การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (3)

ตุลาคม 26, 2012

จากครั้งที่แล้ว ผมได้เล่าสู่กันฟังในเรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยใช้วิธีการประชุมเชิงปฏิบัติการ ซึ่งเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA และมีการประเมินในรูปแบบต่าง ๆ ดังที่ผมได้กล่าวถึงรูปแบบและวิธีการในภาพรวมไปแล้ว สำหรับวันนี้ผมจะขอเล่าต่อถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ เป็นหัวข้อ ๆ เพื่อความชัดเจนยิ่งขึ้น

<strong>ลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการแบบต่าง ๆ </strong>

<strong>แบบฐานจากวัตถุประสงค์</strong>
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• องค์กรจะทำการทบทวนการลงทุน (หากองค์กรปฏิบัติผ่านการจำแนกความเสี่ยงและออกแบบการควบคุมความเสี่ยงโดยการนำ COSOไปปฏิบัติ) โดยใช้เป็นจุดเริ่มต้น
• เริ่มต้นด้วยสมมติฐานที่ว่ามีการออกแบบการควบคุมความเสี่ยงที่ทันสมัยและดี

<strong>แบบฐานจากความเสี่ยง</strong>
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• ผู้บริหารมักจะให้ความสนใจในการจำแนกความเสี่ยง ดังนั้นพวกเขาจึงชอบวิธีการนี้
• เตรียมการจำแนกความเสี่ยงและการควบคุมโดยตลอด เนื่องจากต้องเริ่มต้นด้วยการจำแนกความเสี่ยงทั้งหมด
• สร้างความแข็งแรงและเสริมสร้างกระบวนการจำแนกความเสี่ยงเพื่อใช้ใน COSO และ กรอบการควบคุมอื่นๆ โดยเสริมสร้างทีมงานให้เข้ามาร่วมในการจำแนกความเสี่ยงมากขึ้น
• การละทิ้งบทบาทดั้งเดิมของผู้ตรวจสอบ (เพื่อประเมินการควบคุม) ในบางองค์กร เป็นเรื่องยากที่จะทำให้ผู้บริหารเชื่อ

<strong>แบบฐานจากการควบคุม</strong>
• ขั้นตอนของการประชุม คือ  ข้อตกลงเรื่องการประเมินความเสี่ยงและการควบคุมความเสี่ยง
• การประชุมกระชับขึ้นเนื่องจากได้มีการจำแนกการควบคุมก่อนเริ่มประชุม
• ผู้อำนวยความสะดวกที่ได้รับปฏิกิริยาโต้ตอบน้อยในระหว่างการประชุมจะทำให้การประชุมดำเนินไปโดยง่าย
• ควรมีการเตรียมการก่อนการประชุมให้มากขึ้นเพื่อจำแนกการควบคุมที่มีอยู่
• อย่าแน่ใจว่ามีการระบุการควบคุมครบถ้วนแล้วอันเนื่องจากการที่ผู้ตรวจสอบได้ทำงานเบื้องต้นทำเสร็จแล้ว
• อย่าให้ผู้เข้าร่วมนำการควบคุมไปใช้หากยังไม่ได้มีการจำแนกการควบคุมความเสี่ยงด้วยตนเอง

<strong>แบบฐานจากกระบวนการ</strong>
• ขั้นตอนของการประชุม คือ  การประเมินวัตถุประสงค์ของกระบวนการ – วัตถุประสงค์ระดับของกิจกรรม
• หัวข้อของการประชุม (กระบวนการทางธุรกิจ) คล้ายคลึงกับวิธีการตรวจสอบอื่นๆ เนื้อหาอาจคุ้นเคยและสะดวกสบายสำหรับผู้ตรวจสอบและผู้บริหารบางคนมากกว่า
• การจัดทำแผนกระบวนการในระดับสูงจะเพิ่มความเข้าใจของผู้เข้าร่วมและกระจายไปสู่การประชุมเชิงปฏิบัติการ
• เช่นเดียวกับการตรวจสอบวิธีการแบบฐานจากกระบวนการ เจ้าของกระบวนการอาจจำแนกได้ยากมีข้อจำกัดในการกระทำใดๆก็ตามอันเนื่องจากความเป็นเจ้าของ
• อาจต้องมีการประชุมเพิ่มขึ้นเพื่อให้ครอบคลุมขอบเขตเดียวกันกับการตรวจสอบแบบฐานจากกระบวนการ ด้วยเหตุนี้จึงดูเหมือนว่าต้องการทรัพยากรมากขึ้น
• การประชุมจะเป็นการรวมผู้เข้าร่วมซึ่งปกติแล้วไม่ได้ทำงานด้วยกัน ซึ่งอาจต้องการทักษะในส่วนของผู้อำนวยความสะดวกเพื่อให้ผู้เข้าร่วมเปิดใจกัน
• ต้องมีการจำแนกวัตถุประสงค์ของแต่ละขั้นตอนหลักของกระบวนการซึ่งมักทำโดยฝ่ายตรวจสอบภายใน เนื่องจากผู้เข้าร่วมและผู้บริหารอาจจะทำได้ด้อยกว่า
• หากกระบวนการมีขอบเขตกว้าง (การขยายองค์กร) ผู้เข้าร่วมอาจจำเป็นต้องเดินทางไปประชุม ดังนั้นจึงมีค่าใช้จ่ายเพิ่มขึ้น

<strong>แบบตามสถานการณ์</strong>
• ขั้นตอนของการประชุม คือ  การทำให้ง่ายขึ้น – อุปสรรค – อภิปรายแก้ไขปัญหาที่เป็นอุปสรรค
• ง่ายต่อการอำนวยความสะดวกและการบันทึกข้อมูล
• อาจไม่ได้ใส่ในวัตถุประสงค์เฉพาะ (ไม่ได้อยู่ที่ระดับที่สูงกว่า โดยมองไปทั่วทั้งส่วนงาน)
• ไม่ได้รวมการประเมินค่าของการควบคุมซึ่งเกี่ยวข้องกับแต่ละวัตถุประสงค์
• ผู้อำนวยความสะดวกใช้เวลาในการเตรียมตัวน้อยเนื่องจากไม่ต้องจำแนกวัตถุประสงค์เฉพาะออกมา

<strong>คุณลักษณะอื่น ๆ ของวิธีการประชุมเชิงปฏิบัติการในรูปแบบต่าง ๆ เหล่านี้</strong>
• ผู้บริหารโดยทั่วไปชอบวิธีการที่มุ่งเน้นวัตถุประสงค์เฉพาะอย่าง เช่น วัตถุประสงค์, ความเสี่ยง และพื้นฐานการควบคุม วิธีการเหล่านี้ช่วยให้ความกระจ่างกับองค์กรในเรื่องวัตถุประสงค์
• แผนกตรวจสอบอาจเชื่อมโยงวัตถุประสงค์เพื่อใช้ในการตรวจสอบแบบดั้งเดิมเข้ากับวัตถุประสงค์ของผู้บริหารซึ่งมีไว้สำหรับองค์กรได้ยาก ดังนั้น CSA ที่มีพื้นฐานจากวัตถุประสงค์ทางธุรกิจที่สามารถเปลี่ยนแปลงได้เพื่อผู้ตรวจสอบ
• ผู้บริหารการตรวจสอบภายนอกบางคนจะมองเห็นการเชื่อมโยงระหว่างวัตถุประสงค์เพื่อองค์กรและวัตถุประสงค์ของการตรวจสอบภายในได้ยาก ดังนั้นผู้บริหารอาจคัดค้านผู้ตรวจสอบในการมองส่วนที่ไม่เกี่ยวกับการเงิน, วัตถุประสงค์ที่ไม่เข้ากัน

จากพื้นฐานของรูปแบบวิธีการที่ใช้ใน CSA ที่กล่าวถึงก่อนหน้านี้ยังมีวิธีการอื่น ๆในการทำ CSA อีกซึ่งไม่ได้อธิบายไว้ในที่นี้ วิธีการทั้ง 5 แบบเกี่ยวข้องกับการอำนวยความสะดวกในการประชุมเชิงปฏิบัติการ แต่ในหลายองค์กรประสบความสำเร็จใช้การประเมินตนเองด้วยวิธีการที่หลากหลาย หรือใช้หลายวิธีร่วมกัน บางวิธีการซึ่งไม่ได้ถูกกล่าวถึงนั้น ไม่ได้หมายความว่าจะเป็นวิธีการที่ไม่ดี หากวิธีการใดประสบความสำเร็จในการปรับปรุงความสามารถขององค์กรให้สามารถบรรลุวัตถุประสงค์ วิธีการนั้นเป็นสิ่งที่ดีสำหรับองค์กรนั้น ๆ วิธีการประชุมเชิงปฏิบัติการที่ได้อธิบายข้างต้นตามแนวคิดเรื่องการประเมินตนเองเพื่อการควบคุมความเสี่ยง และแนวทางเฉพาะส่วนงานที่ได้กล่าวถึงก่อนหน้านี้เป็นวิธีที่ได้รับความนิยมมากที่สุดในการทำ CSA  รูปแบบการประเมินตนเองที่ได้รับความนิยมในการทำ CSA ส่วนใหญ่ 70 เปอร์เซ็นต์เลือกใช้การประชุมเชิงปฏิบัติการในการทำ CSA ส่วนอีก 2 วิธี ได้แก่ การสำรวจและการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมถัดมา

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (2)

กันยายน 25, 2012

วันนี้ผมจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยวิธีการประชุมเชิงปฏิบัติการ ซึ่งจะกล่าวโดยละเอียด จากที่ได้เล่าสู่กันฟังในครั้งก่อน ๆ มาบ้างแล้ว ทำไมถึงต้องใช้วิธีการประชุมเชิงปฏิบัติการ เพราะวิธีการประชุมเชิงปฏิบัติการเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA การประชุมเชิงปฏิบัติการนี้คือ การประชุมที่ช่วยอำนวยความสะดวกโดยผู้ตรวจสอบภายใน และถูกออกแบบให้ประเมินและการควบคุมความเสี่ยง เพื่อให้ได้วัตถุประสงค์หรือกระบวนการออกมา

ตามกฎหัวแม่มือ การประชุมเชิงปฏิบัติการจะมีรวมผู้เข้าร่วม 6-15 คน และ ผู้ตรวจสอบ 2 คน (คนหนึ่งทำหน้าที่อำนวยความสะดวกและอีกคนเป็นผู้บันทึก) และใช้เวลา 2-4 ชม. การประชุมเชิงปฏิบัติการมีการอำนวยความสะดวกและจดบันทึกหลายขนาด หลายรูปแบบ และมีความยาวที่แตกต่างกัน แต่จำนวนเหล่านี้ก็เป็นแบบฉบับแบบหนึ่งที่แสดงให้เห็นได้

แนวการทำ CSA ครอบคลุมรูปแบบหลักของการประชุมเชิงปฏิบัติการของ CSA 4 รูปแบบ คือ
• แบบฐานจากวัตถุประสงค์
• แบบฐานจากความเสี่ยง
• แบบฐานจากการควบคุม
• แบบฐานจากกระบวนการ

ผมขออธิบายรายละเอียดในแต่ละรูปแบบดังนี้นะครับ

การประชุมเชิงปฏิบัติการที่มีรูปแบบฐานจากวัตถุประสงค์

มุ่งเน้นการบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่ม โดยการระบุการควบคุมที่เหมาะสมกับวัตถุประสงค์ ดังนั้นความเสี่ยงที่ยังมีอยู่จะถูกจำแนกออกมา วัตถุประสงค์ของการประชุมคือการระบุว่า เทคนิคการควบคุมมีประสิทธิผลหรือไม่ และผลลัพธ์ที่ได้มีความเสี่ยงที่เหลืออยู่ในระดับที่ยอมรับได้หรือไม่ (ความเสี่ยงส่วนที่เหลือไม่ทำให้การควบคุมลดน้อยลง)

