinking) ที่เกี่ยวข้องกับการรักษาผลประโยชน์ของชาติ ในมุมมองของการบริหารจัดการที่ีดี ผมจะนำมาเล่าสู่กันฟังในมุมมองความเห็นส่วนตัวในโอกาสต่อ ๆ ไปครับ

    Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 7 วัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง (1)

    เมษายน 16, 2013

    สวัสดีครับทุกท่าน หลังจากที่ห่างหายจากการเล่าสู่กันฟังในเรื่องราวหรือหมวดหมู่ของ IT Audit และ Non-IT Audit กันมาพอสมควร ผมจำได้ว่ายังมีเรื่องราวต่าง ๆ อีกมากมายที่จะแบ่งปันประสบการณ์ความรู้ ในมุมองของการการประเมินตนเองเพื่อควบคุมความเสี่ยง หรือ CSA / Controls Self Assessment ซึ่งได้คุยกันก่อนหน้านี้มาบ้างแล้ว โดยได้แบ่งเป็นตอน ๆ เพื่อให้ผู้สนใจและติดตามเรื่องราวของ CSA ได้เข้าใจและไม่เกิดความสับสนเกี่ยวกับการประเมินตนเองเพื่อควบคุมความเสี่ยง ทั้งนี้เพราะการประเมินตนเองเพื่อควบคุมความเสี่ยง มีรายละเอียดในหลาย ๆ ส่วนที่อาจกล่าวได้ว่าเกี่ยวข้องสัมพันธ์ เชื่อมโยง เหมือนหรือคล้ายคลึงกันกับการบริหารความเสี่ยงจนไม่สามารถแยกแยะออกจากกันได้ ซึ่งขึ้นอยู่การนำไปประยุกต์ใช้กับหน้าที่การปฏิบัติงาน หน่วยงาน/องค์กร หรือขึ้นอยู่กับมุมมองของระดับการบริหารส่วนไหน ระดับใด ที่ต้องการควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appitite) แต่ในหมวดหมู่นี้ผมจะขอกล่าวเน้นถึง CSA ในส่วนที่เกี่ยวข้องกับทางด้านของการตรวจสอบ หรือผู้ตรวจสอบ มากกว่าในส่วนของการบริหารความเสี่ยงขององค์กรทั่วไปโดยรวม ซึ่งผมได้เล่าสู่กันฟังในหมวดหมู่ของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework หรือสามารถติดตามจากเอกสารที่ให้ Download นี้ครับ

    การตรวจสอบภายในเป็นเรื่องราวของความสัมพันธ์กันระหว่างวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง โดยมีหลักพื้นฐานว่า “การประเมินความเสี่ยงเป็นหัวใจสำคัญของวิธีการประเมินตนเองทุกประเภท” การประเมินตนเองจึงมุ่งเน้นด้านวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยง อันจะช่วยให้เกิดความเข้าใจในความหมายของแนวคิดเหล่านี้ได้ง่ายและเร็วยิ่งขึ้น

    CSA-Control Self Assessment ได้ให้ความหมายของวัตถุประสงค์ ความเสี่ยง และการควบคุมความเสี่ยงไว้ดังนี้
    – วัตถุประสงค์ เป็นสิ่งที่องค์กรต้องการทำให้สำเร็จ (เป็นผลสำเร็จที่องค์กรต้องการ)
    – ความเสี่ยง เป็นอุปสรรค/สิ่งกีดขวางทำให้องค์กรไม่สามารถบรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนดไว้ได้
    – การควบคุมความเสี่ยง เป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ได้โดยการบริหารจัดการกับความเสี่ยงเหล่านั้น