วิธีการนี้กล่าวได้ว่าเป็นการระบุความเสี่ยงในเบื้องต้น และมีการออกแบบการควบคุมเพื่อวัตถุประสงค์ได้ดำเนินการแล้ว และหลังจากการทบทวนการควบคุมที่คงอยู่ในการประชุมเชิงปฏิบัติการ ก็จะมีการสื่อสารความเสี่ยงที่คงอยู่หรือเหลืออยู่ออกไป สิ่งนี้คือกรณีที่องค์กรได้นำกรอบการควบคุมความเสี่ยงเช่น COSO ไปปฏิบัติจนสำเร็จลุล่วงแล้ว และการควบคุมถูกมองว่ารวมอยู่ในงานประจำวันของพนักงานแล้ว ในระหว่างการทำ COSO แต่ละส่วนควรจะประเมินความเสี่ยง และออกแบบการควบคุมความเสี่ยงด้วยตนเอง เพื่อลดความเสี่ยงได้ระบุได้ เนื่องจากผู้บริหารซึ่งเป็นเจ้าของกระบวนการประเมินความเสี่ยงและมีการนำ COSO มาใช้เพื่อช่วยเหลือผู้บริหาร โดยมีสมมติฐานคือผู้บริหารได้ระบุการควบคุมความเสี่ยงที่สมเหตุสมผล ในรูปแบบฐานจากวัตถุประสงค์นี้ CSA เริ่มด้วยการระบุและประเมินการออกแบบการควบคุมความเสี่ยงที่มีอยู่ก่อน

ในบางองค์กรสมมติฐานของการประเมินความเสี่ยงไม่สามารถเป็นจริงได้ ในความเป็นจริงแล้วการประเมินความเสี่ยงอาจเป็นสิ่งที่ CSA ตั้งใจวางไว้อยู่แล้ว การใช้วิธีการแบบฐานจากวัตถุประสงค์ไม่ใช่วิธีที่ดีที่สุดสำหรับองค์กรเหล่า นั้น ควรเลือกวิธีการแบบฐานจากความเสี่ยงแทน

การประชุมเชิงปฏิบัติการแบบฐานจากความเสี่ยง

มุ่งเน้นการจำแนกความเสี่ยงเพื่อนำไปสู่การบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่มด้วยการจำแนกแยกแยะอุปสรรค สิ่งขัดขวาง (เรียกว่าความเสี่ยงที่มีมาแต่ต้น) ซึ่งเป็นสิ่งขัดขวางการบรรลุวัตถุประสงค์ และจากนั้นจึงจำแนกกิจกรรมการควบคุม เพื่อให้แน่ใจว่าเพียงพอที่จะจัดการกับความเสี่ยงที่เป็นสำคัญ ในท้ายที่สุดความเสี่ยงสำคัญที่ยังเหลืออยู่จะถูกจำแนกออกมา การประชุมเชิงปฏิบัติการที่มีฐานจากความเสี่ยงนี้นำทีมงานเข้ามามีส่วนร่วม โดยใช้กฎเกณฑ์เรื่องวัตถุประสงค์ ความเสี่ยง การควบคุมความเสี่ยงในระหว่างการประชุมเชิงปฏิบัติการ

เช่นเดียวกับวิธีการแบบฐานจากวัตถุประสงค์ คือเกิดขึ้นโดยมีวัตถุประสงค์เป็นพื้นฐาน วิธีการแบบฐานจากความเสี่ยง ตรวจสอบความเสี่ยงเป็นอันดับแรก หลังจากนั้นจึงมองที่การควบคุมก่อนในการประชุม ในขณะที่วิธีการเน้นวัตถุประสงค์มองที่การควบคุมแล้วจึงมองที่ความเสี่ยงที่ ยังเหลืออยู่ วิธีการแบบฐานจากความเสี่ยงอาจส่งผลในการประชุมเชิงปฏิบัติการเรื่องการ ประเมินตนเองมากกว่าวิธีการอื่น ๆ เนื่องจากมีการระบุความเสี่ยงที่เป็นไปได้จากการประชุมเชิงปฏิบัติการ การระบุและอภิปรายรายละเอียดความเสี่ยง ซึ่งมีพื้นฐานบนกรอบแนวคิดเรื่องความเสี่ยงอาจเกิดขึ้นในรูปแบบเช่นนี้

องค์กรที่ได้นำ COSO มาปฏิบัติจะใช้การจำแนกความเสี่ยง และการออกแบบควบคุมเป็นวัตถุประสงค์หลัก ซึ่งถ้าเป็นเช่นนั้น การกลับไปสู่การระบุความเสี่ยงในการประชุมเชิงปฏิบัติการ CSA อาจถูกมองเป็นการคัดลอกงานโดยทีมงาน เมื่อเกิดกรณีนี้ขึ้นรูปแบบฐานจากการควบคุม หรือฐานจากวัตถุประสงค์อาจเป็นประโยชน์มากกว่า

การประชุมเชิงปฏิบัติการแบบฐานจากการควบคุม

มุ่งเน้นว่าทำอย่างไรให้การควบคุมเป็นไปด้วยดี แต่มีความแตกต่างจากสองวิธีการแรก เนื่องจากผู้ตรวจสอบหรืออำนวยความสะดวก ระบุความเสี่ยงที่เป็นปัจจัยและการควบคุมก่อนการประชุมในระหว่างกระบวนการ วางแผนทำ CSA เป็นเสมือนการตรวจสอบแบบดั้งเดิมมากกว่า การจำแนกอาจทำโดยการสัมภาษณ์พร้อมกับผู้บริหารและพนักงาน การแสดงแผนภูมิ เป็นต้น ทางที่ดีข้อมูลควรได้รับโดยตรงจากเอกสารซึ่งดูแลรักษาโดยสมาชิกของทีมงานเอง เนื่องจากเป็นส่วนหนึ่งของความรับผิดชอบของทีมงาน

ในระหว่างการประชุมเชิงปฏิบัติการ ทีมงานจะประเมินว่าทำอย่างไรให้การควบคุมได้ผลในการลดความเสี่ยงและบรรลุ วัตถุประสงค์ วิธีการนี้จะทำให้เกิดการวิเคราะห์ความแตกต่างระหว่างวิธีการที่การควบคุมทำ งาน และวิธีการที่ผู้บริหารตั้งใจทำ เพื่อการควบคุมอันจะทำให้การประชุมเชิงปฏิบัติการใช้เวลาสั้นลง เนื่องจากความเสี่ยงและการควบคุมถูกจำแนกแยกแยะก่อนการประชุมจะเริ่มขึ้น วิธีการนี้จะได้รับความเห็นชอบหากผู้บริหารต้องการการประชุมที่กระชับและ เชื่อว่ามีการควบคุมเพียงพอ

การประชุมเชิงปฏิบัติการแบบฐานจากกระบวนการ

เป็นการตรวจสอบกระบวนการโดยรวบรวมทั้งกิจกรรมที่ปฏิบัติภายในนั้น เป้าหมายของการประชุมคือการประเมิน การทำข้อมูลให้ทันสมัย การตรวจสอบและการปรับปรุงกระบวนการที่เลือกแล้ว คำว่า “กระบวนการ” ในบริบทนี้หมายถึงการมองไปที่ชุดของกิจกรรมที่ต่อเนื่องจากเป้าหมายไปสู่ เป้าหมาย ดังเช่นกระบวนการจัดซื้อ การพัฒนาผลิตภัณฑ์ การเตรียมสัญญา กระบวนการด้านภาษี เป็นต้น

วิธีการนี้มักรวมถึงการจำแนกแยกแยะวัตถุประสงค์ของทั้งกระบวนการทั้งหมด (เช่น ระดับการบริการหรือผลผลิตที่เกิดขึ้น) และขั้นตอนที่หลากหลายของกระบวนการ บางกลุ่มเรียกวัตถุประสงค์ของขั้นตอนที่หลากหลายของกระบวนการว่า “วัตถุประสงค์การควบคุม” หรือ “วัตถุประสงค์ระดับกิจกรรม” ผู้บริหารเห็นด้วยก่อนการอำนวยความสะดวกในการประชุม ในระหว่างการประชุมเชิงปฏิบัติการผู้เข้าร่วมจำแนกความเสี่ยงและการควบคุมจะ ช่วยให้บรรลุแต่ละวัตถุประสงค์ได้ง่ายขึ้น

วิธีการแบบฐานจากกระบวนการ อาจมีการวิเคราะห์อย่างกว้างมากกว่ารูปแบบฐานจากการควบคุม ซึ่งครอบคลุมวัตถุประสงค์อันหลากหลายในกิจกรรมของกระบวนการ วิธีการนี้อาจถูกใช้เชื่อมโยงความพยายามในการปฏิรูปองค์กร หรือความคิดริเริ่มเกี่ยวกับคุณภาพในการปฏิบัติเป็นทีม หรือโดยฝ่ายตรวจสอบนิยมใช้วิธีการแบบฐานจากระบวนการเพื่อการตรวจสอบแบบดั้ง เดิม

การประชุมเชิงปฏิบัติการเรื่องกระบวนการอาจรวมถึงการปฏิรูปองค์กร (ตัวอย่างเช่น การลดค่าใช้จ่ายในการผลิตโดยรวม 10%) หรือกรอบการทำงานภายในซึ่งมีความเสี่ยงเฉพาะและการควบคุมอยู่ด้วย (ตัวอย่างเช่น การผลิตชิ้นส่วนเครื่องจักรก็มีความเสี่ยงเพราะอัตราการปฏิเสธมีเกินกว่า 2%) ข้อเสนอในการเปลี่ยนแปลงแสดงเนิ้อหาด้านความเสี่ยงและการควบคุมความเสี่ยง ที่มีความเฉพาะเจาะจง

แต่ผลลัพธ์ยังคงเน้นที่กระบวนการทางธุรกิจโดยรวม สิ่งนี้ทำให้แน่ใจได้ว่าการรับรองเกี่ยวเนื่องและมุ่งเน้นธุรกิจภายใต้การ ตรวจสอบ บางกลุ่มเริ่มจากการมองภาพรวม วัตถุประสงค์กระบวนการแม้ว่าจุดเน้นจะอยู่บนความเสี่ยงและหรือการควบคุมภาย ในกระบวนการเพื่อการเตรียม วิธีการที่เน้นธุรกิจ

อีกรูปแบบหนึ่งของการประชุมเชิงปฏิบัติการ CSA ที่เรียกว่าวิธีการเชิงส่วนงานหรือสถานการณ์ ก็เป็นที่นิยมด้วยเช่นกัน วิธีการนี้มุ่งเน้นส่วนงานทั้งหมดไม่เพียงแต่มุ่งเน้นวัตถุประสงค์หรือ กระบวนการเพียงอย่างเดียว การประชุมเชิงปฏิบัติการในขั้นพื้นฐานประกอบด้วยการสอบถามทีมงานหรือส่วนงาน 2 คำถาม คือ 1) สิ่งใดจะช่วยทำให้ส่วนงานบรรลุวัตถุประสงค์ และ 2) สิ่งใดขัดขวางการบรรลุวัตถุประสงค์ มีการนำวิธีการที่หลากหลายมาใช้ในการรวบรวมข้อมูล แต่การใช้กระดาษโน้ตกาวติดบนกำแพง เพื่อให้ทุกคนสามารถเห็นคำตอบได้ง่าย เป็นวิธีการรวบรวมข้อมูลโดยเทคโนโลยีระดับล่าง ผู้เข้าร่วมการประชุมตอบคำถาม 1 คำถาม ต่อกระดาษโน้ต 1 แผ่น การสรุปปัจจัยจะเป็นการช่วยหรือขัดขวางแนวคิดของพวกเขา ผลลัพธ์จะถูกจัดกลุ่มและบ่อยครั้งที่กลุ่มจะร่วมกันอภิปรายแก้ปัญหาที่ อุปสรรคอันดับต้นๆอย่างมีศักยภาพ

วิธีการทำ CSA แบบนี้สามารถทำให้ง่ายขึ้น โดยมีผู้อำนวยความสะดวกหรือผู้บันทึกข้อมูล เพราะทีมงานจะเข้ามามีส่วนร่วมในการสร้างและการจัดเรียงข้อมูลดิบมากขึ้น การประชุมไม่มีการติดขัดเป็นคอขวดในกระบวนการบันทึกข้อมูล ผลลัพธ์เป็นภาพรวมอย่างกว้างพร้อมทั้งเนื้อหาเฉพาะของสถานการณ์ปัจจุบันใน ส่วนงาน

สำหรับครั้งหน้าผมจะยังคงเล่าสู่กันฟังต่อในรูปแบบของการประเมินตนเอง เพื่อควบคุมความเสี่ยงด้วยวิธีการประชุมเชิงปฏิบัติการ แต่จะเน้นให้เห็นถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบ ต่าง ๆ ที่ได้กล่าวมาข้างต้น อย่าลืมติดตามนะครับ

1 ความเห็น | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (1)

สิงหาคม 17, 2012

ผมได้กล่าวถึงมุมมองของการทำ CSA ในเบื้องต้นมาพอสมควร วันนี้ผมจะมาเล่าในรายละเอียดที่ลึกลงไป โดยจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง สำหรับการทำ CSA จำแนกได้ 3 วิธีการ ได้แก่ การประชุมเพื่ออำนวยความสะดวก(หรือที่รู้จักกันดีว่าการประชุมเชิงปฏิบัติการ), การทำแบบสอบถามหรือแบบสำรวจ และการวิเคราะห์โดยผู้บริหาร ถึงแม้ว่าจะมีการอธิบายแนวทางพื้นฐานทั้ง 3 วิธีอย่างชัดเจนก็ตาม แต่ในองค์กรต่างๆ ก็นิยมใช้การประเมินมากกว่า 1 วิธีในกระบวนการประเมินตนเอง แนวทางต่าง ๆ ที่ใช้ในการประเมิน CSA มีดังต่อไปนี้

ตัวอย่างของการใช้การประเมินตนเองเพื่อควบคุมความเสี่ยง

• ใช้การประชุมเชิงปฏิบัติการกับการออกเสียงแบบไม่ออกนามเพื่อประเมินความเสี่ยง เป็นเสมือนปัจจัยในการพัฒนาแผนการตรวจสอบประจำปี วิธีการนี้จะช่วยจัดการความเสี่ยงรวมถึงการเตรียมการวางแผนได้
• ใช้การประชุมเชิงปฏิบัติการเพื่อการดำเนินธุรกิจหลักระหว่างแผนกต่าง ๆ
• ส่งแบบสอบถามให้กับระดับบริหาร เพื่อให้ประเมินรายการมาตรฐานของการควบคุมวัตถุประสงค์ภายในแผนกของตนเอง รวมทั้งเลือกการตรวจสอบไปปฏิบัติโดยอยู่บนพื้นฐานของการตอบสนอง
• ใช้ขั้นตอนการสัมภาษณ์ในการเริ่มต้นการตรวจสอบ เพื่อเก็บข้อมูลและจัดขอบเขตของการตรวจสอบ
• สลับสับเปลี่ยน CSA และ การตรวจสอบแบบเดิม ดำเนินการตรวจสอบแบบเดิมหนึ่งปี และใช้การประชุมเชิงปฏิบัติการในปีถัดไป
• ใช้ CSA เป็นเสมือนเครื่องมือตรวจสอบเชิงป้องกัน ซึ่งเป็นการปรึกษานอกเหนือความเห็นประจำปีในเรื่องของการควบคุม
• ส่วนงานอื่นนอกเหนือจากหน่วยตรวจสอบภายในใช้ การประชุมเชิงปฏิบัติการ CSA ในการช่วยให้พนักงานเข้าใจวัตถุประสงค์, ความเสี่ยง และการควบคุม
• ส่งแบบสอบถามประจำปีให้กับผู้บริหาร ซึ่งจะช่วยสนับสนุนความคิดเห็นประจำปี ในเรื่องการควบคุมที่ของผู้ตรวจสอบภายนอกต้องการ
• ใช้วิธีการ “เขียนบนกำแพง” เพื่อให้ผู้เข้าร่วมตอบคำถาม 2 คำถาม คือ “ปัจจัยใดบ้างที่ช่วยให้บรรลุวัตถุประสงค์ขององค์กร” และ “ปัจจัยใดบ้างที่เป็นอุปสรรคต่อบรรลุวัตถุประสงค์ขององค์กร”
• ใช้การประชุมเชิงปฏิบัติการในการประเมินการควบคุมสภาพแวดล้อมโดยรวมขององค์กร
• ใช้แบบสอบถามแบบตัวต่อตัวกับผู้บริหารเพื่อแยกแยะความเสี่ยงขององค์กร


การเลือกวิธีการที่ถูกต้องในการทำ CSA
วิธีการของ CSA มีความแตกต่างกัน องค์กรและส่วนงานตรวจสอบจะเลือกวิธีการที่ถูกต้องได้อย่างไร หรือใช้เพียงวิธีเดียวได้ วิธีการทำ CSA ซึ่งใช้การประชุมเชิงปฏิบัติการกับผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกนั้น เป็นวิธีที่องค์กรชื่นชอบ IIA เสนอให้ใช้วิธีการนี้เมื่อวัฒนธรรมสนับสนุนการแสดงออกของผู้เข้าร่วมในการประชุมเชิงปฏิบัติการ แต่ในกรณีที่วัฒนธรรมองค์กรไม่สนับสนุนวิธีการทำ CSA แบบมีส่วนร่วมเหมือนการประชุมเชิงปฏิบัติการ ก็อาจใช้แบบสอบถามและการวิเคราะห์การควบคุมโดยผู้บริหารแทนได้ ปัจจัยอื่น ๆ ในการเลือกวิธีการทำ CSA นอกเหนือจากวัฒนธรรมมีดังนี้

• ธรรมชาติของอุตสาหกรรม เช่น การมีกฎระเบียบที่เข็มงวด การเงิน การผลิต หรือการทำการกุศล
• เนื้อหาความชำนาญและประสบการณ์ของส่วนงานตรวจสอบภายใน เป็นสิ่งใดดีที่สุดสำหรับการริเริ่มการทำ CSA (และเติบโตไปสู่วิธีการอื่นต่อไป)
• ทัศนคติและการสนับสนุนของผู้บริหาร โดยเฉพาะฝ่ายปฏิบัติการ เนื่องจากพวกเขาจะถูกขอร้องให้ส่งพนักงานเข้าประชุมเชิงปฏิบัติการ
• ต้นทุน – การใช้การออกเสียงแบบไม่ระบุนามมีค่าใช้จ่ายสูงและต้องมีการฝึกอบรม
• ความสะดวกสบายของเจ้าหน้าที่ตรวจสอบ โดยเฉพาะการให้ความสะดวก เจ้าหน้าที่ตรวจสอบเชื่อหรือไม่ว่าการทำ CSA ได้ผล และรู้สึกได้รับความสะดวกสบายจากการเป็นผู้นำการประชุมเชิงปฏิบัติการหรือไม่ (การต่อต้านภายในอาจกลายเป็นกลุ่มใหญ่หรือรุนแรง)
• ทรัพยากรของสถานที่ตรวจสอบ สามารถทำ CSA และดูแลโดยใช้แผนตรวจสอบได้หรือไม่
• ทัศนคติของคณะกรรมการตรวจสอบ พวกเขาเชื่อหรือไม่ว่าวิธีการนี้จะได้ผล

ปัจจัยที่มีอิทธิพลเบื้องต้นในการเลือกคือความเป็นมาของการตรวจสอบภายในขององค์กร  หากการตรวจสอบในปัจจุบันแสดงออกเพียงความร่วมมือ หรือการตรวจสอบทางการเงิน และถูกมองเป็นการสืบทอดเป็นดั้งเดิม ดังนั้นวิธีการทำ CSA ในขั้นเริ่มต้นอยู่ซึ่งบนการสำรวจอย่างสั้น อาจเป็นหนทางที่ง่ายในการเริ่มทำ CSA  ในทางตรงข้าม หากการตรวจสอบตามที่เคยปฏิบัติ เป็นการทบทวนเนิ้อหาการปฏิบัติการนั้นมุ่งเน้นวัตถุประสงค์ของธุรกิจ และมีสมาชิกซึ่งมีทักษะในการให้ความช่วยเหลือ ก็อาจเริ่มต้นการปฏิบัติิงานด้วยวิธีการนำการประชุมเชิงปฏิบัติการมาใช้ในการทำ CSA ก็ได้

อีกปัจจัยหนึ่งคือความง่ายของการแนะนำ หรือการเสนอเครื่องมือให้กับผู้บริหาร หากส่วนงานตรวจสอบกำลังแนะนำ CSA และมีการตรวจสอบกระบวนการธุรกิจอยู่แล้ว  วิธีการทำ CSA ที่อยู่บนพื้นฐานของกระบวนการก็อาจให้ประโยชน์บางประการได้ ตัวอย่างเช่น  การตรวจสอบความคุ้นเคยกับกระบวนการ และอาจได้รับความสะดวกจากการใช้เครื่องมือใหม่ในสภาพแวดล้อมเช่นนั้นมากขึ้น ผู้บริหารอาจมองการใช้ CSA ว่าเป็นการขยายตัวตามธรรมชาติของการตรวจสอบแบบดั้งเดิม และเป็นการขัดขวางการแยกออกจากบรรทัดฐานที่มีอยู่ สิ่งนี้เป็นเพียงจุดเริ่มต้น ทีมงานตรวจสอบการทำ CSA จะเพิ่มวิธีการที่แตกต่างอย่างรวดเร็วให้กับรายการเครื่องมือและเทคนิคที่มีอยู่ และประยุกต์ใช้สิ่งที่เหมาะสมตามสถานการณ์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 5 – ข้อขัดแย้งของ CSA

กรกฎาคม 29, 2012

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้ในเป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่าอะไรคือวิธีที่ดีที่สุดในการดำเนินการ ประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลายๆองค์กรจะพบความแตกต่างดังรายการข้างล่างนี้ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ

ความแตกต่างบางประการในการนำไปปฏิบัติมีพอสรุปออกมาเป็นรายการได้ดังนี้

1. รูปแบบ CSA
หลายคนเชื่อว่ารูปแบบของการประชุมเชิงปฏิบัติการ หรืออาจเรียกว่าการประชุมที่อำนวยความสะดวกหรือรูปแบบทีมงานเป็นรูปแบบที่มี ประสิทธิผลสำหรับการทำ CSA ส่วนรูปแบบอื่นที่นิยมกันก็คือการใช้แบบสอบถาม ผู้นำ CSA มาใช้ส่วนใหญ่เลือกใช้รูปแบบการประชุมเชิงปฏิบัติการเพื่อขัดขวางวิธีการใช้ แบบสอบถามหรือการวิเคราะห์CSA ที่ผู้บริหารสร้างขึ้น ในหลายองค์กรอาจใช้การรวมหลาย ๆ วิธีในการทำการประเมินตนเอง ผู้ตรวจสอบกำลังเริ่มลงมือเขียนโปรแกรมการตรวจสอบการประเมินตนเองขึ้นมา โดยสร้างขึ้นจากฝ่ายปฏิบัติการ ในการทำ CSA จะยอมให้ผู้ตรวจสอบเข้ามาเชื่อมโยงฝ่ายต่าง ๆ เพื่อระบุความเสี่ยงและวัตถุประสงค์การควบคุมความเสี่ยง และพัฒนาแบบทดสอบที่จำเป็นต้องนำมาใช้ ผู้ตรวจสอบอาจใช้รูปแบบการประชุมเชิงปฏิบัติการ เพื่อช่วยให้กลุ่มได้ประเมินผลการประเมินด้วยตนเอง และพัฒนาแผนปฏิบัติงานที่ต้องการ หลังจากนั้น ฝ่ายตรวจสอบภายในอาจทำการทดสอบความถูกต้องของผลลัพธ์ด้วย

2. การใช้กรอบควบคุมความเสี่ยง
หลายคนเชื่อว่าการใช้กรอบควบคุมความเสี่ยง เช่น COSO, CoCo หรือ Malcolm Baldrige เป็นสิ่งที่มีความจำเป็นสำหรับการทำ CSA ผู้ใช้ CSA ส่วนใหญ่เลือกใช้กรอบการควบคุมความเสี่ยงเข้ามาช่วยในการระบุและแยกประเภท ความเสี่ยงและการควบคุมความเสี่ยง แต่การใช้กรอบการควบคุมความเสี่ยงนี้ ไม่ได้เป็นการทำให้การทำการประชุมเชิงปฏิบัติการง่ายขึ้น และยังต้องอาศัยทักษะและประสบการณ์ของผู้อำนวยความสะดวกและทีมงาน เพื่อจะได้ทราบว่าการควบคุมความเสี่ยงและความเสี่ยงทั้งหมดนั้นจะมีความคลอ บคลุมครบถ้วน