    แม้ว่าความหมายข้างต้นจะนิยมใช้กันอย่างกว้างขวาง แต่ความหมายเหล่านี้ก็ยังขาดความเป็นทางการในกรอบการควบคุมความเสี่ยงอยู่ การเข้าใจความหมายของแนวคิดเรื่องการควบคุม อาจศึกษาได้จากกระบวนการประเมินการควบคุมอันประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
    1. กำหนดวัตถุประสงค์ ควรกำหนดให้มีความชัดเจน สามารถทำความเข้าใจความหมาย ที่มาและคุณค่าได้ไม่ยากนัก เมื่อสามารถกำหนดวัตถุประสงค์ได้แล้วจึงนำไปสื่อสารให้แก่หน่วยงานต่างๆ ที่เกี่ยวข้องในองค์กรทราบ เพื่อให้มีความเข้าใจตรงกัน
    2. การบ่งชี้ความเสี่ยง การระบุปัจจัยเสี่ยงที่อาจเป็นตัวขัดขวาง/อุปสรรคต่อการบรรลุวัตถุประสงค์
    3. ระบุวิธีการควบคุมความเสี่ยงที่จะสามารถบรรเทาความเสี่ยงลงได้
    จากขั้นตอนต่าง ๆ ข้างต้น เราอาจอธิบายง่าย ๆ ได้ว่า การควบคุมเริ่มจากการกำหนดวัตถุประสงค์ โดยระดมผู้มีส่วนร่วมมาช่วยกันวิเคราะห์และหาข้อสรุปออกมา เมื่อกำหนดวัตถุประสงค์ออกมาได้แล้ว ขั้นตอนต่อไปก็นำมาบ่งชี้ความเสี่ยงและระบุวิธีการควบคุมความเสี่ยงเหล่านั้นต่อไป

    วัตถุประสงค์
    ความหมายของคำว่า “วัตถุประสงค์” สามารถมองได้เป็นหลายมุมมอง เช่น
    – เป็นผลลัพธ์ (Outcome) ที่องค์กรต้องการบรรลุผลสำเร็จในการดำเนินงาน
    – เป็นก้าวแรกของการบริหารความเสี่ยง
    – มิได้เป็นวิธีการ กระบวนการ หรือการดำเนินงานในเรื่องใดเรื่องหนึ่ง

    วัตถุประสงค์เป็นหลักยึดสำหรับการวางแผน การจัดองค์กร การกำหนดวิธีการปฏิบัติงานและการควบคุมการดำเนินงาน ถ้าขาดวัตถุประสงค์ที่ชัดเจนและขาดการสื่อสารอย่างทั่วถึงย่อมจะสร้างความสับสนในการทำงานของบุคลากรทุกระดับ ดังนั้นผู้บริหารจึงควรใช้วัตถุประสงค์ให้เป็นประโยชน์ดังนี้
    1. เป็นแนวทางการตัดสินใจ
    2. เป็นแนวทางในการเพิ่มพูนประสิทธิภาพขององค์กร
    3. เป็นแนวทางในการประเมินผลการปฏิบัติงาน

    การเข้าใจความหมายของวัตถุประสงค์ย่อมช่วยให้สามารถบรรลุผลสำเร็จตามที่กำหนดไว้ได้ง่ายกว่าการเน้นที่วิธีการในการบรรลุวัตถุประสงค์ การกำหนดวัตถุประสงค์ไว้สูงเกินไปจะทำให้บรรลุวัตถุประสงค์ได้ยาก และยังเกิดความเสียเวลาในการทำความเข้าใจความหมาย ที่มา และคุณค่าของวัตถุประสงค์ ซึ่งอาจทำให้เราไม่สามารถบรรลุวัตถุประสงค์ที่ต้องการได้เลย เมื่อวัตถุประสงค์เป็นผลลัพธ์ที่องค์กรต้องการบรรลุผลสำเร็จ เปรียบเสมือนเส้นชัยขององค์กรที่ทุกฝ่ายต้องร่วมมือกันฟันฝ่าไปให้ถึง ดังนั้นทุกฝ่ายในองค์กรจึงต้องทำความเข้าใจถึงความหมาย ที่มา ของวัตถุประสงค์ให้ชัดเจนว่าวัตถุประสงค์เหล่านี้ถูกกำหนดมาขึ้นมาอย่างไร