3. บทบาทการตรวจสอบภายใน
หลายคนเชื่อว่าการตรวจสอบภายในไม่ได้ทำให้เกิดความเป็นเจ้าของสูงสุด ของกระบวนการ CSA และหลายครั้งได้มีการมอบแผนงานในการอำนวยความสะดวกและบทบาทในการรายงานไปให้ ทีมงานทำ ส่วนคนอื่นที่เหลือเชื่อว่าการตรวจสอบภายใน จะช่วยให้เกิดความต่อเนื่องในการอำนวยความสะดวกให้กับการทำการประชุมเชิง ปฏิบัติการ และเป็นจุดรวมสำหรับการวางแผนและการรายงานในการทำ CSA ในทางปฏิบัติฝ่ายตรวจสอบได้มีการมีการโอนความเป็นเจ้าของการประชุมเชิง ปฏิบัติการ ไปให้กับทีมงานน้อยมาก

4. รายงาน CSA
บางคนเชื่อว่าการตรวจสอบภายในควรต้องรายงานผลของ CSA การประชุมเชิงปฏิบัติการให้ผู้บริหารทราบ เช่นเดียวกับการตรวจสอบแบบดั้งเดิม ในขณะที่อีกฝ่ายหนึ่งเชื่อว่าทีมงานในการประชุมเชิงปฏิบัติการควรเป็นผู้ รายงานผล ส่วนมากเมื่อทีมงานได้ทำการรายงานผลจากการทำ CSA การประชุมเชิงปฏิบัติการออกมา รูปแบบของรายงานการตรวจสอบจะเกี่ยวข้องกับเเรื่องการประเมินตนเอง หรือผลจากการทดสอบข้อเท็จจริงหรือการประกันคุณภาพการปฏิบัติงาน

5. การมีส่วนร่วมของฝ่ายบริหาร
หลายคนเชื่อว่าผู้บริหารทีมงานต้องมีส่วนร่วมพร้อมไปกับทีมงานโดยตลอด ขณะที่อีกฝ่ายเชื่อว่าผู้บริหารไม่ต้องเข้ามามีส่วนร่วม ประเด็นที่สำคัญเกี่ยวกับเรื่องนี้คือ เรื่องความสามารถในการได้รับข้อมูลที่เป็นจริงของการประชุมเชิงปฏิบัติการ จากการปฏิบัติงานจริง ซึ่งอาจต้องการการใช้การลงคะแนนแบบไม่ระบุชื่อถ้าผู้บริหารเข้ามามีส่วนร่วม ด้วย

6. การประกันคุณภาพ
หลายคนเชื่อว่าการตรวจสอบภายในต้องดำเนินการตรวจสอบการประกันคุณภาพเพื่อยืน ยันผลการประเมินตนเอง ส่วนอีกฝ่ายเชื่อว่าไม่จำเป็นต้องมีการตรวจสอบ การประกันคุณภาพเป็นเรื่องจำเป็นถ้ามีการนำการประเมินตนเองมาใช้แทนการตรวจ สอบภายใน เพื่อให้ได้มาซึ่งควมคิดเห็นในภาพรวมของการควบคุมภายใน การทดสอบการควบคุมที่ถูกต้องควรกระทำในส่วนใดส่วนหนึ่งของกระบวนการเมื่อนำ CSA มาใช้เป็นการตรวจสอบ

7. ความสัมพันธ์กับการตรวจสอบภายใน
บางคนได้โต้แย้งว่าทั้งผู้ตรวจสอบและผู้อำนวยความสะดวก CSA มีการขัดผลประโยชน์กัน ดังนั้นผู้อำนวยความสะดวก CSA สำหรับบางธุรกิจไม่ควรเป็นผู้ตรวจสอบในธุรกิจนั้น ความหมายใหม่ของการตรวจสอบภายในได้ออกมาในปลายปี 1999 โดยมีขอบเขตของการตรวจสอบภายในที่กว้างขวางชัดเจนขึ้นในการรวมกิจกรรมการให้ คำปรึกษา และพบว่าในทางปฏิบัติการดำเนินงาน CSA ขององค์กรไม่มีประเด็นที่เป็นอิสระไปจากการทำ CSA เลย

บางครั้งจากข้อขัดแย้งดังกล่าวข้างต้น แผนกตรวจสอบจะดำเนินการแตกต่างกันเพียงเล็กน้อยในการนำ CSA มาใช้ และบางครั้งก็อาจเรียกหรือให้ความหมายของ CSA ที่แตกต่างกัน ดังนี้

– การประเมินความเสี่ยงและการควบคุมความเสี่ยงด้วยตนเอง
– การประเมินการเปลี่ยนแปลงด้วยตนเอง
– การประเมินการอำนวยความสะดวกด้วยตัวเอง
– กระบวนการประเมินการบริหาร
– การประเมินการบริหารด้วยตัวเอง
– โปรแกรมการประเมินและตรวจสอบการควบคุม
– โปรแกรมการตรวจสอบการควบคุม
– การประเมินการมีส่วนร่วมของความเสี่ยงและการควบคุมความเสี่ยง
– การประเมินทางธุรกิจด้วยตัวเอง
– การประเมินความเสี่ยงทางธุรกิจ
– การประเมินการเปลี่ยนแปลงของความเสี่ยงและสมรรถภาพ

สถานการณ์ที่ CSA ไม่เหมาะสม
จากประโยชน์ที่ได้กล่าวถึงข้างต้น และการที่ผู้ตรวจสอบได้มีการนำ CSA ไปใช้มากขึ้น แต่กลับไม่ได้มีการนำ CSA ไปใช้ตลอดเวลา เนื่องจากแผนกที่นำ CSA ไปใช้ส่วนใหญ่ใช้พยายามในการทำการตรวจสอบเพียงร้อยละ 30-40 เท่านั้น ดังนั้นจึงเกิดคำถามที่ว่าเมื่อไรที่ CSA ไม่เหมาะสม เมื่อไรที่ CSA ไม่ใช่เครื่องมือตรวจสอบที่ถูกต้อง

กระบวนการ CSA ช่วยในการทำการประชุมเชิงปฏิบัติการ หรือสำรวจผู้มีส่วนร่วมในฐานะผู้เชี่ยวชาญในงานที่ได้ทำหรือการตรวจสอบ สถานการณ์ ถ้าสมมุติฐานไม่ถูกต้องนั่นอาจทำให้ CSA ไม่เหมาะสม ซึ่งจะเกิดขึ้นได้ถ้าทุกคนยังไม่มีประสบการณ์ในการจัดการกับปริมาณการเข้า ออกงานที่เพิ่มขึ้นสูง และการเจริญเติบโตอย่างรวดเร็ว โดยทุกคนจะไม่สามารถตอบได้ว่า จะใช้วิธีใดมาใช้แทนในการทำให้องค์กรบรรลุวัตถุประสงค์ กลุ่มเหล่านี้จะได้รับประโยชน์จากการอภิปรายอำนวยความสะดวกในเรื่องของวัตถุ ประสงค์ วิธีการ เป้าหมาย ฯลฯ แต่จะยังไม่สามารถทำการประเมินความเสี่ยง และการควบคุมความเสี่ยงได้อย่างเหมาะสม เนื่องจากยังไม่มีความรู้ในเรื่องนั้นเลย ถ้าผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้กับการประชุมเชิงปฏิบัติการ หรือการอภิปรายผู้บริหารเข้าเข้ามามีส่วนร่วมในการประชุมเชิงปฏิบัติการด้วย เพื่อช่วยให้วัตถุประสงค์ของทีมงานสอดคล้องกับวัตถุประสงค์โดยรวมขององค์กร

CSA อาจไม่เหมาะสมหรืออาจไม่จำเป็นต้องพิจารณาเป็นพิเศษในสถานการณ์ต่าง ๆ ดังนี้
1. พนักงานไม่ได้เป็นผู้เชี่ยวชาญในสาขาเฉพาะด้านตามที่ได้กล่าวถึงในข้างต้น
2. การคาดคะเนผิดพลาด ซึ่งอาจทำให้ยากตัดสินใจว่าใครควรเป็นผู้ดำเนินการใน การประชุมเชิงปฏิบัติการ
3. การเปลี่ยนแปลงขององค์กรอย่างรวดเร็ว เช่น การรวมกิจการและการเข้าครอบครองกิจการ การลดขนาดองค์กร การ takeovers ซึ่งอาจทำให้พนักงานไม่เข้าใจวัตถุประสงค์หรือการจ้างงานในระยะยาวของเขา อย่างชัดเจน
4. วัฒนธรรมไม่สนับสนุนหรือการสื่อสารอย่างมีประโยชน์ การเปิดเผยข้อมูล และความไว้ใจได้ ดังนั้นจึงทำให้ฝ่ายบริหารไม่สนใจผลที่เกิดขึ้นจาก CSA
5. ผู้บริหารไม่ได้ให้การสนับสนุนพนักงานในเรื่องที่เกี่ยวข้องกับการระบุความเสี่ยงและการควบคุมความเสี่ยงอย่างเพียงพอ
6. สิ่งที่คาดหวังของผู้บริหารคือ การทำให้เกิดการยอมรับคำสั่งของฝ่ายตรวจสอบและ/หรือการตรวจสอบกฎระเบียบ
7. ผู้อำนวยการการตรวจสอบไม่เชื่อว่าพนักงานมีทรัพยากรหรือทักษะที่เพียงพอใน การทำ CSA ซึ่งอาจทำให้ตัดสินใจรอจนกระทั่งมีการพัฒนาทักษะแล้วจึงนำไปปฏิบัติ

เรื่องของ CSA ยังมีรายละเอียดอีกมากมาย ครั้งหน้าผมจะมาเล่าถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (CSA) ต่อนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

COBIT 5 and Policies กับการสัมมนาของสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ

มิถุนายน 28, 2012

ผมไม่ได้มาเล่าเรื่องที่น่าสนใจต่าง ๆ ในคอลัมน์คุยกับผู้เขียนเป็นเวลานานพอสมควร ต้องขออภัยท่านผู้อ่านทุกท่านนะครับ แต่ผมก็มีเรื่องราวที่น่าสนใจนำมาลงในคอลัมน์อื่น ๆ เป็นประจำทุกเดือนตลอดมา ในวันนี้ผมจึงขอเล่าเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการองค์กรแบบบูรณาการ ที่เกี่ยวข้องกับการจัดการทางด้านเทคโนโลยีสารสนเทศ ที่นับวันจะมีบทบาทเพิ่มมากขึ้นในทุกองค์กร ในทุกระดับของการจัดการ และในทุกประเทศทั่วโลก เพราะความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ มีผลกระทบต่อการดำเนินงานทางธุรกิจมากมายมหาศาล โดยเฉพาะอย่างยิ่ง การที่ระบบขัดข้อง การเข้าถึงของบุคคลผู้ไม่มีสิทธิ ไม่มีอำนาจในการเข้าถึงระบบงานสำคัญ ๆ ภายในหน่วยงาน ที่ผู้บริหารและผู้ที่เกี่ยวข้องยังไม่สามารถที่จะจัดการเรื่องนี้ได้อย่างเป็นรูปธรรมนั้น มีปรากฎอยู่ในองค์กรหลายแห่งทั่วโลก รวมทั้งในประเทศไทย ซึ่งผลจากการสำรวจเรื่องนี้ได้ข้อมูลที่น่าสนใจว่า ความเสี่ยงจากระบบล่ม และไม่อาจจะกู้กลับคืนมาในระยะเวลาที่องค์กรยอมรับได้นั้น มีสูงยิ่งกว่าภัยจากปัญหาน้ำท่วมเป็นอันมาก นอกจากนี้ ระบบ Cloud Computing ซึ่งกำลังได้รับการแพร่หลายทั่วโลก ทั้ง ๆ ที่มีความเสี่ยงที่หลายองค์กรไม่น่าจะยอมรับได้นั้น ก็สร้างความเป็นห่วงเป็นใยให้กับผู้บริหารและผู้ที่เกี่ยวข้องในองค์กรต่าง ๆ จนถึงทุกวันนี้