    ในองค์กรธุรกิจที่มีทีมงานที่มีกระบวนการกำหนดวัตประสงค์ที่ดี และเห็นว่าวัตถุประสงค์มีส่วนสำคัญที่จะช่วยในการดำเนินธุรกิจ ย่อมเป็นองค์กรที่มีความเหมาะสมในการนำการประเมินตนเองเพื่อการควบคุมความเสี่ยงไปใช้ปฏิบัติ ในการกำหนดวัตถุประสงค์ที่ดีควรต้องมีการพิจารณาให้รอบคอบและมีความเหมาะสมกับองค์กรในขณะนั้น โดยต้องระดมความคิดเห็นของบุคลากรหลาย ๆ ฝ่ายเพื่อช่วยในการกำหนดวัตถุประสงค์ วัตถุประสงค์จึงเป็นผลลัพธ์ที่องค์กรต้องการไม่ใช่วิธีการในการทำให้ผลลัพธ์นั้นบรรลุผลสำเร็จ ซึ่งได้มีการแยกความแตกต่างระหว่างวัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์ออกมาให้เห็นภาพชัดเจนขึ้น ดังนี้

    วัตถุประสงค์และวิธีการบรรลุวัตถุประสงค์

    คำถามที่ใช้ในการแยกวัตถุประสงค์ออกจากวิธีการบรรลุวัตถุประสงค์ ได้แก่
    1. เป็นผลลัพธ์สุดท้ายที่ต้องการหรือไม่
    2. เป็นหนทางในการบรรลุวัตถุประสงค์หรือเป็นวัตถุประสงค์จริง
    3. เป็นวิธีการหรือผลลัพธ์
    4. ทำไมต้องทำสิ่งนั้น

    ข้อผิดพลาดทั่วไปในการระบุวัตถุประสงค์
    1. ระบุวิธีการ (งบประมาณหรือการอนุมัติ) เป็นผลลัพธ์
    2. ผิดพลาดในการพิจารณารูปแบบของวัตถุประสงค์ทั้งหมด
    3. ผิดพลาดในการพิจารณาความสัมพันธ์ระหว่างวัตถุประสงค์ซึ่งอาจไม่เกี่ยวข้องสัมพันธ์กัน หรือมีความขัดแย้งกัน

    วัตถุประสงค์ระดับสูงขององค์กรโดยรวมบางข้ออาจไม่สามารถประยุกต์ใช้ได้เท่าเทียมกันในทุกแผนก ตัวอย่างเช่น
    – วัตถุประสงค์ด้านการเพิ่มรายได้ต้องประยุกต์ใช้กับหน่วยงานที่รับผิดชอบงานด้านการขาย
    – วัตถุประสงค์ด้านการลดค่าใช้จ่ายต้องประยุกต์ใช้กับหน่วยงานที่ต้องดูแลด้านค่าใช้จ่ายจำนวนมาก

    ลำดับขั้นของวัตถุประสงค์
    การกำหนดวัตถุประสงค์อาจไม่จำเป็นต้องกำหนดไว้เพียงขั้นเดียว อาจสามารถกำหนดไว้เป็นลำดับขั้นเพื่อให้เหมาะสมกับผู้ที่เกี่ยวข้องหรือผู้ที่รับผิดชอบดังนี้
    1. วัตถุประสงค์ขององค์กรโดยรวม ถือเป็นวัตถุประสงค์หลักที่ผู้บริหารระดับสูงได้ตัดสินใจกำหนดขึ้น อันจะมีผลบังคับใช้ทั่วทั้งองค์กร เป็นวัตถุประสงค์สูงสุดที่แสดงจุดมุ่งหมายอันเป็นผลลัพธ์ขั้นสุดท้าย ที่ถือเป็นวัตถุประสงค์ร่วมของทุกหน่วยงาน
    2. วัตถุประสงค์ของหน่วยงานระดับฝ่าย ถือเป็นวัตถุประสงค์เฉพาะด้านที่ผู้บริหารระดับกลางโดยคำปรึกษา (แนะนำ หรือชี้นำ สุดแล้วแต่กรณี) ของผู้บริหารระดับสูงจะตัดสินใจกำหนดขึ้น เพื่อใช้เป็นเป้าหมายในการดำเนินงานของแผนกต่าง ๆ ในหน่วยงาน หากทุกหน่วยงานสามารถทำงานให้บรรลุผลสำเร็จตามวัตถุประสงค์ที่กำหนด ก็จะทำให้กิจการโดยรวมบรรลุวัตถุประสงค์ไปด้วย
    3. วัตถุประสงค์ย่อย เป็นการกำหนดวัตถุประสงค์ของงานประจำหรืองานเฉพาะโครงการ ที่สอดรับกับวัตถุประสงค์หลักและวัตถุประสงค์เฉพาะระดับฝ่ายงานดังที่กล่าวแล้ว การตัดสินใจที่จะกำหนดวัตถุประสงค์ระดับนี้ เป็นความรับผิดชอบของนักบริหารระดับกลาง ร่วมกับนักบริหารระดับต้นโดยความเห็นชอบ หรือการรับรู้ของนักบริหารระดับสูง