แม้ระบบคลาวด์กำลังเป็นที่นิยมมากขึ้น แต่ผู้เชี่ยวชาญด้านคอมพิวเตอร์เตือนผ่านสำนักข่าวเอเอฟพีว่าให้ระวังคลาวด์ปลอมของอาชญากรไว้ด้วย โดยสำนักข่าวเอเอฟพีรายงานเมื่อ 24 มิ.ย. ว่า แม้ระบบการเชื่อมต่อฐานข้อมูลเฉพาะผ่านทางอินเทอร์เน็ต หรือ “คลาวด์” กำลังเป็นที่นิยมมากขึ้นเรื่อย ๆ แต่ปัญหาความปลอดภัยยังน่าวิตก ซึ่งระบบ “คลาวด์” เกี่ยวข้องกับฐานข้อมูล อาทิ อีเมล์หรือเพลงส่วนตัวซึ่งสามารถเข้าถึงได้โดยทางคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทรอนิกส์พกพาต่าง ๆ เช่น สมาร์ทโฟน และกองทัพกับรัฐบาลสหรัฐฯ รวมทั้ง “ซีไอเอ” ก็หันมาใช้ระบบคลาวด์ เพื่อให้เข้าถึงข้อมูลได้ทั่วโลก ลดค่าใช้จ่ายและปลอดภัยมากขึ้น

ขณะที่ นักวิเคราะห์คาดการณ์ว่าสหรัฐฯ จะทุ่มเงินกับระบบคลาวด์มากขึ้นจาก 31,000 ล้านดอลลาร์ในปี 2554 เป็น 82,000 ล้านดอลลาร์ในปี 2559 และบริษัทใหญ่ ๆ อย่างไมโครซอฟต์ กูเกิล อเมซอน ก็ใช้คลาวด์เช่นกัน แต่ให้ระวังอาชญากรไซเบอร์ ซึ่งจะขโมยข้อมูลไปได้ครั้งละมหาศาล ถึงแม้การจารกรรมข้อมูลโดยพวกแฮกเกอร์สมัครเล่นจะทำกับระบบคลาวด์ได้ยากกว่า

นอกจากนี้ให้ระวัง “คลาวด์ปลอม” ของพวกอาชญากรไซเบอร์ ดังที่พบในจีนและรัสเซีย อย่างไรก็ตาม สถาบันเอ็มไอทีของสหรัฐฯ พยายามพัฒนาระบบ “ซ่อมตัวเอง” ถ้าระบบคลาวด์ถูกโจมตี ดังที่เครือข่ายเพลย์ สเตชั่นของโซนี,  บริการจีเมล์ ของกูเกิล เคยถูกโจมตีมาแล้ว และเมื่อเร็ว ๆ นี้  แฮกเกอร์รายหนึ่งอ้างว่าสามารถขโมยหมายเลขบัตรเครดิตไปจากธนาคารใหญ่ 79 แห่งได้ ซึ่งเป็นข่าวที่ผู้บริหารระดับสูงของหลายองค์กรทั่วโลกกำลังให้ความสนใจ โดยเฉพาะอย่างยิ่งจากความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจที่ถูกกำหนดไว้ในรูปของประโยคคำถาม เช่น

– องค์กรจะบริหารจัดการด้านประสิทธิภาพและประสิทธิผลของเทคโนโลยีสารสนเทศได้อย่างไร
– องค์กรจะรู้ได้อย่างไรว่าได้ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้องแล้ว
– องค์กรจะรู้ได้อย่างไรว่าได้ระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญ ๆ ครบถ้วนแล้ว
– องค์กรจะรู้ได้อย่างไรว่าการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ทำอยู่มีประสิทธิภาพและประสิทธิผล และสามารถรองรับหรือจัดการกับปัญหาหรือเหตุการณ์ด้านระบบต่าง ๆ ที่อาจเกิดขึ้นได้
– องค์กรจะควบคุมค่าใช้จ่ายด้านเทคโนโลยีสารสนเทศได้อย่างไร และใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศให้เกิดประสิทธิภาพและประสิทธิผลมากที่สุดได้อย่างไร
– องค์กรจะได้รับคุณค่าหรือประโยชน์จากการนำเทคโนโลยีสารสนเทศมาใช้งานได้อย่างไร
– +++

คำถามต่าง ๆ ดังกล่าวข้างต้นในบางส่วนนั้น ผู้ที่เกี่ยวข้องในทางธุรกิจภายในองค์กร ได้แก่ Board, CEO, Chief Financial Officer (CFO), Chief Information Officer (CIO), Business Executive, Business Process Owner, Business Managers, Risk Managers, Security Managers, Service Managers, HR Managers, Internal Audit, Privacy Officers, IT Users, IT Managers, etc.

สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ (ISACA/Information Systems Audit and Control Association – Bangkok Chapter) และ ISACA สากลได้ออก COBIT5 ซึ่งเป็น Version ใหม่ล่าสุดของกรอบการดำเนินงานสำหรับการกำกับดูแลด้านเทคโนโลยีสารสนเทศ มาให้ผู้ประกอบวิชาชีพที่เกี่ยวข้องทั้งหลายได้ใช้ประโยชน์ เมื่อวันที่ 10 เมษายน 2555 ที่ผ่านมานี้ ผู้เชี่ยวชาญในสาขาอาชีพที่เกี่ยวข้องได้กล่าวเป็นเสียงเดียวกันว่า COBIT5 ประกอบด้วยสาระความรู้ที่ครอบคลุมและนำไปใช้ได้จริง โดยได้ปรับเนื้อหา โครงสร้างและเพิ่มเติมแนวคิดและแนวทางปฏิบัติหลายประการไว้ใน COBIT5

ทางสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ เห็นว่า COBIT5 จะเป็นประโยชน์อย่างมากสำหรับองค์กรและผู้ประกอบวิชาชีพที่เกี่ยวข้อง การที่บุคลากรในองค์กรจะสามารถนำ COBIT5 ไปใช้ให้เกิดประโยชน์ได้จริงและโดยได้รับการสนับสนุนจากผู้บริหารระดับสูงนั้น จึงมีความสำคัญอย่างยิ่ง ดังนั้น ทางสมาคมฯ จึงได้จัดงานสัมมนา “Building IT Governance for Sustainable Growth with COBIT5” ขึ้นเพื่อเผยแพร่ความรู้ ความเข้าใจ ตลอดจนแนะนำแนวทางในการนำไปใช้ให้เกิดประโยชน์ต่อองค์กร ในวันพุธที่ 22 สิงหาคม 2555 ณ ห้องเลอ คองคอร์ด บอลรูม โรงแรมสวิส เลอ คองคอร์ด รัชดาภิเษก กรุงเทพฯ

ซึ่งผมคิดว่างานนี้จะมีประโยชน์อย่างยิ่งกับท่านผู้บริหารและผู้ปฏิบัติงานทุกระดับที่เกี่ยวข้องกับการบริหารแบบบูรณาการและการจัดการที่ดี ซึ่งจะทำให้ได้รับความรู้ ความเข้าใจ มิใช่เพียงเฉพาะการบริหารจัดการเทคโนโลยีสารสนเทศเท่านั้น แต่จะได้รับความรู้ที่เกี่ยวข้องกับการบริหารจัดการองค์กรในภาพโดยรวมที่เกี่ยวข้องกับ หลักการและนโยบายองค์กร, โครงสร้างบุคลากร, วัฒนธรรม จริยธรรม และความประพฤติ, ข้อมูล, โครงสร้างพื้นฐานของการให้บริการสารสนเทศ, ทักษะ ความรู้ ความสามารถของบุคลากร และกระบวนการต่าง ๆ ที่องค์กรต้องสร้างและจัดทำขึ้นมาเพื่อให้สามารถบรรลุเป้าหมายตามที่ต้องการได้อย่างมีประสิทธิภาพอย่างแท้จริง ซึ่งทุกท่านสามารถจะติดตามรายละเอียดงานสัมมนาได้จาก www.isaca-bangkok.org ครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 4 – ประโยชน์ของ CSA และข้อควรคำนึงถึง

มิถุนายน 28, 2012

เมื่อมีการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กร นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร ดังที่ได้กล่าวถึงในครั้งที่แล้ว การเปลี่ยนแปลงจากการนำ CSA มาใช้ และการเคลื่อนไหวของ CSA โดยทั่วไป จะก่อให้เกิดประโยชน์และข้อควรคำนึงถึงเป็นจำนวนมาก ประโยชน์และสิ่งที่ควรคำนึงถึงนี้อาจมองได้หลายมุมมอง เช่น ประโยชน์ต่อองค์กรการตรวจสอบภายใน ประโยชน์ต่อกระบวนการทางธุรกิจ อุปสรรคจากการนำ CSA มาปรับใช้ เป็นต้น ซึ่งผมจะขอกล่าวถึงประโยชน์ของ CSA โดยหลัก ๆ ดังนี้

1. CSA ช่วยให้พนักงานสายงานหลักในทุกระดับมีความเข้าใจและคาดการณ์ถึงหน้าที่ความ รับผิดชอบ และสามารถตรวจสอบประสิทธิผลของการควบคุมความเสี่ยงและการบริหารความเสี่ยง ได้อย่างถูกต้องมากขึ้น CSA ประกอบด้วยส่วนประกอบด้านการศึกษาที่สำคัญ ที่ช่วยให้พนักงานสายงานหลักเกิดความเข้าใจเรื่องความเสี่ยงและการบริหาร ความเสี่ยงได้ดีขึ้น ในฐานะที่เป็นผู้ที่เกี่ยวข้องโดยตรงต่อการปฏิบัติงานโดยผู้อำนวยความสะดวก ตัวอย่างเช่น การสื่อสารที่มีประสิทธิภาพและโอกาสในการสอนงาน ในท้ายที่สุด ผู้ตรวจสอบจะเปลี่ยนแปลงทัศนคติและความเข้าใจของทีม เรื่องการควบคุมความเสี่ยงและความเสี่ยงที่อาจเป็นประโยชน์อย่างมากในการทำ CSA

2. เกิดการการปฏิบัติที่ถูกต้องมากขึ้น เนื่องจากผู้มีส่วนร่วมในการทำ CSA เกิดความเป็นเจ้าของในผลลัพธ์ที่เกิดขึ้น การประชุมเชิงปฏิบัติการ และการตรวจสอบแบบดั้งเดิมที่ล้มเหลวในด้านการสร้างความเข้าใจ หรือการกล่าวถึงสิ่งที่ต้องคำนึงถึงในการบริหาร จะนำไปสู่ข้อเสนอแนะที่ไม่สามารถนำไปปฏิบัติได้ ซึ่งจะสร้างผลลัพธ์ในทางลบให้กับ CSA การนำไปสู่ความสับสน และเกิดความขัดแย้งระหว่างพนักงานสายงานหลักและผู้บริหาร

3. CSA จะจัดเตรียมประเด็นที่สำคัญที่ครอบคลุมกว้างขวางเนื่องจากผู้เชี่ยวชาญ ทีมงานสามารถเน้นไปยังความเสี่ยงและการควบคุมความเสี่ยงได้อย่างรวดเร็ว

4. CSA ช่วยปรับปรุงการสื่อสารในทุกระดับเนื่องจาก การประชุมเชิงปฏิบัติการ ประกอบด้วยหลาย ๆ องค์ประกอบ เช่น ที่ตั้ง แผนก หน้าที่ และบุคลากรทุกระดับ

5. CSA สอนให้ผู้มีส่วนร่วมทราบถึงวิธีการวิเคราะห์และรายงานการควบคุมภายใน ดังนั้นจึงช่วยเพิ่มความตื่นตัวเรื่องการควบคุมให้เกิดขึ้นทั่วทั้งองค์กร ซึ่ง CSA จะช่วยในการปรับปรุงสภาพแวดล้อมทางการควบคุมขององค์กร โดยช่วยเพิ่มความตระหนักถึงวัตถุประสงค์ขององค์กรและบทบาทของการควบคุมภายใน อันจะทำให้เกิดผลสำเร็จตามเป้าหมายและวัตถุประสงค์ รวมถึงการจูงใจให้บุคลากรทำการออกแบบหรือนำกระบวนการควบคุมไปปฏิบัติอย่าง ระมัดระวัง และมีการปรับปรุงกระบวนการดำเนินการควบคุมอย่างต่อเนื่อง

นอกจากนี้ CSA ยังมีประโยขน์ในด้านอื่น ๆ คือ ช่วยให้ผู้ตรวจสอบเน้นไปยังเนื้อหาความเสี่ยงในระดับสูงเท่านั้น และยังมุ่งความสนใจไปยังความพยายามในการตรวจสอบแบบดั้งเดิมในเรื่องดังกล่าว ด้วย อีกทั้งการประชุมเชิงปฏิบัติการด้าน CSA จะช่วยให้เกิดการเตรียมตัวอย่างไม่เป็นทางการ หรือการควบคุมร่วมกันที่ยากต่อการประเมินด้วยการตรวจสอบแบบดั้งเดิม

นอกเหนือจากประโยชน์ในการทำ CSA แล้ว ยังมีข้อควรคำนึงถึงหรืออุปสรรคในการบรรลุผลสำเร็จ ดังนี้

1. บุคลากรจะต่อต้านการเปลี่ยนแปลงแ ละการนำ CSA มาใช้นั้นได้แสดงให้เห็นว่า เป็นการเปลี่ยนแปลงสำหรับทั้งผู้ตรวจสอบและผู้ถูกตรวจสอบ หลายองค์กรจึงอาจค่อย ๆ ยอมรับวิธีการใหม่นี้อย่างช้า ๆ

2. ฝ่ายบริหารอาจไม่เชื่อว่าพนักงานสายงานหลักจะสามารถรับผิดชอบงานด้านการควบ คุม และการบริหารความเสี่ยงได้อย่างมีประสิทธิผล โดยอาจมองว่า CSA เป็นเพียงการเปลี่ยนของงาน (วิธีการที่ผู้ตรวจสอบภายในมอบให้พนักงานสายงานหลักเข้ามาทำงานด้านการตรวจ สอบเอง) ในกรณีนี้ผู้บริหารจะส่งเสริมให้กลุ่มใดกลุ่มหนึ่ง นั่นก็คือผู้ตรวจสอบภายใน เป็นผู้มีหน้าที่ความรับผิดชอบเรื่องความเสี่ยงและการควบคุมความเสี่ยง และไม่ได้มอบหน้าที่ความรับผิดชอบให้กับตัวพนักงานสายงานหลักเหล่านั้นเอง

3. การอภิปรายอย่างเปิดเผยอาจเป็นการเปิดองค์กรให้เกิดความเสี่ยงทางกฎหมาย ถ้าการอภิปรายนั้นได้เปิดเผยถึงการกระทำที่ไม่ถูกกฎหมาย ความรุนแรงของนโยบายด้านจริยธรรม หรือประเด็นอื่น ๆ ผู้อำนวยความสะดวกอาจจำเป็นที่จะต้องตัดสินใจว่า การประชุมเชิงปฏิบัติการต้องหยุดลงหรือดำเนินการต่อไป หรือวิธีที่จะกระจายผลลัพธ์นั้นออกไป

4. ผลของ CSA อาจไม่ถูกต้องเนื่องจากผู้มีส่วนร่วมไม่มีความรู้ที่ดีพอหรือไม่เปิดเผย หรือผู้อำนวยความสะดวกไม่ได้รับสาเหตุที่เป็นรากเหง้าของประเด็นนั้นอย่าง แท้จริง

5. ในหลายวัฒนธรรมไม่เป็นวัฒนธรรมเปิดและไม่มีการเปิดเผย และการอภิปรายอย่างเปิดเผยทำให้การประชุมเชิงปฏิบัติการไม่ได้รับปัจจัยนำ เข้าที่เชื่อถือได้

6. ความสามารถในการควบคุมและการบริหารความเสี่ยง จะเกี่ยวข้องกับการผึกอบรมเพิ่มเติมให้กับพนักงาน และการเพิ่มความผูกพันในการรักษากระบวนการ CSA ให้ทำหน้าที่อย่างมีประสิทธิผลและทันเวลา

7. ในกรณีศึกษาส่วนใหญ่ เจ้าหน้าที่ตรวจสอบภายในไม่มีทักษะทางด้านการเป็นผู้อำนวยความสะดวกและการเป็นผู้สอน

8. การเปลี่ยนแปลงอย่างมีคุณภาพโดยรวม การพัฒนาองค์กร และบุคลากรที่นำการประชุมเชิงปฏิบัติการมาใช้อำนวยความสะดวกในการทำงาน โดยอาจมอง CSA ว่าเป็นการบังคับ เนื่องจากมีการใช้เครื่องมือที่มีลักษณะเหมือนกันหลาย ๆ เครื่องมือ

9. ท้ายที่สุดแล้วจะเกิดคำถามว่าผู้ตรวจสอบภายใน หรือผู้ถูกตรวจสอบเป็นเจ้าของ CSA ผู้อำนวยการการตรวจสอบจะทำการตลาด และบูรณาการ CSA มาใช้ในองค์กรได้อย่างไร ถ้าไม่มีการบริหารจัดการที่ดี

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้เป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่า อะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลาย ๆ องค์กร จะพบความแตกต่างหลายประการ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ ซึ่งผมจะนำมาเล่าสู่กันฟังในครั้งหน้านะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 3 – การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้

พ.ค. 22, 2012

ในครั้งที่แล้วผมได้พูดถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) ซึ่งถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น การทำ CSA อาจทำออกมาในรูปแบบของโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์ หากองค์กรใดมีการจัดทำ CSA หรือนำ CSA มาประยุกต์ใช้ อาจทำให้เกิดการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร โดยเฉพาะอย่างยิ่งการเปลี่ยนแปลงหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับการควบคุมภายใน ในวิธีการแบบดั้งเดิม และแบบวิธีการ CSA ซึ่งผมจะขอนำเสนอเป็นแผนภาพตาราง พร้อมอธิบายควบคู่กันไปดังนี้นะครับ

จากตารางข้างต้น หน้าที่ความรับผิดชอบของการควบคุมภายใน รวมทั้งการกำหนดวัตถุประสงค์และการประเมินความเสี่ยงและการควบคุมความเสี่ยงที่เกี่ยวข้อง ไม่ใช่การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้ นั่นคือยังคงเป็นหน้าที่ของฝ่ายบริหารอยู่ ความหมายของการประเมินการควบคุมภายในนั้น รวมถึงการประเมินความเสี่ยงด้วย จะเห็นได้ว่าการประเมินและการควบคุมความเสี่ยงได้มีการเปลี่ยนแปลงไปจากการนำ CSA มาใช้ นั่นคือเปลี่ยนจากความรับผิดชอบที่เป็นของผู้ตรวจสอบมาเป็นความรับผิดชอบของทีมงาน ซึ่งนับว่าเป็นการเปลี่ยนแปลงอย่างยิ่งใหญ่ที่ต่างไปจากแนวทางการตรวจสอบแบบดั้งเดิม

ผู้ตรวจสอบทั้งหมดเห็นด้วยว่า ผู้บริหารต้องมีหน้าที่ในการควบคุมภายในด้วย แต่บางคนได้โต้แย้งว่าการให้ผู้ตรวจสอบภายในประเมินประสิทธิผลของการควบคุมเองนั้น ทำให้เกิดความสับสนขึ้นมาได้ เนื่องจากผู้บริหารอ้างว่า เมื่อเขามีหน้าที่ในการควบคุมภายในด้วย ทำใมจึงต้องให้บุคคลภายนอก(ผู้ตรวจสอบ) เป็นผู้ประเมินผลการควบคุม จึงก่อใก้เกิดการเปลี่ยนแปลงขึ้น โดยผู้บริหารจะเป็นผู้ประเมินความเหมาะสมของประสิทธิผลของหน้าที่ความรับผิดชอบหรืองานที่เป็นของเขาเอง แต่แนวทางการควบคุมภายในทำให้การควบคุมนั้นมีความแตกต่างหรือมีลักษณะพิเศษ ทำให้ผู้บริหารต้องสละความรับผิดชอบด้านการควบคุมนี้ ไปให้กับผู้ที่มีความเชี่ยวชาญเป็นพิเศษ นั่นคือผู้ตรวจสอบที่จะเป็นผู้ประเมินความเหมาะสมในทุก ๆ เรื่อง

การประเมินตนเองเป็นเรื่องของความพยายามในการเปลี่ยนแปลง โดยการสอบถามผู้บริหารถึงเรื่องหน้าที่ความรับผิดชอบสำหรับการควบคุม และสอบถามทีมงานในเรื่องเกี่ยวกับความรู้ที่มีเกี่ยวกับรายละเอียดของธุรกิจ เพื่อประเมินความเหมาะสมของการควบคุม ผู้ตรวจสอบภายในจึงเป็นผู้อำนวยความสะดวก มีหน้าที่ในการให้แนวทางแก่ผู้บริหารและพนักงาน ในกระบวนการประเมินโดยอาศัยความเชี่ยวชาญและประสบการณ์ที่มีอยู่

เมื่อย้อนกลับไปดูที่ตารางข้างต้นอีกครั้งจะเห็นได้ว่า การรายงานการควบคุมเป็นสิ่งที่ต้องมีในรายงานของผู้ตรวจสอบในแนวทางแบบดั้งเดิม ส่วนใน CSA อาจต้องมีการทำรายงานขึ้นมาจากการประชุมเชิงปฏิบัติการที่จะนำไปสู่ผู้บริหารระดับถัดไปในเรื่องการประเมินการควบคุม รายงานที่ทีมงานสร้างขึ้นจากการทำการประชุมเชิงปฏิบัติการ จะไม่ใช่รายงานของผู้ตรวจสอบ แม้ว่าอาจจะมีข้อเสนอแนะของฝ่ายตรวจสอบด้วย แนวทางของหน้าที่ความรับผิดชอบ การประเมินและการรายงานที่ร่วมกันสร้างขึ้นมา จะช่วยเพิ่มระดับความผูกพันในการควบคุมและประเมินความเสี่ยงในองค์กร มากกว่าหน้าที่ความรับผิดชอบและรายงานที่พวกเข้าไม่ได้มีส่วนร่วมหรือเป็นเจ้าของ ในการทำ CSA เมื่อทีมงานสร้างรายงานเสร็จแล้ว ทีมงานและผู้บริหารจะเกิดความเข้าใจเรื่องการควบคุมมากขึ้น ในเรื่องของวัตถุประสงค์ เป้าหมายและหน้าที่ความรับผิดชอบอื่น ๆ ที่เป็นของพวกเขาเอง ซึ่งหลังจากขั้นตอนดังกล่าว การควบคุมก็จะเป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้นั่นเอง

ผู้ที่จะสามารถบอกได้ว่าการประเมินความเสี่ยง และการควบคุมความเสี่ยงนั้น ถูกต้องหรือไม่ในแนวทางแบบดั้งเดิมคือผู้ตรวจสอบ โดยอาศัยความเห็นในเรื่องความเหมาะสมของการควบคุมของผู้ตรวจสอบเอง ความช่วยเหลือของผู้บริหารฝ่ายตรวจสอบ โดยการตรวจสอบและสั่งงานผู้ตรวจสอบ ผู้บริหารตามสายงานก็อาจมีส่วนช่วยด้วย โดยการตรวจสอบผลของการตรวจสอบนั้น และผู้ตรวจสอบภายนอกก็อาจช่วยได้ด้วยเช่นกัน โดยการตรวจสอบรายงานทางการเงิน