    ลักษณะของวัตถุประสงค์ที่ดี (SMART principle)
    1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้นำไปปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน ต้องไม่ทำให้ผู้ปฏิบัติตีความหมายของวัตถุประสงค์ได้หลายทาง เพราะจะทำให้เกิดความสับสนเพราะถ้าแต่ละคนตีความหมายออกมาไม่เหมือนกัน การนำไปปฏิบัติอาจไม่สอดคล้องไปในแนวทางเดียวกัน จึงอาจเกิดความขัดแย้งกันจนทำให้ไม่สามารถบรรลุวัตถุประสงค์ได้
    2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือ ในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย เพราะถ้าเรากำหนดวัตถุประสงค์ไว้โดยไม่สามารถวัดผลได้ เราย่อมไม่สามารถรู้ได้แน่ชัดว่าเราได้ดำเนินการมาถึงขั้นใดแล้ว และเมื่อใดจึงจะเรียกว่าบรรลุผลสำเร็จ
    3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ นั่นคือ ในการกำหนดวัตถุประสงค์นั้น ไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ เพราะจะทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะไม่ว่าจะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรม เพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกัน คือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้
    4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความเป็นเหตุเป็นผล และมีความเป็นจริง
    5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

    กรอบของวัตถุประสงค์หลักขององค์กรโดยทั่วไป
    1. เพื่อให้เกิดประสิทธิผลและประสิทธิภาพในการทำงาน
    – สร้างผลิตภัณฑ์และให้บริการที่เป็นเลิศ
    – สร้างผลกำไรสูงสุด และมีต้นทุนต่ำที่สุด เพื่อเพิ่มคุณค่าทางเศรษฐศาสตร์ต่อผู้มีผลประโยชน์ร่วม
    – จัดให้มีกระบวนการทำงานแบบสอดประสานทั่วทั้งองค์กรภายใต้ระบบเทคโนโลยีที่ดี คุ้มค่าเงินตามโครงสร้างที่สัมพันธ์กับระบบงานอย่างแท้จริง
    – การรักษาและสร้างคุณภาพ คุณค่าเพิ่มจากสินทรัพย์ที่มีตัวตนและไม่มีตัวตนอย่างรู้คุณค่าของ Value และ Hidden Value (จากลักษณะธุรกิจ พนักงานและสารสนเทศ)
    – เสริมสร้างและมีส่วนช่วยให้องค์กรบรรลุภารกิจและวิสัยทัศน์ตามที่กำหนด
    – จัดให้มีสภาวะแวดล้อมที่เหมาะสมต่อพนักงานและผู้มีผลประโยชน์ร่วม
    2. ความน่าเชื่อถือของระบบรายงาน
    – รายงานที่ใช้ภายในองค์กรประเภทต่าง ๆ ที่ใช้ในการตัดสินใจ
    – รายงานที่ใช้ภายนอกองค์กรเพื่อผู้ถือหุ้น ผู้กำกับดูแล และผู้มีผลประโยชน์ร่วม
    – รายงานเกี่ยวกับการบริหารและการดำเนินงาน
    3. การปฏิบัติตามกฎต่าง ๆ
    – ตามกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบการปฏิบัติ ฯลฯ จากภายนอก
    – ตามนโยบาย ระเบียบ คำสั่ง ข้อบังคับ ขั้นตอนการปฏิบัติงานภายในองค์กร

    Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
    โพสต์โดย Metha Suvanasarn

    กลับไปหน้าที่แล้ว
    รายการถัดไป »