ในการนำ CSA มาใช้ ทำให้การอธิบายหน้าที่ความรับผิดชอบในการตรวจสอบความถูกต้องของการประเมินความเสี่ยง และการควบคุมความเสี่ยงมีความชัดเจนมากขึ้น โดยผู้ตรวจสอบภายในจะแสดงบทบาทในการประกันคุณภาพ อันเป็นผลจากการนำการทดสอบการควบคุมมาใช้ การทดสอบที่เคยทำในการตรวจสอบแบบดั้งเดิมในการนำ CSA มาใช้ก็ยังคงมีอยู่ แต่อาจจะเน้นไปที่ความสำคัญของการควบคุมที่ทีมงานได้กำหนดไว้ในการประเมินตนเอง กระบวนการประกันคุณภาพ ไม่ใช่เรื่องที่จะทำการทดสอบกันได้ง่าย ๆ เป็นแนวทางที่มีขั้นตอนซับซ้อน ที่ต้องเริ่มจากการวางแผนการประเมินตนเองและผลลัพธ์ ร่วมกับการทดสอบในการตรวจสอบพิเศษ หรือการตรวจสอบแบบดั้งเดิม ทีมงานอาจต้องตรวจสอบความถูกต้องร่วมกับผู้ตรวจสอบโดยการสุ่มตรวจความถูกต้อง

CSA มักสร้างกลไกที่นำวัตถุประสงค์ไปใช้ในกระบวนการประเมินตนเอง การออกแบบการตรวจสอบแบบดั้งเดิม มักออกแบบมาให้สอดคล้องกับวัตถุประสงค์ในการควบคุม เช่น วัตถุประสงค์ ความเสี่ยง และจุดเน้นในระดับปฏิบัติการที่ถูกนำมาใช้เป็นเครื่องมือในการประเมินของ COSO การแยกวัตถุประสงค์ของการควบคุมเป็นแนวทางออกไปจากวัตถุประสงค์ของผู้บริหารหรือของธุรกิจ CSA จะช่วยผู้บริหารในการระบุและ/หรือการตรวจสอบเรื่องที่เกี่ยวข้องที่จะกระทบวัตถุประสงค์หลักทางธุรกิจ เช่น การปรับปรุงผลิตภัณฑ์ จริยธรรมที่ดีขึ้น ระยะเวลาที่รวดเร็วขึ้น ความถูกต้องของการออกแบบระบบ กระบวนการ CSA มักเริ่มต้นจากวัตถุประสงค์ทางธุรกิจของผู้บริหาร มากกว่าวัตถุประสงค์ในการควบคุมความเสี่ยง ที่ผู้ตรวจสอบภายในกำหนดขึ้น นั่นหมายถึง ผู้บริหารและทีมงานล้วนสนใจผลที่เกิดจาก CSA ดังนั้น การประเมินตนเอง จึงเน้นไปที่วัตถุประสงค์ของพวกเขาเอง ไม่ใช่วัตถุประสงค์ที่ผู้ตรวจสอบแนะนำ

ในการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กรแล้ว นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กรดังที่ได้กล่าวมาแล้วในข้างต้น ยังมีประโยชน์และข้อควรคำนึงถึงในการทำ CSA ด้วย ซึ่งผมขอนำเสนอในโอกาสต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 2

เมษายน 11, 2012

เมื่อกล่าวถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) การประเมินตนเองเพื่อควบคุมความเสี่ยงถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพ ขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น โดยอาจทำออกมาในรูปแบบของการประชุมเชิงปฏิบัติการ หรือการประชุมที่ฝ่ายตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้

การประชุมเชิงปฏิบัติการอาจประยุกต์ออกมาเป็นโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับ ผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์

แต่ก่อนจะลงลึกไปในรายละเอียดของการทำ CSA หรือการประเมินตนเองเพื่อควบคุมความเสี่ยงโดยผู้ตรวจสอบภายใน ผมจะขออธิบายถึงความหมาย หรือคำจำกัดความของ CSA เพื่อความเข้าใจที่ตรงกันในภาพโดยรวมดังนี้ ครับ

ผู้ตรวจสอบภายในเป็นกลุ่มส่วนใหญ่ที่ริเริ่มนำ CSA มาใช้ในองค์กร CSA จึงเป็นเครื่องมือสำหรับองค์กรทั้งหมด องค์กรจะได้รับประโยชน์จาการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองอย่างแพร่หลาย ประกอบกับการยอมรับการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองของแผนกที่มีความเชี่ยวชาญอื่น ๆ เช่น แผนกทรัพยากรมนุษย์ หรือการพัฒนาองค์กรที่ได้มีการจัดการประชุมเพื่ออำนวยความสะดวกขึ้นมา อันจะทำให้ให้สามารถมองเห็นแนวคิด CSA กันมากขึ้น

วัตถุประสงค์ของ CSA คือการช่วยให้องค์กรสามารถประเมินความเป็นไปได้ในการบรรลุวัตถุประสงค์ของ องค์กร โดยจะช่วยในการให้ความรู้แก่ผู้ปฏิบัติงาน ที่มีหน้าที่รับผิดชอบต่อการบรรลุวัตถุประสงค์ขององค์กร CSA เป็นกระบวนการเชิงรุกที่สนับสนุนให้ทีมงานมีการประเมิน และสามารถให้คำแนะนำสำหรับการปรับปรุง เพื่อเพิ่มโอกาสในการบรรลุวัตถุประสงค์ ทีมงานในที่นี้ก็คือกลุ่มของพนักงานที่ทำงานเกี่ยวกับวัตถุประสงค์หรือเป้า หมายโดยทั่วไป

คำจำกัดความของ CSA
ความหมายที่เป็นทางการของ CSA นั้นมีหลายความหมาย สำหรับความหมายที่สถาบันผู้ตรวจสอบภายใน (Institute of Internal Auditors : IIA) ได้พัฒนาขึ้นมาโดยอาศัยความร่วมมือจากองค์กรและที่ปรึกษาที่เกี่ยวข้องกับ CSA นั้นสามารถพิจารณาได้เป็น 2 ความหมายดังนี้

1. ความหมายที่พัฒนาขึ้นในปี 1995 โดย Glenda Jordan
องค์กรที่ใช้การประเมินตนเองเป็นกระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทาง การ ที่ซึ่งผู้บริหาร และ/หรือทีมงานได้เข้ามามีส่วนเกี่ยวข้องโดยตรงกับหน้าที่ทางธุรกิจ ดังนี้

– พิจารณาประสิทธิผลของกระบวนการนำมาใช้แทนที่ และ
– ตัดสินใจในเรื่องที่แน่ใจว่าจะเป็นโอกาสในการบรรลุวัตถุประสงค์ทางธุรกิจบางประการหรือทั้งหมดได้อย่างสมเหตุสมผล

คำบางคำในความหมายดังกล่าวอาจใช้คำอื่นเข้ามาแทนเพื่อให้เกิดความเน้นย้ำ มากขึ้นได้ เช่น คำว่า “พิจารณาประสิทธิผล” อาจแทนด้วยคำว่า “ประเมินประสิทธิผล” เพื่อเป็นการตอกย้ำกระบวนการประเมินผลที่เรียกในชื่อว่าการประเมินตนเอง เพื่อควบคุมความเสี่ยง และคำว่า “กระบวนการแทนที่” อาจใช้คำว่า “การควบคุมภายใน” ดังนั้นการควบคุมจึงเป็นสิ่งที่ต้องปฏิบัติเพื่อให้เกิดการบรรลุวัตถุ ประสงค์องค์กร

ในความหมายนี้ใช้คำว่าผู้บริหาร และ/หรือทีมงาน(ไม่ใช้คำว่าผู้ตรวจสอบภายใน) เป็นผู้ประเมินการควบคุมภายใน นั่นก็คือใช้คำว่า “ตนเอง” ในการประเมินตนเองเพื่อควบคุมความเสี่ยง และทำให้มีการปรับเปลี่ยนบทบาทจากแบบดั้งเดิมที่ผู้ตรวจสอบภายในเป็นผู้ ประเมินประสิทธิผลของการควบคุมแทนเพื่อให้เกิดการบรรลุวัตถุประสงค์ การกล่าวว่า “กระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทางการ” ประกอบด้วยสองกระบวนการหลัก หรือรูปแบบของการประเมินตนเอง อันได้แก่ การประชุมเชิงปฏิบัติการ และการสำรวจ ซึ่งทั้งสองอย่างนี้เป็นการประเมินที่ผู้บริหารและ/หรือทีมงานเข้ามาเกี่ยว ข้องโดยตรงกับการบรรลุวัตถุประสงค์ทางธุรกิจ

2. ความหมายที่ตีพิมพ์ใน IIA ในปี 1998
CSA เป็นกระบวนการที่ใช้ในการตรวจสอบและประเมินผลของฝ่ายตรวจสอบภายในอย่างมี ประสิทธิผล เป็นการทำให้เกิดความแน่ใจว่าได้มีการเตรียมการเพื่อทำให้วัตถุประสงค์ทั้ง หมดนั้นสามารถบรรลุผลสำเร็จได้

ในความหมายที่สองนี้ CSA ยังคงประกอบด้วยขอบเขตที่กว้างขวางเหมือนกับความหมายแรก นั่นคือคำว่า “วัตถุประสงค์ทางธุรกิจทั้งหมด” ซึ่งจะเป็นการเชื่อมโยงระหว่างการควบคุมภายในที่มีประสิทธิผลกับการบรรลุ วัตถุประสงค์

ความหมายทั้งสองอย่างนี้ไม่ได้มีการกล่าวถึงคำว่า “ความเสี่ยง” แม้ว่าการประเมินความเสี่ยงจะเป็นหัวใจสำคัญของการทำ CSA เนื่องจากการรวมคำว่าความเสี่ยงไว้ใน CSA เป็นผลพลอยได้ ถ้ายอมรับแนวคิดเรื่องความสัมพันธ์ของวัตถุประสงค์ ความเสี่ยงและการควบคุมความเสี่ยง ดังนั้น การนำการประเมินการควบคุมความเสี่ยงมาใช้เพื่อให้บรรลุวัตถุประสงค์ จึงเป็นไปไม่ได้ที่จะไม่มีการพิจารณาถึงเรื่องของความเสี่ยงที่อาจเป็นตัว ขัดขวางการบรรลุผลสำเร็จของวัตถุประสงค์

ดังนั้นเมื่อคุณเน้นไปที่เรื่องของความเสี่ยงหรือการควบคุมความเสี่ยง ตั้งแต่แรกในการประเมินกระบวนการแล้ว คุณก็ไม่สามารถที่จะประเมินสิ่งหนึ่งโดยปราศจากความเข้าใจถึงสิ่งอื่น ๆ ได้ ตัวอย่างเช่น เมื่อจะกล่าวถึงแบบจำลองทางธุรกิจพื้นฐานที่ประกอบด้วยความสัมพันธ์ระหว่าง องค์ประกอบต่าง ๆ ทั้งหมด 3 ประการ ในขั้นแรกจะต้องเข้าใจวัตถุประสงค์ เพื่อที่จะประเมินความเสี่ยงของความล้มเหลวในการบรรลุวัตถุประสงค์ ต่อมาก็นำความเสี่ยงมาบริหารให้อยู่ในระดับที่ยอมรับได้ โดยการเพิ่ม การลด หรือการดัดแปลงการควบคุมความเสี่ยงต่าง ๆ ในขณะที่ได้ตัดสินใจให้ผู้หนึ่งเข้ามาเน้นย้ำให้กับคนอื่น เพื่อให้บรรลุความต้องการในระยะสั้นของการประชุมเชิงปฏิบัติการ ควรจะต้องมีการนำผลลัพธ์ที่ได้กลับไปสู่เนื้อหาของแบบจำลองธุรกิจด้วย

แม้ว่าความหมายที่กล่าวมานี้ได้มีการแสดงให้เห็น CSA มากขึ้น แต่ก็ยังยากที่จะนำไปใช้ เมื่อมีคำถามว่า CSA คืออะไร ก็อาจตอบไปว่าเป็นวิธีการที่จะช่วยให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ ที่กำหนดไว้นั่นเอง

สิ่งที่ทำให้ CSA เป็น CSA
CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่นอย่างไร เป็นคำถามที่ผู้ตรวจสอบหรือผู้ที่กำลังเรียนรู้เรื่อง CSA อาจต้องหาคำตอบ สิ่งที่ทำให้ CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่น สามารถพิจารณาได้ดังนี้ บางส่วนอาจมีความขัดแย้งกันเนื่องจาก CSA และการตรวจสอบแบบดั้งเดิมมีความแตกต่างกันจากองค์กรหนึ่งสู่อีกองค์กรหนึ่ง

– พนักงานสายงานหลัก ไม่ใช่ผู้ตรวจสอบภายใน เป็นผู้ประเมินการควบคุมภายใน
– หน่วยงานต่าง ๆ ในองค์กรสามารถทำการประเมินตนเองได้เอง โดยไม่ต้องอาศัยการมีส่วนร่วมของฝ่ายตรวจสอบภายใน
– เครื่องมือที่ช่วยในการประเมินตนเองซึ่งอาจเป็นสิ่งใหม่สำหรับผู้ตรวจสอบภาย ใน เช่น ทักษะการอำนวยความสะดวก การสำรวจ การลงคะแนนแบบไม่ออกนาม หรือหน่วยโครงการอื่น
– การประเมินตนเองเป็นวิธีที่ดีกว่าในการประเมินแบบไม่เป็นทางการ หรือการควบคุมอย่างไม่เป็นทางการที่ต้องอาศัยความร่วมมือ และการมีส่วนร่วมของคณะผู้ตรวจสอบมากกว่าการตรวจสอบแบบดั้งเดิม
– เรื่องเกี่ยวกับทีมงานหรือผู้ถูกตรวจสอบจะปรากฏในรายงาน CSA มากกว่าผู้ตรวจสอบภายใน
– อาจมีการนำการประชุมเชิงปฏิบัติการมาใช้เพื่อสอนการประเมินความเสี่ยง และการออกแบบการควบคุมภายในให้กับทีมงาน
– บทบาทของผู้ตรวจสอบภายในคือเป็นผู้อำนวยความสะดวกและผู้ให้คำแนะนำ ในเรื่องเกี่ยวกับแนวคิดและความคิดด้านความเสี่ยงและการควบคุมความเสี่ยง
– ผู้ถูกตรวจสอบส่วนใหญ่ชอบ CSA มากกว่ากระบวนการตรวจสอบแบบดั้งเดิม
– ผู้บริหารเข้ามามีส่วนร่วมมากกว่าเข้ามาตรวจสอบ
– เป็นวิธีการสร้างความเป็นไปได้ของผลลัพธ์เกี่ยวกับการมีส่วนร่วมและการให้ความร่วมมือของ CSAที่ดีกว่า

ความแตกต่างเหล่านี้ไม่ใช่ลักษณะเฉพาะของ CSA เป็นสิ่งที่เกิดขึ้นในการตรวจสอบแบบดั้งเดิม ส่วนการประเมินความเสี่ยงและการควบคุมความเสี่ยงสิ่งที่ผู้ปฏิบัติงานเป็น ผู้ดำเนินการ และเป็นการประเมินโดยไม่เกี่ยวข้องกับการตรวจสอบภายใน จึงจะเป็นลักษณะเฉพาะของ CSA อย่างไรก็ตาม แม้ว่าสิ่งเหล่านี้จะเป็นเรื่องที่มีความท้าทายแต่การปฏิบัติของผู้ตรวจสอบ บางกลุ่มในประเด็นเหล่านี้ก็ยังมีความแตกต่างกันอยู่ จึงควรที่จะสรุปความแตกต่างของ CSA กับการตรวจสอบแบบดั้งเดิมออกมาให้ชัดเจน

ถ้ามีการตรวจสอบองค์กรที่นำ CSA มาใช้จะพบว่า แต่ว่าละองค์กรมีความแตกต่างหลักในการทำ CSA ผู้ที่เริ่มนำ CSA ไปปฏิบัติในปลายทศวรรษที่ 1980 ก็จะมีมุมมองด้าน CSA ที่แตกต่างออกไป องค์กรที่เริ่มนำ CSA มาใช้ใหม่จะไม่ได้ให้ความสำคัญกับความแตกต่างเหล่านี้ โดยยังดำเนินการแบบที่เรียกว่า “การตรวจสอบแบบดั้งเดิมอยู่” นั่นหมายความว่า ยังคงมีความแตกต่างในแนวทาง ขอบข่าย การทดสอบ และวิธีการรายงานอยู่ ความหลากหลายของแนวทางสะท้อนให้เห็นถึงความแตกต่างในโครงสร้าง ระดับการมอบอำนาจให้พนักงาน รูปแบบการบริหาร และนโยบายที่องค์กรมีอยู่ นั่นแสดงให้เห็นว่า CSA และรูปแบบการประเมินการควบคุมอื่น ๆ เช่น การตรวจสอบภายในแบบดั้งเดิม จำเป็นที่จะต้องมีการเปลี่ยนแปลงไปตามสถานการณ์การเปลี่ยนแปลงในองค์กร ต้องเป็นเครื่องมือที่สามารถประยุกต์ใช้ได้ตามโอกาสที่เหมาะสม แม้ว่าอาจมีบางส่วนจะไม่เห็นด้วยแต่ CSA ก็ไม่ใช่การตรวจสอบภายในเพื่อเปลี่ยนแปลงวัฒนธรรมขององค์กร เนื่องจากกระบวนการเปลี่ยนแปลงนี้เป็นของฝ่ายบริหารไม่ใช่เป็นของผู้ตรวจสอบ CSA เป็นวิธีการประเมินการควบคุมความเสี่ยงในองค์กรที่พร้อมในการมอบอำนาจให้กับ พนักงาน โดย CSA จะช่วยสนับสนุนให้เกิดการเคลื่อนย้ายอำนาจไปยังพนักงานแต่ไม่ได้ขึ้นอยู่กับ ผู้ตรวจสอบในริเริ่มการเปลี่ยนแปลงนั้นขึ้นมา

ฝ่ายตรวจสอบบางแห่งเริ่มนำ CSA ไปปฏิบัติ โดยกังวลว่าองค์กรอาจไม่ได้ต้องการที่จะประเมินความเสี่ยงด้วยตนเอง โดยจะนำ CSA ไปปฏิบัติให้ช้าลงเพราะเกรงว่าฝ่ายบริหารจะไม่ให้การสนับสนุน แม้ว่า CSA จะเป็นเพียงอีกเครื่องมือหนึ่งที่ใช้ในการตรวจสอบในสถานการณ์ที่เหมาะสม แต่ฝ่ายตรวจสอบกลับพบว่าไม่จำเป็นที่จะต้องมีระดับความสนับสนุนและเห็นชอบ อย่างสูงจากองค์กรในการเริ่มนำมาใช้ นั่นทำให้พอสรุปได้ว่า หากมีการทำการประชุมเชิงปฏิบัติการในขั้นเริ่มต้นสำเร็จก็จะทำให้ฝ่ายบริหาร ให้ความสนับสนุนและต้องการให้มีเพิ่มขึ้นอีก

CSA เป็นเรื่องเกี่ยวกับบุคลากรที่ทำงานทางด้านการประเมินความเสี่ยงและการควบ คุมความเสี่ยง สาเหตุที่ต้องมีการทำ CSA เนื่องจาก CSA มีความแตกต่างจากการตรวจสอบแบบดั้งเดิมที่ผู้ตรวจสอบเป็นผู้พิจารณาความ เหมาะสมของการควบคุม ผู้ตรวจสอบจึงมองกลับไปที่ผู้ที่ถูกตรวจสอบหรือลูกค้าในฐานะผู้เชี่ยวชาญที่ มีความรู้เกี่ยวกับสิ่งที่ต้องดำเนินต่อไปในองค์กรมากกว่าผู้ตรวจสอบ หลังจากนั้นผู้ถูกตรวจสอบก็จะเป็นผู้ทำงานร่วมกับวิธีการทำงานเหล่านั้นทุก วัน อันจะทำให้รู้ถึงปัญหา อุปสรรค ความเสี่ยง และการแก้ปัญหา ผู้ตรวจสอบอาจเข้ามาอีกครั้งใน 2-3 ปี และอยู่ในระยะเวลาสั้น ๆ ส่วนคำถามที่ว่า ทำไมจึงไม่มีผู้ที่มีความเชี่ยวชาญอย่างแท้จริงเข้ามาทำหน้าที่ในการประเมิน การควบคุมความเสี่ยง คำตอบที่ว่านี้ก็คือ การใช้ผู้ที่มีความรู้และประสบการณ์เกี่ยวกับงานที่ทำโดยตรง เข้ามาระบุความเสี่ยงและการควบคุมความเสี่ยงเป็นวิธีการที่ดีกว่านั่นเอง

จากการนำ CSA มาใช้ทำให้เกิดการเปลี่ยนแปลงหลายอย่างภายในองค์กร รวมถึงประโยชน์และข้อคำนึงถึงในการทำ CSA ซึ่งในครั้งหน้าผมจะได้นำมาเล่าสู่กันฟังต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment (ตอนที่ 1)

มีนาคม 23, 2012

ความเข้าใจในเรื่องการบริหารความเสี่ยง เพื่อการควบคุมดูแล (Monitoring) และเพื่อการตรวจสอบ (Audit) นั้น ต้องการใช้ทรัพยากรนอกสายงานปฏิบัติการ เพื่อประเมินความเสี่ยงและการควบคุมความเสี่ยงว่ามีความเหมาะสมเพียงไรหรือไม่ โดยเฉพาะอย่างยิ่งการประเมินความเสี่ยงที่เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ Business Drivers เป็นกรอบในการประเมินความเสี่ยงและการควบคุม

เมื่อพูดถึง Business Driver ผมขออนุญาตที่จะทบทวนความหมาย เพื่อให้เกิดความเข้าใจที่ตรงกัน เพียงสั้น ๆ ด้วยแผนภาพแทนคำอธิบายด้วยคำพูดดังนี้นะครับ

Business Drivers ประกอบด้วยองค์ประกอบหลัก ๆ 2 ข้อ คือ

1. Performance
2. Conformance

ทั้ง 2 หัวข้อ คณะกรรมการและผู้บริหารระดับสูง จะต้องมีกระบวนการจัดการประเมินความเสี่ยงที่ได้ดุลยภาพ กล่าวคือ Performance จะพิจารณาการบริหารความเสี่ยงที่มุ่งไปสู่ Business Objective ที่มี Business Balanced Scorecard ทั้ง 4 มุมมองเป็นองค์ประกอบหลักที่ต้องการควบคุมความเสี่ยง และกระบวนการจัดการแบบบูรณาการ (Integrated Management) ทั้งด้าน IT และ Non – IT ในขณเะเดียวกันองค์กรก็ต้องดูแลให้มีการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง และมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ทั้งทางด้าน IT และ Non – IT เช่นเดียวกัน

จากแผนภาพ ท่านผู้อ่านจะเข้าใจได้ดียิ่งขึ้น หากอ่านในลักษณะของ Top Down และจากซ้ายไปขวา ในส่วนที่เกี่ยวข้อง และกระบวนการประเมินการควบคุมความเสี่ยงจะต้องอาศัยความเข้าใจ COSO – ERM และ ITG ที่เกี่ยวข้องกับ CobiT และ ITIL+++ ในลักษณะต้องพึ่งพาแต่ละปัจจัยที่เกี่ยวข้องต่อกันโดยใช้หลัก Interdependent เป็นสำคัญ

หากท่านผู้อ่านได้ดูแผนภาพ CSA for Management and Auditing ข้างต้นก็จะเข้าใจอย่างชัดเจนนะครับว่า กระบวนการประเมินตนเองเพื่อควบคุมความเสี่ยงที่จะเกิดขึ้นภายในสายงานของตนนั้น มีความสำคัญยิ่ง และหากดำเนินการได้อย่างมีประสิทธิผลและประสิทธิภาพ ก็จะสามารถช่วยลดภาระกิจของผู้บริหารระดับสูง และสายงานตรวจสอบได้เป็นอย่างดี เพราะกระบวนการควบคุมความเสี่ยง จะดำเนินการโดยสายงานที่เป็นผู้ปฏิบัติงานนั้น ซึ่งโดยหลักการน่าจะมีความเข้าใจงานของตนเองได้ดีกว่าผู้ตรวจสอบ

รายละเอียดเกี่ยวกับเรื่อง CSA บางประการจะได้นำเสนอเป็นตอน ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »