Cloud Computing และการกำกับของหน่วยงานภาครัฐ

เมษายน 16, 2013

หากหน่วยงานที่เกี่ยวข้องในการกำกับและบริหารงานด้านเทคโนโลยีสารสนเทศที่สนใจจะนำ Cloud มาใช้+++ควรพิจารณาทำความเข้าใจความเสี่ยงในมุมมองต่างๆให้รอบคอบว่า องค์กรเรายอมรับความเสี่ยงได้ในระดับใด เพราะ เทคโนโลยี่ Cloud มีทั้งด้านบวกและด้านลบ บางองค์กร บางระบบงานเหมาะที่จะใช้มากๆ บางองค์กร+บางระบบงาน อาจยังไม่เหมาะสมในขณะนี้หรือในอนาคต++เรื่องนี้จึงต้องพิจารณาอย่างรอบคอบในลักษณะองค์รวม/Holistic framework และในลักษณะบูรณาการ/Integration
ภาพด้านล่างอาจใช้แทนคำอธิบายได้มากในหลายมุมมอง ที่ต้องนำมาประยุกต์ใช้ให้เหมาะสม++โดยเฉพาะอย่างยิ่ง หากหน่วยงานกำกับฯ ต้องการเริ่มต้นด้วยนโยบายที่ว่า การใช้ Cloud ที่ให้ผู้เกี่ยวข้องของประเทศ +องค์กร มี Governance in Mind+++

ข้อสำคัญน่าจะมาจากคำถามที่ว่า ในปัจจุบันนี้มีหน่วยงานกำกับภาครัฐกี่หน่วยงานที่กำลังทำงานเรื่อง Cloud โดยที่ไม่มีการหารือกันเท่าที่ควร ถ้าเป็นเช่นนี้รับรองได้ว่าจะมีคำถามและมีปัญหามากมายในการกำกับและการจัดการที่ดี ที่เกี่ยวข้องกับการใช้ Cloud อย่างมีระบบและมีแบบแผน ซึ่งผู้บริหารระดับสูงจะต้องเข้าใจภาพโดยรวมของการใช้ Cloud ซึ่งน่าจะนำหลักการบริหารในลักษณะของ Integrated Single Framework ของ COBIT 5 ที่ครอบคลุมการบริหารแบบบูรณาการตามหลักการ Integrated GRC ได้ในทุกแง่มุม

ทั้งนี้ควรจะมีการกำหนดนโยบายการใช้ Cloud ในภาครัฐ รวมทั้งระเบียบและหลักเกณฑ์ต่าง ๆ ที่เกี่ยวข้องให้เหมาะสมกับการเปลี่ยนแปลงที่จะเกิดขึ้นอย่างมากมาย อย่างไรก็ดี ผมมีความเห็นส่วนตัวว่า การใช้ Cloud ในประเทศไทย โดยเฉพาะอย่างยิ่งในหน่วยงานภาครัฐจะเกิดขึ้นได้ก็ต่อเมื่อมีการร่วมมือกันของหน่วยงานกำกับที่เกี่ยวข้อง และข้อสำคัญที่ใคร่จะขอกล่าวย้ำในที่นี้ก่อนจะลงในรายละเอียดในโอกาสต่อไป ก็คือการกำหนดกรอบของงานที่ควรจะทำ ทั้งในภาพใหญ่และในภาพย่อยอย่างชัดเจน

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ASEAN CSA Summit 2013 Bangkok Thailand. GRC and Audit

กุมภาพันธ์ 21, 2013

ผมได้มีโอกาสเป็นผู้หนึ่งใน Panelists ในหัวข้อ Cloud Governance : Cloud and GRC (Audit) และเป็นผู้ร่วมรับฟังในหัวข้อที่น่าสนใจอื่น ๆ อีกหลายเรื่อง ในงาน ASEAN CSA Summit 2013 Bangkok Thailand ที่จัดขึ้นเมื่อวันที่ 7 – 8 กุมภาพันธ์ 2556 ณ โรงแรมเซ็นทาราแกรนด์ ที่เซ็นทรัลพลาซ่า ลาดพร้าว จึงขอนำมาเล่าสู่กันฟังสั้นตามที่ผมเข้าใจในเบื้องต้นของภาพโดยรวมของงานดังนี้

Cloud and Change Enablement

As we are on the path towards the strategic roadmap of ASEAN ICT Master Plan 2015 to harness ICT to drive all strategic initiatives for ASEAN Economic Community (AEC), Cloud Computing has definitely presented the potential to enable ASEAN’s social and economic integration. The aim of the ASEAN CSA Summit- Bangkok 2013 is to build shared understanding in the role of cloud computing on ASEAN economy and its impact on business at national level as well as ASEAN level through public- private partnership (PPP) initiatives. There are several important factors and issues concerning both opportunities and challenges business and IT executives need to consider when making Cloud adoption decision.

Despite its potential business values such as cost savings, flexibility, and better resource optimization, several relevant risks have emerged and those, if left unmanaged, will prevent us from realizing business benefits of clouds. To achieve value realization as well as risk optimization of Cloud technology- both Public and Private platforms, it is crucial for every organization and country to pursue an integrated management approach, known as Integrated-Governance, Risk, and Compliance (GRC) or Integrated IT-GRC. That said, not only Value driver but also Risk driver of cloud computing has to be considered, well understood, and managed properly at all organizational levels and stakeholders.

It is essential for the management committee/board to assure the alignment of ASEAN goals and Enterprise goals which need to be cascaded down to IT-related goals regarding Cloud Computing environment with respective proper measures and target outcomes in order to monitor and evaluate value realization of cloud investments. Such alignments ought to address all the needs and concerns from various stakeholders including governments, citizens, businesses, and users with respect to expected value and risk appetite in order to achieve optimal level of enterprise performance and conformance.

In sum, ASEAN CSA Summit –Bangkok 2013 is a forum for sharing, discussing, collaborating, and setting a common direction for ASEAN Cloud Computing initiatives. The summit offers various sessions to discuss current critical gaps Cloud Security Alliance-CSA has against standards, good practices, and frameworks regarding IT/IS security driven by enterprise goals and ASEAN goals. The possible solutions to address those gaps at enterprise and national levels will also be discussed to provide guidance for CIOs, business leaders, and government agencies to consider and pursue in order to achieve benefits realization and effective risk management of Cloud Computing, as well as to optimize ICT resources.

GRC in SEPA and PMQA

ผมขอนำสไลด์ที่ใ้ช้ในการเป็น Panelist เพียง 2-3 สไลด์มาใช้ประกอบให้ท่านผู้อ่านได้ติดตามได้สะดวกขึ้น สำหรับสไลด์ที่เหลืออีกประมาณ 35 สไลด์นั้น ให้ท่านติดตามได้จาก http://www.csathailand.org นะครับ เพราะผมเองในการร่วมเป็น Panelist ก็ใช้เพียง 2-3 สไลด์หลัก ๆ นี้เท่านั้น

Cloud and GRC_Audit1

Cloud and GRC_Audit2

ความจริงข้อมูลข้างต้นผมได้ัจัดทำและนำเผยแพร่ตามที่ผมเข้าใจในกรอบของการจัดงาน ASEAN CSA Summit 2013 Bangkok Thailand ก่อนที่จะเข้ารับฟังและร่วมเป็น Panelists ในหัวข้อ Cloud Governance : Cloud and GRC (Audit) และหลังจากการมีส่วนร่วมในงานนี้แล้ว ผมก็ยังเข้าใจว่า ข้อมูลที่ได้เขียนไว้ก่อนหน้านี้ยังสามารถนำมาสื่อสารและสรุปตามที่กล่าวข้างต้นได้

สำหรับหัวข้อของผมที่พูดถึงเรื่อง GRC และ Audit เนื่องจากมีเวลาค่อนข้างจำกัดมาก ผมจึงอธิบายเรื่อง GRC และ Audit ได้ไม่เต็มที่นัก จึงขอเล่าสู่กันฟังเพิ่มเติมดังนี้ครับ

G+R+C ไม่เท่ากับ และไม่เป็น GRC และไม่ใช่ Integrated GRC อีกด้วย …ฟังแล้วก็อาจอยากฟังต่อ ก็ขออธิบายเชิงเปรียบเทียบเรื่องใกล้ๆตัวนะครับว่า…หิน+ปูน+ทราย ไม่เท่ากับ หรือไม่เป็น “ซิเมนต์” แต่เมื่อนำน้ำผสมคลุกเคล้ากับ หิน+ปูน+ทราย ก็จะได้ “ซิเมนต์” ณที่นี้ ซิเมนต์ก็คือมุมมองของ GRC หรือ Integrated GRC นั่นเอง…น้ำคือ “ความเข้าใจ” ในหลักการและกระบวนการทำงานของ GRC ที่ต้องผสมผสานกับหลักการบริหารแบบบูรณาการ/Integrated Management …หากจะพูดหรืออธิบายว่า..ซิเมนต์ ประกอบด้วย หิน+ปูน+ทราย ผสมกับน้ำ…นั่นคือ หลักการบริหารแบบบูรณการยุคใหม่ที่ไม่อาจบริหารแบบ SILO ให้ได้ผลตามความต้ัองการของผู้มีผลประโยชน์ร่วมได้อีก โดยเฉพาะอย่างยิ่งในยุค “Governance Enterprise of IT หรือ GEIT”

การอธิบาย GRC ในเวลาที่จำกัดตามที่กล่าวข้างต้นพอที่จะทำให้ท่านผู้อ่านได้เข้าใจความหมายของ GRC ได้ดีขึ้นระดับหนึ่ง แต่รายละเอียดต่าง ๆ ที่เกี่ยวข้องกับการบริหารและการจัดการแบบบูรณาการในลักษณะ Integrated Management and Audit นั้น คงต้องเล่ากันเป็นซีรีย์ยาวในโอกาสต่อ ๆ ไปนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

งาน ASEAN CSA-Cloud Security Alliance Summit – Bangkok 2013

กุมภาพันธ์ 4, 2013

วันนี้ผมจะได้พูดถึงเรื่องที่เกี่ยวข้องกับการจัดงาน ASEAN CSA Summit – Bangkok 2013 ในบางมุมมอง ดังนี้นะครับ

ASEAN CSA Summit – Bangkok 2013 จะมีแนวทางสร้างความเข้าใจร่วมกันในระดับหนึ่งของประชาชาติ ASEAN เมื่อมีการใช้ Cloud และผลกระทบที่เกิดขึ้นต่อธุรกิจในระดับ PPP- Public Private Partnership ตลอดจนมุมมองที่ผู้บริหารควรทราบก่อนการตัดสินใจใช้ Cloud และการใช้ Cloud เป็นสะพานเชื่อมโยง ASEAN ICT Master Plan กับ กลยุทธ์ต่างๆของ AEC ในปี 2015

การบริหารในแบบบูรณาการหรือ Integrated-GRC หรือ Integrated IT – GRC ที่มีเรื่อง Cloud นั้น มีความจำเป็นและมีความสำคัญยิ่งของทุกองค์กรและประเทศ ที่สนใจในการใช้ Cloud ไม่ว่าจะเป็น Private cloud หรือ Public cloud เนื่องมาจากค่าใช้จ่ายที่ประหยัดได้มากกว่า มีความสะดวกมากกว่าตามที่รับทราบกันมานั้น ว่า คุ้มค่ากับ Value driver ที่มาคู่กับ Risk driver จากการมีการใช้ Cloud ของผู้ต้องการใช้ในระดับต่าง ๆ มีความเข้าใจในการจัดการกับความเสี่ยงที่เหมาะสม เพื่อขับเคลื่อน Enterprise goals และ/หรือ ASEAN goals ได้ตามเป้าหมายที่กำหนด และมีตัวชี้วัดอะไร ในการติดตามและประเมินความสำเร็จดังกล่าวที่เป็นรูปธรรม

ประเด็นที่น่าคิดและพิจารณาของคณะกรรมการและผู้บริหารของทุกองค์กรและในระดับประเทศก็คือ เราทราบแล้วยังว่า ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของการใช้ Cloud ในมุมมองต่าง ๆ ของ Stakeholders ที่มีผลต่อการขับเคลื่อน Enterprise goals ตามเป้าประสงค์หลักทั้งสี่ของ Performance ที่ควรได้ดุลยภาพกับ Conformance และสัมพันธ์อย่างแนบแน่นกับ IT-related Goals คืออะไร องค์กรหรือประเทศจะสนองตอบและมีคำตอบที่ดี เป็นที่ยอมรับได้ทุกมุมมองอย่างได้ดุลยภาพของ Stakeholder ต่าง ๆ นั้น ควรพิจารณาจากปัจจัยอะไรบ้าง

ASEAN CSA Summit 2013

โดยงาน ASEAN CSA Summit 2013 ที่จะจัดขึ้นในวันที่ 7 – 8 กุมภาพันธ์ 2513 ที่โรงแรมเซ็นทารา แกรนด์ แอท เซ็นทรัลพลาซาลาดพร้าว กรุงเทพฯ ครั้งนี้ ผมเป็นผู้หนึ่งใน panalist ที่จะได้กล่าวถึงเรื่องของ Cloud Governance: Cloud and GRC (Audit) ซึ่งเป็นหัวข้อหรือ topic ในการเสวนา แสวงหาคำตอบ รวมถึงมีแนวทางร่วมกันว่า Cloud Security Alliance – CSA นั้นมีช่องว่างอะไรที่สำคัญเมื่อเทียบกับ Standards-Good practice-Good Framework ที่เกี่ยวกับ IT / IS Security -> IT – related Goals and Enterprise goals สู่ ASEAN หรือ AEC Goals เพื่อสนองตอบต่อ Internal & External Stakeholder หรือ Domestic and International ของทุกกลุ่มได้อย่างลงตัว และผู้บริหารจะมีแนวทางพิจารณาอย่างไรว่า องค์กร/ประเทศ มีคุณภาพในการบริหารผลประโยชน์ต่างๆด้วยการบริหารความเสี่ยง และบริหารทรัพยากรที่มีคุณภาพอย่างเหมาะสม เมื่อองค์กร /ประเทศจะใช้ หรือใช้ Cloud แล้วในการตอบสนองความต้องการของ Stakeholder ระดับต่าง ๆ อย่างมั่นใจได้

สำหรับงานที่จัดขึ้นนี้ยังมีรายละเอียดของหัวข้ออื่น ๆ ที่น่าสนใจอีกมากมาย ท่านผู้บริหาร หรือผู้ที่สนใจ หากมีโอกาสผมแนะนำให้ไปร่วมงาน โดยไม่มีค่าใช้จ่าย ซึ่งทุกท่านสามารถติดตามได้ที่ http://www.csathailand.org/ แล้วพบกันที่งานนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Cloud and Integrated GRC and Integrated IT – GRC

มกราคม 11, 2013

ปัจจุบันหลายองค์กรในหลาย ๆ ประเทศ ทั้งภาครัฐและเอกชน ต่างให้ความสนใจในการใช้ Cloud ซึ่งมีการประชาสัมพันธ์ว่า สะดวก รวดเร็ว คล่องตัว และประหยัด ทำให้ผู้บริหารระดับประเทศ ระดับองค์กรต่าง ๆ ให้ความสนใจเป็นอย่างมาก และมีความต้องการใช้เทคโนโลยี “Cloud”

วันนี้ผมจึงมีเรื่องพูดคุยกันในหัวข้อที่น่าสนใจคือ Cloud Security Alliance – CSA ที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ในทุกระดับว่า ควรจะมีแนวทางในการตัดสินใจอย่างไรบ้างเกี่ยวกับการใช้ Cloud เพราะหากไม่เข้าใจในเรื่อง Cloud อย่างแท้จริง โดยเฉพาะอย่างยิ่ง การบริหารจัดการกับความเสี่ยงที่ยอมรับได้ในมุมมองต่าง ๆ ก็จะก่อให้เกิดผลเสียเกินกว่าที่จะยอมรับได้นั้น จะมีแนวทางพิจารณาในเบื้องต้นอย่างไร ก่อนที่จะลงในรายละเอียดเพื่อตัดสินใจในเรื่องการใช้ Cloud เพราะมีต้นทุนในการตัดสินใจที่สูงมาก หากผู้บริหารตัดสินใจใช้ Cloud โดยไม่เข้าใจผลกระทบอย่างแท้จริงในมุมมองต่าง ๆ ที่มีผลต่อการดำเนินงาน ซึ่งอาจมีผลถึงการดำเ้นินงานอย่างต่อเนื่องอย่างมีนัยสำคัญได้ ซึ่งเป็นการพิสูจน์ในที่สุดว่า องค์กรได้ตัดสินใจผิดพลาดแล้วจากความไม่พร้อมในกระบวนการบริหารจัดการกับความเสี่ยงอย่างบูรณาการ (Integrated Risk Management)

Cloud and Integrated GRC and Risk Appetite

จากที่ผมได้กล่าวถึงข้างต้น เราควรจะมีแนวทางสร้างความเข้าใจร่วมกันในระดับหนึ่งของกลุ่มผู้ใช้ระบบ เมื่อมีการใช้ Cloud และผลกระทบที่เกิดขึ้นต่อธุรกิจในระดับ PPP- Public Private Partnership ตลอดจนมุมมองที่ผู้บริหารควรทราบก่อนการตัดสินใจใช้ Cloud และการใช้ Cloud เป็นสะพานเชื่อมโยงไปสู่กลยุทธ์ต่าง ๆ ในการวางแผนการดำเนินงานขององค์กร

การบริหารในแบบบูรณาการหรือ Integrated-GRC หรือ Integrated IT – GRC ที่มีเรื่อง Cloud นั้น มีความจำเป็นและเป็นสิ่งสำคัญอย่างยิ่งของทุกองค์กร และประเทศ ที่สนใจในการใช้ Cloud ไม่ว่าจะเป็น Private cloud หรือ Public cloud เนื่องมาจากค่าใช้จ่ายที่ประหยัดได้มากกว่า มีความสะดวกมากกว่าตามที่รับทราบกันมานั้น ว่า คุ้มค่ากับ Value driver ที่มาคู่กับ Risk driver จากการมีการใช้ Cloud ของผู้ต้องการใช้ในระดับต่าง ๆ มีความเข้าใจในการจัดการกับความเสี่ยงที่เหมาะสม เพื่อขับเคลื่อน Enterprise goals ได้ตามเป้าหมายที่กำหนด และมีตัวชี้วัดอะไร ในการติดตามและประเมินความสำเร็จดังกล่าวที่เป็นรูปธรรม

ประเด็นที่น่าคิดและพิจารณาของคณะกรรมการและผู้บริหารของทุกองค์กรและในระดับประเทศก็คือ เราทราบแล้วหรือยังว่า ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของการใช้ Cloud ในมุมมองต่าง ๆ ของ Stakeholders ที่มีผลต่อการขับเคลื่อน Enterprise goals ตามเป้าประสงค์หลักทั้งสี่ของ Performance ที่ควรได้ดุลยภาพกับ Conformance และสัมพันธ์อย่างแนบแน่นกับ IT-related Goals คืออะไร องค์กรหรือประเทศจะสนองตอบและมีคำตอบที่ดี เป็นที่ยอมรับได้ทุกมุมมองอย่างได้ดุลยภาพของ Stakeholder ต่าง ๆ นั้น ควรพิจารณาจากปัจจัยอะไรบ้าง

เราควรหาคำคอบและมีแนวทางร่วมกันว่า Cloud Security Alliance – CSA นั้นมีช่องว่างอะไรที่สำคัญเมื่อเทียบกับ Standards-Good practice-Good Framework ที่เกี่ยวกับ IT / IS Security -> IT – related Goals and Enterprise goals สู่เป้าหมายขององค์กร เพื่อสนองตอบต่อ Internal & External Stakeholder หรือ Domestic and International ของทุกกลุ่มได้อย่างลงตัว และผู้บริหารจะมีแนวทางพิจารณาอย่างไรว่า องค์กร/ประเทศ มีคุณภาพในการบริหารผลประโยชน์ต่าง ๆ ด้วยการบริหารความเสี่ยง และบริหารทรัพยากรที่มีคุณภาพอย่างเหมาะสม เมื่อองค์กร / ประเทศจะใช้ หรือใช้ Cloud แล้วในการตอบสนองความต้องการของ Stakeholder ระดับต่าง ๆ อย่างมั่นใจได้

ผมจะนำเรื่องนี้มาแลกเปลี่ยนความคิดเห็นกันในโอกาสต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5

ธันวาคม 22, 2012

วิวัฒนาการของ IT Management สู่ GEIT/COBIT5

ก่อนจะก้าวสู่ Quality Management Cycle โดย IT Governance ผ่านกระบวนการบริหารจัดการทางด้านการบริหารสารสนเทศที่ดี ตามกรอบที่เรียกว่า COBIT 4.1 เพื่อการเติบโตอย่างยั่งยืน สนองตอบต่อผู้มีผลประโยชน์ร่วมทั้งภายในและภายนอกองค์กรนั้น องค์กรส่วนใหญ่ได้ผ่านกระบวนการบริหารการจัดการสารสนเทศ ที่เรียกว่า IT Management มาก่อน แต่ก็มีหลายองค์กรที่มีระดับการจัดการ IT Management ที่แตกต่างกันมาก ส่งผลกระทบต่อประสิทธิผลและประสิทธิภาพที่มีต่อ Business Performance ในมุมมองของ Business Balanced Scorecard ทั้ง 4 โดยเฉพาะอย่างยิ่ง การขาดดุลยภาพระหว่าง Business Performance กับ Businesss Conformance ที่กล่าวถึงการบริหารให้สอดคล้องกับกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบ และ คำสั่งต่าง ๆ ที่เกี่ยวข้อง

ดังนั้น หน่วยงานกำกับภาครัฐบางแห่ง จึงมีการกำหนดการประเมินผล IT Managment ซึ่งได้ศึกษามาจากการบริหารการจัดการสารสนเทศที่ดีในเอกสารต่าง ๆ ที่เกี่ยวข้อง ซึ่งก็นับว่าได้ผลดีในระดับหนึ่ง โดยรายละเอียดต่าง ๆ ที่เกี่ยวข้องเป็นการเบื้องต้นนั้น ผมจะได้นำมาเล่าต่อท้ายจากบทสรุปนี้นะครับ ในช่วงเริ่มต้นนี้ ผมเพียงอยากจะเชื่อมโยงและเล่าเรื่องที่เกี่ยวข้องกับวิวัฒนาการ IT Managment ว่าก้าวไปสู่การบริหารแบบ Integrated Single Framework ที่เรียกว่า GEIT/COBIT 5 อย่างไร

แต่ก่อนที่จะก้าวไปสู่การบริหารแบบ Integrated Single Framework ที่เรียกว่า GEIT/COBIT 5 นั้น วิวัฒนาการของการบริหาร IT Management ได้ก้าวไปสู่การบริหารภายใต้หลักการที่เรียกว่า IT Governance ซึ่งก็มีวิวัฒนาการของตัว IT Governance เองมาตามลำดับ ซึ่งต่อไปผมจะได้นำแผนภาพมาเล่าสู่กันฟังในการบรรยายโดยละเอียดนะครับ ในขั้นนี้ ผมขอเล่าจากความก้าวหน้าของ IT Management ที่มีการประเมินผลโดยหน่วยงานภาครัฐ ที่ก้าวไปสู่การบริหารการจัดการที่ดีอย่างเป็นกระบวนการ ที่เรียกว่า COBIT 4.0 – 4.1 ซึ่งทางหน่วยงานกำกับภาครัฐบางแห่ง ก็ได้แนะนำให้หน่วยงานภายใต้สังกัดบริหารตามหลักการสำคัญ 9 กระบวนการ จาก 34 กระบวนการ

ถึงแม้หลักการ COBIT 4.1 จะสนองตอบต่อการบริหารองค์กรในภาพโดยรวมที่ดีพอสมควรแล้วก็ตาม แต่ก็ยังไม่พอเพียง เพราะบางมุมมองของการจัดการทางด้านเทคโนโลยีสารสนเทศ ที่ต้องมีความสัมพันธ์กับเป้าประสงค์ขององค์กร ยังไม่สามารถ Mapping หรือเข้ากันได้ดีนัก และบางกรณี การอธิบายก็ยังมีความสับสนโดยบางมุมมอง วิวัฒนาการของการบริหารแบบบูรณาการหรือที่เรียกว่า Integrated Single Framework จึงเกิดมีขึ้นตามมา ซึ่งเรียกว่า Governance of Enterprise IT – GEIT หรือ Corporate Governance of Enterprise IT ซึ่งเป็นกรอบใหญ่ที่ครอบคลุมกระบวนการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศที่สัมพันธ์กับ Enterprise Goals ที่สามารถสนองตอบต่อผู้มีผลประโยชน์ร่วมทุกฝ่ายได้อย่างลงตัวนั้น เป็นเรื่องที่น่าสนใจเป็นอย่างมาก เพราะ Enterprise Goals สามารถเชื่อมโยงหรือ Mapping ได้อย่างแนบสนิทกับ IT-related Goals ที่สามารถสร้างความเข้าใจให้กับคณะกรรมการ ผู้บริหารระดับสูง และผู้ปฏิบัติที่เกี่ยวข้องได้เป็นอย่างดี

ITM to Integrated IT-GRC to CEIT_COBIT5 in GRC

ผมจึงขอเล่าเรื่องความเป็นมาโดยย่อของ IT Management ที่ก้าวสู่ Integrated Single Framework ที่เรียกว่า GEIT/COBIT 5 สรุปได้ดังนี้

การบริหารสารสนเทศ (IT Management)
ระบบสารสนเทศสามารถนำมาช่วยสนับสนุนการดำเนินงานและเพิ่มประสิทธิภาพขององค์กรโดยทั่วไปได้เป็นอย่างดีและเป็นความจำเป็นอย่างยิ่งที่ทุกองค์กร ไม่ว่าจะมีขนาดเล็กหรือขนาดใหญ่ จะหวังกำไรหรือไม่หวังกำไรก็ตาม ไม่สามารถขาดระบบสารสนเทศเพื่อนำมาใช้ในกระบวนการจัดการที่ดีได้ เพราะสารสนเทศจะมีบทบาทเป็นโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานขององค์กร อันเนื่องมาจากความสามารถของระบบในการรองรับธุรกรรมจำนวนมาก ดังนั้น การบริหารการจัดการสารสนเทศขององค์กร จำเป็นต้องมีการปรับปรุงแผนแม่บทเทคโนโลยีสารสนเทศ (IT Master Plan) ที่สามารถตอบสนองต่อความต้องการและนโยบาย รวมทั้งกลยุทธ์ที่จำเป็นต้องเปลี่ยนแปลงไปตามสภาพแวดล้อมขององค์กร เพื่อให้สนองตอบต่อความต้องการของผู้มีผลประโยชน์ร่วมเป็นหลัก

หน่วยงานกำกับ โดยเฉพาะหน่วยงานการกำกับภาครัฐ จะมีแนวทางการกำหนดการประเมินผลกระบวนการจัดการเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ซึ่งในตอนต้น ๆ จะเรียกว่าเป็นการประเมินในเรื่อง IT Management โดยมีหลักการสั้น ๆ ที่ประกอบด้วย 2 ส่วนหลัก ๆ คือ
ส่วนแรก หน่วยงานต้องจัดให้มี IT Master Plan ที่สัมพันธ์กับ Business Plan และ ส่วนที่สอง การบริหารจัดการสารสนเทศ (IT Management) ที่ต้องประกอบด้วยแผนงานทางด้าน IT ที่สัมพันธ์กับ IT Master Plan โดยมีหัวข้อย่อยที่เกี่ยวกับการประเมินการบริหารจัดการสารสนเทศ ดังนี้

2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการขององค์กร
– ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร
– ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร
– ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
– ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง
– ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early Warning System (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)
– การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)
 การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security)
 การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up)

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
– การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายใน เพื่อสร้างความมั่นใจได้ว่าองค์กรปฏิบัติได้ตาม กฏระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชี และการเงิน
– ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่า ระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)
– การดำเนินงานตามแผนงาน/โครงการหลักด้านสารสนเทศที่มีมูลค่าสูง และมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
– ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)
– การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ใน การผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร
– การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่าง ๆ ของรัฐบาล
– การลดขั้นตอนและการอำนวยความสะดวกแก่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน
 การลดระยะเวลา / ลดขั้นตอน ในการให้บริการด้านการอนุมัติ / อนุญาต
 ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายนอกองค์กร การติดต่อได้หลายช่องทาง หรือ การให้บริการ Online
 การเชื่อมโยงข้อมูลกับหน่วยงานภายนอกอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชนที่มาติดต่อ
 One Stop Service ในการให้บริการต่าง ๆ รวมทั้งที่ร่วมกับหน่วยงานอื่นภายนอกองค์กรเพื่อให้บริการร่วมกันที่จุดเดียว
– ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กรได้
– การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย
– การเปิดเผยข้อมูลต่าง ๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร
– การลดขั้นตอนและการอำนวยความสะดวกแก่พนักงานและผู้รับบริการภายในองค์กร
 การลดระยะเวลา / ลดขั้นตอน ในการให้บริการด้านการอนุมัติ / อนุญาต
 ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายในองค์กร การติดต่อระหว่างหน่วยงานภายในได้หลายช่องทาง
– การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ
– ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้
– การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

ในวันนี้ ผมจึงเล่าแค่เพียงเริ่มต้นถึง IT Management ก่อนที่จะก้าวมาสู่ IT Governance ซึ่งเป็นร่มใหญ่ภายใต้กรอบของ Corporate Governance ก่อนจะก้าวมาสู่ Integrated IT-GRC และ CGEIT/COBIT 5 เท่านั้น ซึ่งในรายละเอียดผมจะได้กล่าวถึงในตอนต่อ ๆ ไปตามลำดับนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (4)

พฤศจิกายน 24, 2012

จากรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยงในรูปแบบต่าง ๆ นั้น ดังที่ผมได้กล่าวไปแล้วว่า การทำ CSA ส่วนใหญ่จะใช้วิธีการประชุมเชิงปฏิบัติการในการทำ CSA แต่ก็ยังมีวิธีการสำรวจและวิธีการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมด้วยเช่นกัน มาติดตามกันว่า 2 วิธีดังกล่าวนี้มีรายละเอียดอย่างไรบ้างกันดีกว่าครับ

วิธีการสำรวจ
แบบสอบถามหรือการทำสำรวจเพื่อ CSA ใช้แบบฟอร์มการสำรวจ ในการเสนอโอกาสเพื่อคำตอบง่าย ๆ ว่า “ใช่/ไม่ใช่” หรือ “มี/ไม่มี” เจ้าของกระบวนการใช้ผลของการสำรวจในการประเมินโครงสร้างการควบคุม

ผู้ตรวจสอบได้มีการใช้แบบสอบถามมาเป็นเวลาหลายปีและนำมาใช้ในการทำ CSA ซึ่งไม่มีความแตกต่างกันมากนัก สิ่งหนึ่งที่แตกต่างระหว่างแบบสอบถามที่ใช้ในการตรวจสอบ และแบบสอบถามที่ใช้ในการทำ CSA คือแบบสอบถามเพื่อใช้ใน CSA จำเป็นต้องเขียนตามภาษาของผู้รับ ไม่ใช้ของผู้ตรวจสอบ เนื่องจากไม่มีผู้รับผิดชอบในการตีความหรือไขข้อสงสัยของคำถามให้ผู้รับ ดังนั้นพวกเขาจะตอบคำถามตามที่เขาตีความหรือข้ามไปหากไม่เข้าใจ

แบบสอบถามถูกใช้บ่อยเมื่อวัฒนธรรมองค์กรไม่ยอมรับหรือสนับสนุนให้มีส่วนร่วมในการตอบในการประชุมเชิงปฏิบัติการ (เมื่อผู้เข้าร่วมไม่อภิปรายอย่างเปิดเผยตรงไปตรงมา) ที่เป็นเช่นนี้เพราะกลัวการโต้ตอบจากผู้บริหาร กลัวการสนับสนุนของกลุ่มเพื่อน หรือปัจจัยอื่น ๆ

การสำรวจสามารถใช้เพื่อขยายขอบเขตที่ครอบคลุมของการประเมินตนเองได้ โดยสามารถส่งแบบสอบถามให้กับคนเป็นจำนวนมากได้ในครั้งเดียว แต่อาจต้องใช้เวลาและความร่วมมืออย่างมากในการรวมคนกลุ่มเดียวกันให้เข้ามาร่วมประชุมเชิงปฏิบัติการ

การตอบสนองของการสำรวจอาจไม่มีการระบุชื่อหรือผู้ตอบอาจถูกขอร้องให้เปิดเผยชื่อ ซึ่งจะส่งผลว่าการมองการตอบนั้น ตอบอย่างซื่อสัตย์และถูกต้องได้อย่างไร ผู้ใช้การสำรวจเกือบทั้งหมดเห็นด้วยว่าการใช้การสำรวจโดยไม่มีการติดตามผลหรือการตรวจสอบการตอบทำให้ไม่ได้ผลลัพธ์ที่ถูกต้อง หากผู้ตอบรู้ว่าไม่มีใครติดตามการตอบของพวกเขา ก็จะมีแนวโน้มการตอบแบบสำรวจในลักษณะที่จะทำให้มีจำนวนงานที่ติดตามน้อยที่สุด ผู้ตอบจำนวนมากกล่าวได้ว่าทุกสิ่งทุกอย่างลงตัว แม้ว่าไม่เป็นความจริง ถ้าพวกเขารู้ว่าไม่มีใครอาจจับเขาได้

การสำรวจสามารถเป็นที่ชื่นชอบในการประชุมเชิงปฏิบัติการบนพื้นฐาน CSA ภายในสภาพแวดล้อมดังต่อไปนี้
• วัฒนธรรมองค์กรไม่พร้อมที่จะแบ่งปันข่าวสารข้อมูลที่ละเอียดอ่อนต่อการควบคุมในการประชุมเชิงปฏิบัติการแบบเปิดเผย
• ผู้บริหารมีความกังวลอย่างมากเกี่ยวกับเวลาที่ต้องการให้ลูกจ้างเข้าร่วมการประชุม
• ผู้ตรวจสอบมองหาหนทางลดค่าใช้จ่ายเพื่อให้ได้มาซึ่งข้อมูลเกี่ยวกับความเสี่ยงเพื่อใช้ในการเตรียมแผนการ ตรวจสอบประจำปี
• ไม่ได้แสดงทักษะในการตรวจสอบในการประชุมเพื่ออำนวยความสะดวก
• ขอบเขตของการประเมินตนเองคือความกว้างขวางขององค์กรและความต้องการข้อมูลข่าวสารอย่างรวดเร็ว

เทคนิคของการสำรวจที่ประสบความสำเร็จ
แม้ว่าจะมีการกล่าวไว้อย่างมากว่า การทำการสำรวจง่ายกว่าการวางแผนและการอำนวยความสะดวกในการประชุม CSA แต่ยังคงใช้ทักษะของตนเองอยู่ด้วย สิ่งที่ดีที่สุดคือการเตรียมการประชุมโดยการฝึกฝน แต่นั่นหมายความว่าจะต้องเกิดการผิดพลาดก่อน การใช้งานใครบางคนให้เกิดประโยชน์สูงสุดด้วยการนำประสบการณ์มาใช้ในการเขียนแบบสำรวจเป็นสิ่งสำคัญ หากส่วนงานเลือกวิธีการสำรวจในการทำ CSA ส่วนงานบริหารทรัพยากรมนุษย์สามารถช่วยได้โดยใช้เทคนิคการสำรวจ

การแนะนำที่เป็นประโยชน์ในการเตรียมแบบสอบถามประกอบด้วย
• ใช้ภาษาของผู้รับ
• ใช้หนึ่งคำถามต่อหนึ่งหัวข้อ
• ใช้คำศัพท์ที่มีความหมายชัดเจน
• ถามคำถามที่ง่ายต่อการตอบในครั้งแรก
• ทำแบบสอบถามให้สั้นและง่าย
• เขียนแบบสอบถามในลักษณะของผู้ปฏิบัติเอง
• แจกและเก็บคืนแบบสอบถามด้วยตนเอง
• ใช้แบบสอบถามให้เป็นเครื่องมือการสนทนาในการสัมภาษณ์

การใช้คำถามต้องการเพียงคำตอบว่า “ใช่” หรือ “ไม่ใช่” ทำให้การสำรวจง่ายในการรวบรวมมากกว่าการใช้คำถามแบบเปิด แต่อาจจะไม่ให้ผลเป็นประโยชน์ต่อการประเมินเพื่อการควบคุม ยกตัวอย่าง มีความแตกต่างมากถึงวิธีที่ผู้จัดการใช้ตอบคำถามสำหรับหน่วยงานของตนเอง
• พนักงานกังวัลในเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (ใช่)
• จะแน่ใจได้อย่างไรว่าพนักงานให้ความสนใจเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)
• พนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงานหรือไม่ (เห็นด้วย)
• จะทราบได้อย่างไรว่าพนักงานเห็นด้วยกับเป้าหมายและวัตถุประสงค์ของหน่วยงาน (ต้องใช้ความคิด)

ดังนั้นการสอบถามจากบุคคลแต่ละโดยตรงจะได้คำตอบที่แตกต่างกว่าหากผู้จัดการแผนกได้ถามคำถามเดียวกันให้กับแผนก

ผลดีและผลเสียของการสำรวจ
การศึกษาวิจัย IIA เรื่อง การนำรูปแบบการควบคุมไปปฏิบัติบัติ: วิธีปฏิบัติที่ดีที่สุด ประกอบด้วยข้อมูลเกี่ยวกับการสำรวจและแบบสอบถามพร้อมด้วยตัวอย่างของการสำรวจ วัตถุประสงค์ของบทนี้เราจะสิ้นสุดเรื่องหัวข้อการสำรวจด้วยการมองผลดีและผลเสียเพื่อใช้เปรียบเทียบการประชุมเชิงปฏิบัติการ

ตามประสบการณ์ของผม การสำรวจหรือแบบสำรวจถูกใช้ประมาณ 30 เปอร์เซ็นต์ของความพยายามในการทำ CSA และมักติดตามด้วยการประชุมเชิงปฏิบัติการหรือการสัมภาษณ์ผลลัพธ์ที่เกิดขึ้น

การวิเคราะห์ที่ทำโดยผู้บริหาร
การวิเคราะห์นี้รวมถึงวิธีทางต่าง ๆ ที่อาจสร้างข้อมูลเกี่ยวกับการควบคุมสำหรับผู้บริหาร การประชุมเชิงปฏิบัติการและการสำรวจเป็นรูปแบบที่นิยมมากสำหรับการทำ CSA

ตัวอย่างบางส่วนของการวิเคราะห์ที่ทำโดยผู้บริหารได้แก่
• แบบสำรวจที่ได้รับการพัฒนาและจัดการโดยผู้บริหารในการสนับสนุนความคิดเห็นเกี่ยวกับการควบคุมภายในที่กฎหมายและกฎระเบียบต้องการ ดังเช่น พระราชบัญญัติการปรับปรุง FDIC
• การอภิปรายท่ามกล่างผู้บริหารการเงินอาวุโสในการสนับสนุนหนังสือนำเสนอประจำปีซึ่งนักบัญชีภายนอกต้องการ
• การสอบสวนหาเหตุผลว่าทำไมการควบคุมเฉพาะเจาะจงถึงล่มสลายหรือล้มเหลว
• การตรวจสอบการนำการควบคุมภายในไปปฏิบัติของระบบใหม่ที่ได้รับพัฒนาหรือการรวมหน่วยทางธุรกิจ

ธรรมชาติและรูปแบบของประเภทของการประเมินตนเองมีความหลากหลาย รูปแบบที่เป็นที่นิยมมากในการทำ CSA และสิ่งที่คนทั่วไปมีแนวโน้มจะคิดถึงเมื่อกล่าวถึง CSA คือการประชุมเชิงปฏิบัติการและการสำรวจ

ตามที่ได้รับทราบไปแล้ว CSA ได้ถูกปฏิบัติอย่างแตกต่างโดยผู้ปฏิบัติทั้งหมด การทำ CSA ที่แตกต่างนั้น ไม่ได้หมายความว่าคนใดคนหนึ่งทำผิด หากการอำนวยความสะดวกในการประชุม, การสำรวจ, หรือการวิเคราะห์อื่น ๆ ช่วยให้องค์กรบรรลุวัตถุประสงค์แล้วสิ่งนั้นย่อมเป็นจุดสำคัญในทางใดทางหนึ่ง

สำหรับครั้งหน้าผมจะมาเล่าให้ฟังว่าทำไมการทำ CSA-Control Self Assessment ถึงต้องกำหนดวัตถุประสงค์ของความเสี่ยงและการควบคุมความเสี่ยง อย่าลืมติดตามนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (3)

ตุลาคม 26, 2012

จากครั้งที่แล้ว ผมได้เล่าสู่กันฟังในเรื่องของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยใช้วิธีการประชุมเชิงปฏิบัติการ ซึ่งเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA และมีการประเมินในรูปแบบต่าง ๆ ดังที่ผมได้กล่าวถึงรูปแบบและวิธีการในภาพรวมไปแล้ว สำหรับวันนี้ผมจะขอเล่าต่อถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบต่าง ๆ เป็นหัวข้อ ๆ เพื่อความชัดเจนยิ่งขึ้น

<strong>ลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการแบบต่าง ๆ </strong>

<strong>แบบฐานจากวัตถุประสงค์</strong>
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• องค์กรจะทำการทบทวนการลงทุน (หากองค์กรปฏิบัติผ่านการจำแนกความเสี่ยงและออกแบบการควบคุมความเสี่ยงโดยการนำ COSOไปปฏิบัติ) โดยใช้เป็นจุดเริ่มต้น
• เริ่มต้นด้วยสมมติฐานที่ว่ามีการออกแบบการควบคุมความเสี่ยงที่ทันสมัยและดี

<strong>แบบฐานจากความเสี่ยง</strong>
• ขั้นตอนของการประชุม คือ การประเมินวัตถุประสงค์ – ความเสี่ยง – การควบคุมความเสี่ยง – ความเสี่ยงที่เหลืออยู่
• ผู้บริหารมักจะให้ความสนใจในการจำแนกความเสี่ยง ดังนั้นพวกเขาจึงชอบวิธีการนี้
• เตรียมการจำแนกความเสี่ยงและการควบคุมโดยตลอด เนื่องจากต้องเริ่มต้นด้วยการจำแนกความเสี่ยงทั้งหมด
• สร้างความแข็งแรงและเสริมสร้างกระบวนการจำแนกความเสี่ยงเพื่อใช้ใน COSO และ กรอบการควบคุมอื่นๆ โดยเสริมสร้างทีมงานให้เข้ามาร่วมในการจำแนกความเสี่ยงมากขึ้น
• การละทิ้งบทบาทดั้งเดิมของผู้ตรวจสอบ (เพื่อประเมินการควบคุม) ในบางองค์กร เป็นเรื่องยากที่จะทำให้ผู้บริหารเชื่อ

<strong>แบบฐานจากการควบคุม</strong>
• ขั้นตอนของการประชุม คือ  ข้อตกลงเรื่องการประเมินความเสี่ยงและการควบคุมความเสี่ยง
• การประชุมกระชับขึ้นเนื่องจากได้มีการจำแนกการควบคุมก่อนเริ่มประชุม
• ผู้อำนวยความสะดวกที่ได้รับปฏิกิริยาโต้ตอบน้อยในระหว่างการประชุมจะทำให้การประชุมดำเนินไปโดยง่าย
• ควรมีการเตรียมการก่อนการประชุมให้มากขึ้นเพื่อจำแนกการควบคุมที่มีอยู่
• อย่าแน่ใจว่ามีการระบุการควบคุมครบถ้วนแล้วอันเนื่องจากการที่ผู้ตรวจสอบได้ทำงานเบื้องต้นทำเสร็จแล้ว
• อย่าให้ผู้เข้าร่วมนำการควบคุมไปใช้หากยังไม่ได้มีการจำแนกการควบคุมความเสี่ยงด้วยตนเอง

<strong>แบบฐานจากกระบวนการ</strong>
• ขั้นตอนของการประชุม คือ  การประเมินวัตถุประสงค์ของกระบวนการ – วัตถุประสงค์ระดับของกิจกรรม
• หัวข้อของการประชุม (กระบวนการทางธุรกิจ) คล้ายคลึงกับวิธีการตรวจสอบอื่นๆ เนื้อหาอาจคุ้นเคยและสะดวกสบายสำหรับผู้ตรวจสอบและผู้บริหารบางคนมากกว่า
• การจัดทำแผนกระบวนการในระดับสูงจะเพิ่มความเข้าใจของผู้เข้าร่วมและกระจายไปสู่การประชุมเชิงปฏิบัติการ
• เช่นเดียวกับการตรวจสอบวิธีการแบบฐานจากกระบวนการ เจ้าของกระบวนการอาจจำแนกได้ยากมีข้อจำกัดในการกระทำใดๆก็ตามอันเนื่องจากความเป็นเจ้าของ
• อาจต้องมีการประชุมเพิ่มขึ้นเพื่อให้ครอบคลุมขอบเขตเดียวกันกับการตรวจสอบแบบฐานจากกระบวนการ ด้วยเหตุนี้จึงดูเหมือนว่าต้องการทรัพยากรมากขึ้น
• การประชุมจะเป็นการรวมผู้เข้าร่วมซึ่งปกติแล้วไม่ได้ทำงานด้วยกัน ซึ่งอาจต้องการทักษะในส่วนของผู้อำนวยความสะดวกเพื่อให้ผู้เข้าร่วมเปิดใจกัน
• ต้องมีการจำแนกวัตถุประสงค์ของแต่ละขั้นตอนหลักของกระบวนการซึ่งมักทำโดยฝ่ายตรวจสอบภายใน เนื่องจากผู้เข้าร่วมและผู้บริหารอาจจะทำได้ด้อยกว่า
• หากกระบวนการมีขอบเขตกว้าง (การขยายองค์กร) ผู้เข้าร่วมอาจจำเป็นต้องเดินทางไปประชุม ดังนั้นจึงมีค่าใช้จ่ายเพิ่มขึ้น

<strong>แบบตามสถานการณ์</strong>
• ขั้นตอนของการประชุม คือ  การทำให้ง่ายขึ้น – อุปสรรค – อภิปรายแก้ไขปัญหาที่เป็นอุปสรรค
• ง่ายต่อการอำนวยความสะดวกและการบันทึกข้อมูล
• อาจไม่ได้ใส่ในวัตถุประสงค์เฉพาะ (ไม่ได้อยู่ที่ระดับที่สูงกว่า โดยมองไปทั่วทั้งส่วนงาน)
• ไม่ได้รวมการประเมินค่าของการควบคุมซึ่งเกี่ยวข้องกับแต่ละวัตถุประสงค์
• ผู้อำนวยความสะดวกใช้เวลาในการเตรียมตัวน้อยเนื่องจากไม่ต้องจำแนกวัตถุประสงค์เฉพาะออกมา

<strong>คุณลักษณะอื่น ๆ ของวิธีการประชุมเชิงปฏิบัติการในรูปแบบต่าง ๆ เหล่านี้</strong>
• ผู้บริหารโดยทั่วไปชอบวิธีการที่มุ่งเน้นวัตถุประสงค์เฉพาะอย่าง เช่น วัตถุประสงค์, ความเสี่ยง และพื้นฐานการควบคุม วิธีการเหล่านี้ช่วยให้ความกระจ่างกับองค์กรในเรื่องวัตถุประสงค์
• แผนกตรวจสอบอาจเชื่อมโยงวัตถุประสงค์เพื่อใช้ในการตรวจสอบแบบดั้งเดิมเข้ากับวัตถุประสงค์ของผู้บริหารซึ่งมีไว้สำหรับองค์กรได้ยาก ดังนั้น CSA ที่มีพื้นฐานจากวัตถุประสงค์ทางธุรกิจที่สามารถเปลี่ยนแปลงได้เพื่อผู้ตรวจสอบ
• ผู้บริหารการตรวจสอบภายนอกบางคนจะมองเห็นการเชื่อมโยงระหว่างวัตถุประสงค์เพื่อองค์กรและวัตถุประสงค์ของการตรวจสอบภายในได้ยาก ดังนั้นผู้บริหารอาจคัดค้านผู้ตรวจสอบในการมองส่วนที่ไม่เกี่ยวกับการเงิน, วัตถุประสงค์ที่ไม่เข้ากัน

จากพื้นฐานของรูปแบบวิธีการที่ใช้ใน CSA ที่กล่าวถึงก่อนหน้านี้ยังมีวิธีการอื่น ๆในการทำ CSA อีกซึ่งไม่ได้อธิบายไว้ในที่นี้ วิธีการทั้ง 5 แบบเกี่ยวข้องกับการอำนวยความสะดวกในการประชุมเชิงปฏิบัติการ แต่ในหลายองค์กรประสบความสำเร็จใช้การประเมินตนเองด้วยวิธีการที่หลากหลาย หรือใช้หลายวิธีร่วมกัน บางวิธีการซึ่งไม่ได้ถูกกล่าวถึงนั้น ไม่ได้หมายความว่าจะเป็นวิธีการที่ไม่ดี หากวิธีการใดประสบความสำเร็จในการปรับปรุงความสามารถขององค์กรให้สามารถบรรลุวัตถุประสงค์ วิธีการนั้นเป็นสิ่งที่ดีสำหรับองค์กรนั้น ๆ วิธีการประชุมเชิงปฏิบัติการที่ได้อธิบายข้างต้นตามแนวคิดเรื่องการประเมินตนเองเพื่อการควบคุมความเสี่ยง และแนวทางเฉพาะส่วนงานที่ได้กล่าวถึงก่อนหน้านี้เป็นวิธีที่ได้รับความนิยมมากที่สุดในการทำ CSA  รูปแบบการประเมินตนเองที่ได้รับความนิยมในการทำ CSA ส่วนใหญ่ 70 เปอร์เซ็นต์เลือกใช้การประชุมเชิงปฏิบัติการในการทำ CSA ส่วนอีก 2 วิธี ได้แก่ การสำรวจและการวิเคราะห์โดยผู้บริหารเป็นรูปแบบที่ได้รับความนิยมถัดมา

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 – รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (2)

กันยายน 25, 2012

วันนี้ผมจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง โดยวิธีการประชุมเชิงปฏิบัติการ ซึ่งจะกล่าวโดยละเอียด จากที่ได้เล่าสู่กันฟังในครั้งก่อน ๆ มาบ้างแล้ว ทำไมถึงต้องใช้วิธีการประชุมเชิงปฏิบัติการ เพราะวิธีการประชุมเชิงปฏิบัติการเป็นวิธีการที่นิยมมากที่สุดในการทำ CSA การประชุมเชิงปฏิบัติการนี้คือ การประชุมที่ช่วยอำนวยความสะดวกโดยผู้ตรวจสอบภายใน และถูกออกแบบให้ประเมินและการควบคุมความเสี่ยง เพื่อให้ได้วัตถุประสงค์หรือกระบวนการออกมา

ตามกฎหัวแม่มือ การประชุมเชิงปฏิบัติการจะมีรวมผู้เข้าร่วม 6-15 คน และ ผู้ตรวจสอบ 2 คน (คนหนึ่งทำหน้าที่อำนวยความสะดวกและอีกคนเป็นผู้บันทึก) และใช้เวลา 2-4 ชม. การประชุมเชิงปฏิบัติการมีการอำนวยความสะดวกและจดบันทึกหลายขนาด หลายรูปแบบ และมีความยาวที่แตกต่างกัน แต่จำนวนเหล่านี้ก็เป็นแบบฉบับแบบหนึ่งที่แสดงให้เห็นได้

แนวการทำ CSA ครอบคลุมรูปแบบหลักของการประชุมเชิงปฏิบัติการของ CSA 4 รูปแบบ คือ
• แบบฐานจากวัตถุประสงค์
• แบบฐานจากความเสี่ยง
• แบบฐานจากการควบคุม
• แบบฐานจากกระบวนการ

ผมขออธิบายรายละเอียดในแต่ละรูปแบบดังนี้นะครับ

การประชุมเชิงปฏิบัติการที่มีรูปแบบฐานจากวัตถุประสงค์

มุ่งเน้นการบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่ม โดยการระบุการควบคุมที่เหมาะสมกับวัตถุประสงค์ ดังนั้นความเสี่ยงที่ยังมีอยู่จะถูกจำแนกออกมา วัตถุประสงค์ของการประชุมคือการระบุว่า เทคนิคการควบคุมมีประสิทธิผลหรือไม่ และผลลัพธ์ที่ได้มีความเสี่ยงที่เหลืออยู่ในระดับที่ยอมรับได้หรือไม่ (ความเสี่ยงส่วนที่เหลือไม่ทำให้การควบคุมลดน้อยลง)

วิธีการนี้กล่าวได้ว่าเป็นการระบุความเสี่ยงในเบื้องต้น และมีการออกแบบการควบคุมเพื่อวัตถุประสงค์ได้ดำเนินการแล้ว และหลังจากการทบทวนการควบคุมที่คงอยู่ในการประชุมเชิงปฏิบัติการ ก็จะมีการสื่อสารความเสี่ยงที่คงอยู่หรือเหลืออยู่ออกไป สิ่งนี้คือกรณีที่องค์กรได้นำกรอบการควบคุมความเสี่ยงเช่น COSO ไปปฏิบัติจนสำเร็จลุล่วงแล้ว และการควบคุมถูกมองว่ารวมอยู่ในงานประจำวันของพนักงานแล้ว ในระหว่างการทำ COSO แต่ละส่วนควรจะประเมินความเสี่ยง และออกแบบการควบคุมความเสี่ยงด้วยตนเอง เพื่อลดความเสี่ยงได้ระบุได้ เนื่องจากผู้บริหารซึ่งเป็นเจ้าของกระบวนการประเมินความเสี่ยงและมีการนำ COSO มาใช้เพื่อช่วยเหลือผู้บริหาร โดยมีสมมติฐานคือผู้บริหารได้ระบุการควบคุมความเสี่ยงที่สมเหตุสมผล ในรูปแบบฐานจากวัตถุประสงค์นี้ CSA เริ่มด้วยการระบุและประเมินการออกแบบการควบคุมความเสี่ยงที่มีอยู่ก่อน

ในบางองค์กรสมมติฐานของการประเมินความเสี่ยงไม่สามารถเป็นจริงได้ ในความเป็นจริงแล้วการประเมินความเสี่ยงอาจเป็นสิ่งที่ CSA ตั้งใจวางไว้อยู่แล้ว การใช้วิธีการแบบฐานจากวัตถุประสงค์ไม่ใช่วิธีที่ดีที่สุดสำหรับองค์กรเหล่า นั้น ควรเลือกวิธีการแบบฐานจากความเสี่ยงแทน

การประชุมเชิงปฏิบัติการแบบฐานจากความเสี่ยง

มุ่งเน้นการจำแนกความเสี่ยงเพื่อนำไปสู่การบรรลุวัตถุประสงค์ การประชุมเชิงปฏิบัติการเริ่มด้วยการจำแนกแยกแยะอุปสรรค สิ่งขัดขวาง (เรียกว่าความเสี่ยงที่มีมาแต่ต้น) ซึ่งเป็นสิ่งขัดขวางการบรรลุวัตถุประสงค์ และจากนั้นจึงจำแนกกิจกรรมการควบคุม เพื่อให้แน่ใจว่าเพียงพอที่จะจัดการกับความเสี่ยงที่เป็นสำคัญ ในท้ายที่สุดความเสี่ยงสำคัญที่ยังเหลืออยู่จะถูกจำแนกออกมา การประชุมเชิงปฏิบัติการที่มีฐานจากความเสี่ยงนี้นำทีมงานเข้ามามีส่วนร่วม โดยใช้กฎเกณฑ์เรื่องวัตถุประสงค์ ความเสี่ยง การควบคุมความเสี่ยงในระหว่างการประชุมเชิงปฏิบัติการ

เช่นเดียวกับวิธีการแบบฐานจากวัตถุประสงค์ คือเกิดขึ้นโดยมีวัตถุประสงค์เป็นพื้นฐาน วิธีการแบบฐานจากความเสี่ยง ตรวจสอบความเสี่ยงเป็นอันดับแรก หลังจากนั้นจึงมองที่การควบคุมก่อนในการประชุม ในขณะที่วิธีการเน้นวัตถุประสงค์มองที่การควบคุมแล้วจึงมองที่ความเสี่ยงที่ ยังเหลืออยู่ วิธีการแบบฐานจากความเสี่ยงอาจส่งผลในการประชุมเชิงปฏิบัติการเรื่องการ ประเมินตนเองมากกว่าวิธีการอื่น ๆ เนื่องจากมีการระบุความเสี่ยงที่เป็นไปได้จากการประชุมเชิงปฏิบัติการ การระบุและอภิปรายรายละเอียดความเสี่ยง ซึ่งมีพื้นฐานบนกรอบแนวคิดเรื่องความเสี่ยงอาจเกิดขึ้นในรูปแบบเช่นนี้

องค์กรที่ได้นำ COSO มาปฏิบัติจะใช้การจำแนกความเสี่ยง และการออกแบบควบคุมเป็นวัตถุประสงค์หลัก ซึ่งถ้าเป็นเช่นนั้น การกลับไปสู่การระบุความเสี่ยงในการประชุมเชิงปฏิบัติการ CSA อาจถูกมองเป็นการคัดลอกงานโดยทีมงาน เมื่อเกิดกรณีนี้ขึ้นรูปแบบฐานจากการควบคุม หรือฐานจากวัตถุประสงค์อาจเป็นประโยชน์มากกว่า

การประชุมเชิงปฏิบัติการแบบฐานจากการควบคุม

มุ่งเน้นว่าทำอย่างไรให้การควบคุมเป็นไปด้วยดี แต่มีความแตกต่างจากสองวิธีการแรก เนื่องจากผู้ตรวจสอบหรืออำนวยความสะดวก ระบุความเสี่ยงที่เป็นปัจจัยและการควบคุมก่อนการประชุมในระหว่างกระบวนการ วางแผนทำ CSA เป็นเสมือนการตรวจสอบแบบดั้งเดิมมากกว่า การจำแนกอาจทำโดยการสัมภาษณ์พร้อมกับผู้บริหารและพนักงาน การแสดงแผนภูมิ เป็นต้น ทางที่ดีข้อมูลควรได้รับโดยตรงจากเอกสารซึ่งดูแลรักษาโดยสมาชิกของทีมงานเอง เนื่องจากเป็นส่วนหนึ่งของความรับผิดชอบของทีมงาน

ในระหว่างการประชุมเชิงปฏิบัติการ ทีมงานจะประเมินว่าทำอย่างไรให้การควบคุมได้ผลในการลดความเสี่ยงและบรรลุ วัตถุประสงค์ วิธีการนี้จะทำให้เกิดการวิเคราะห์ความแตกต่างระหว่างวิธีการที่การควบคุมทำ งาน และวิธีการที่ผู้บริหารตั้งใจทำ เพื่อการควบคุมอันจะทำให้การประชุมเชิงปฏิบัติการใช้เวลาสั้นลง เนื่องจากความเสี่ยงและการควบคุมถูกจำแนกแยกแยะก่อนการประชุมจะเริ่มขึ้น วิธีการนี้จะได้รับความเห็นชอบหากผู้บริหารต้องการการประชุมที่กระชับและ เชื่อว่ามีการควบคุมเพียงพอ

การประชุมเชิงปฏิบัติการแบบฐานจากกระบวนการ

เป็นการตรวจสอบกระบวนการโดยรวบรวมทั้งกิจกรรมที่ปฏิบัติภายในนั้น เป้าหมายของการประชุมคือการประเมิน การทำข้อมูลให้ทันสมัย การตรวจสอบและการปรับปรุงกระบวนการที่เลือกแล้ว คำว่า “กระบวนการ” ในบริบทนี้หมายถึงการมองไปที่ชุดของกิจกรรมที่ต่อเนื่องจากเป้าหมายไปสู่ เป้าหมาย ดังเช่นกระบวนการจัดซื้อ การพัฒนาผลิตภัณฑ์ การเตรียมสัญญา กระบวนการด้านภาษี เป็นต้น

วิธีการนี้มักรวมถึงการจำแนกแยกแยะวัตถุประสงค์ของทั้งกระบวนการทั้งหมด (เช่น ระดับการบริการหรือผลผลิตที่เกิดขึ้น) และขั้นตอนที่หลากหลายของกระบวนการ บางกลุ่มเรียกวัตถุประสงค์ของขั้นตอนที่หลากหลายของกระบวนการว่า “วัตถุประสงค์การควบคุม” หรือ “วัตถุประสงค์ระดับกิจกรรม” ผู้บริหารเห็นด้วยก่อนการอำนวยความสะดวกในการประชุม ในระหว่างการประชุมเชิงปฏิบัติการผู้เข้าร่วมจำแนกความเสี่ยงและการควบคุมจะ ช่วยให้บรรลุแต่ละวัตถุประสงค์ได้ง่ายขึ้น

วิธีการแบบฐานจากกระบวนการ อาจมีการวิเคราะห์อย่างกว้างมากกว่ารูปแบบฐานจากการควบคุม ซึ่งครอบคลุมวัตถุประสงค์อันหลากหลายในกิจกรรมของกระบวนการ วิธีการนี้อาจถูกใช้เชื่อมโยงความพยายามในการปฏิรูปองค์กร หรือความคิดริเริ่มเกี่ยวกับคุณภาพในการปฏิบัติเป็นทีม หรือโดยฝ่ายตรวจสอบนิยมใช้วิธีการแบบฐานจากระบวนการเพื่อการตรวจสอบแบบดั้ง เดิม

การประชุมเชิงปฏิบัติการเรื่องกระบวนการอาจรวมถึงการปฏิรูปองค์กร (ตัวอย่างเช่น การลดค่าใช้จ่ายในการผลิตโดยรวม 10%) หรือกรอบการทำงานภายในซึ่งมีความเสี่ยงเฉพาะและการควบคุมอยู่ด้วย (ตัวอย่างเช่น การผลิตชิ้นส่วนเครื่องจักรก็มีความเสี่ยงเพราะอัตราการปฏิเสธมีเกินกว่า 2%) ข้อเสนอในการเปลี่ยนแปลงแสดงเนิ้อหาด้านความเสี่ยงและการควบคุมความเสี่ยง ที่มีความเฉพาะเจาะจง

แต่ผลลัพธ์ยังคงเน้นที่กระบวนการทางธุรกิจโดยรวม สิ่งนี้ทำให้แน่ใจได้ว่าการรับรองเกี่ยวเนื่องและมุ่งเน้นธุรกิจภายใต้การ ตรวจสอบ บางกลุ่มเริ่มจากการมองภาพรวม วัตถุประสงค์กระบวนการแม้ว่าจุดเน้นจะอยู่บนความเสี่ยงและหรือการควบคุมภาย ในกระบวนการเพื่อการเตรียม วิธีการที่เน้นธุรกิจ

อีกรูปแบบหนึ่งของการประชุมเชิงปฏิบัติการ CSA ที่เรียกว่าวิธีการเชิงส่วนงานหรือสถานการณ์ ก็เป็นที่นิยมด้วยเช่นกัน วิธีการนี้มุ่งเน้นส่วนงานทั้งหมดไม่เพียงแต่มุ่งเน้นวัตถุประสงค์หรือ กระบวนการเพียงอย่างเดียว การประชุมเชิงปฏิบัติการในขั้นพื้นฐานประกอบด้วยการสอบถามทีมงานหรือส่วนงาน 2 คำถาม คือ 1) สิ่งใดจะช่วยทำให้ส่วนงานบรรลุวัตถุประสงค์ และ 2) สิ่งใดขัดขวางการบรรลุวัตถุประสงค์ มีการนำวิธีการที่หลากหลายมาใช้ในการรวบรวมข้อมูล แต่การใช้กระดาษโน้ตกาวติดบนกำแพง เพื่อให้ทุกคนสามารถเห็นคำตอบได้ง่าย เป็นวิธีการรวบรวมข้อมูลโดยเทคโนโลยีระดับล่าง ผู้เข้าร่วมการประชุมตอบคำถาม 1 คำถาม ต่อกระดาษโน้ต 1 แผ่น การสรุปปัจจัยจะเป็นการช่วยหรือขัดขวางแนวคิดของพวกเขา ผลลัพธ์จะถูกจัดกลุ่มและบ่อยครั้งที่กลุ่มจะร่วมกันอภิปรายแก้ปัญหาที่ อุปสรรคอันดับต้นๆอย่างมีศักยภาพ

วิธีการทำ CSA แบบนี้สามารถทำให้ง่ายขึ้น โดยมีผู้อำนวยความสะดวกหรือผู้บันทึกข้อมูล เพราะทีมงานจะเข้ามามีส่วนร่วมในการสร้างและการจัดเรียงข้อมูลดิบมากขึ้น การประชุมไม่มีการติดขัดเป็นคอขวดในกระบวนการบันทึกข้อมูล ผลลัพธ์เป็นภาพรวมอย่างกว้างพร้อมทั้งเนื้อหาเฉพาะของสถานการณ์ปัจจุบันใน ส่วนงาน

สำหรับครั้งหน้าผมจะยังคงเล่าสู่กันฟังต่อในรูปแบบของการประเมินตนเอง เพื่อควบคุมความเสี่ยงด้วยวิธีการประชุมเชิงปฏิบัติการ แต่จะเน้นให้เห็นถึงลักษณะที่แตกต่างของรูปแบบการประชุมเชิงปฏิบัติการในแบบ ต่าง ๆ ที่ได้กล่าวมาข้างต้น อย่าลืมติดตามนะครับ

1 ความเห็น | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 6 รูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (1)

สิงหาคม 17, 2012

ผมได้กล่าวถึงมุมมองของการทำ CSA ในเบื้องต้นมาพอสมควร วันนี้ผมจะมาเล่าในรายละเอียดที่ลึกลงไป โดยจะขอกล่าวถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง สำหรับการทำ CSA จำแนกได้ 3 วิธีการ ได้แก่ การประชุมเพื่ออำนวยความสะดวก(หรือที่รู้จักกันดีว่าการประชุมเชิงปฏิบัติการ), การทำแบบสอบถามหรือแบบสำรวจ และการวิเคราะห์โดยผู้บริหาร ถึงแม้ว่าจะมีการอธิบายแนวทางพื้นฐานทั้ง 3 วิธีอย่างชัดเจนก็ตาม แต่ในองค์กรต่างๆ ก็นิยมใช้การประเมินมากกว่า 1 วิธีในกระบวนการประเมินตนเอง แนวทางต่าง ๆ ที่ใช้ในการประเมิน CSA มีดังต่อไปนี้

ตัวอย่างของการใช้การประเมินตนเองเพื่อควบคุมความเสี่ยง

• ใช้การประชุมเชิงปฏิบัติการกับการออกเสียงแบบไม่ออกนามเพื่อประเมินความเสี่ยง เป็นเสมือนปัจจัยในการพัฒนาแผนการตรวจสอบประจำปี วิธีการนี้จะช่วยจัดการความเสี่ยงรวมถึงการเตรียมการวางแผนได้
• ใช้การประชุมเชิงปฏิบัติการเพื่อการดำเนินธุรกิจหลักระหว่างแผนกต่าง ๆ
• ส่งแบบสอบถามให้กับระดับบริหาร เพื่อให้ประเมินรายการมาตรฐานของการควบคุมวัตถุประสงค์ภายในแผนกของตนเอง รวมทั้งเลือกการตรวจสอบไปปฏิบัติโดยอยู่บนพื้นฐานของการตอบสนอง
• ใช้ขั้นตอนการสัมภาษณ์ในการเริ่มต้นการตรวจสอบ เพื่อเก็บข้อมูลและจัดขอบเขตของการตรวจสอบ
• สลับสับเปลี่ยน CSA และ การตรวจสอบแบบเดิม ดำเนินการตรวจสอบแบบเดิมหนึ่งปี และใช้การประชุมเชิงปฏิบัติการในปีถัดไป
• ใช้ CSA เป็นเสมือนเครื่องมือตรวจสอบเชิงป้องกัน ซึ่งเป็นการปรึกษานอกเหนือความเห็นประจำปีในเรื่องของการควบคุม
• ส่วนงานอื่นนอกเหนือจากหน่วยตรวจสอบภายในใช้ การประชุมเชิงปฏิบัติการ CSA ในการช่วยให้พนักงานเข้าใจวัตถุประสงค์, ความเสี่ยง และการควบคุม
• ส่งแบบสอบถามประจำปีให้กับผู้บริหาร ซึ่งจะช่วยสนับสนุนความคิดเห็นประจำปี ในเรื่องการควบคุมที่ของผู้ตรวจสอบภายนอกต้องการ
• ใช้วิธีการ “เขียนบนกำแพง” เพื่อให้ผู้เข้าร่วมตอบคำถาม 2 คำถาม คือ “ปัจจัยใดบ้างที่ช่วยให้บรรลุวัตถุประสงค์ขององค์กร” และ “ปัจจัยใดบ้างที่เป็นอุปสรรคต่อบรรลุวัตถุประสงค์ขององค์กร”
• ใช้การประชุมเชิงปฏิบัติการในการประเมินการควบคุมสภาพแวดล้อมโดยรวมขององค์กร
• ใช้แบบสอบถามแบบตัวต่อตัวกับผู้บริหารเพื่อแยกแยะความเสี่ยงขององค์กร


การเลือกวิธีการที่ถูกต้องในการทำ CSA
วิธีการของ CSA มีความแตกต่างกัน องค์กรและส่วนงานตรวจสอบจะเลือกวิธีการที่ถูกต้องได้อย่างไร หรือใช้เพียงวิธีเดียวได้ วิธีการทำ CSA ซึ่งใช้การประชุมเชิงปฏิบัติการกับผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกนั้น เป็นวิธีที่องค์กรชื่นชอบ IIA เสนอให้ใช้วิธีการนี้เมื่อวัฒนธรรมสนับสนุนการแสดงออกของผู้เข้าร่วมในการประชุมเชิงปฏิบัติการ แต่ในกรณีที่วัฒนธรรมองค์กรไม่สนับสนุนวิธีการทำ CSA แบบมีส่วนร่วมเหมือนการประชุมเชิงปฏิบัติการ ก็อาจใช้แบบสอบถามและการวิเคราะห์การควบคุมโดยผู้บริหารแทนได้ ปัจจัยอื่น ๆ ในการเลือกวิธีการทำ CSA นอกเหนือจากวัฒนธรรมมีดังนี้

• ธรรมชาติของอุตสาหกรรม เช่น การมีกฎระเบียบที่เข็มงวด การเงิน การผลิต หรือการทำการกุศล
• เนื้อหาความชำนาญและประสบการณ์ของส่วนงานตรวจสอบภายใน เป็นสิ่งใดดีที่สุดสำหรับการริเริ่มการทำ CSA (และเติบโตไปสู่วิธีการอื่นต่อไป)
• ทัศนคติและการสนับสนุนของผู้บริหาร โดยเฉพาะฝ่ายปฏิบัติการ เนื่องจากพวกเขาจะถูกขอร้องให้ส่งพนักงานเข้าประชุมเชิงปฏิบัติการ
• ต้นทุน – การใช้การออกเสียงแบบไม่ระบุนามมีค่าใช้จ่ายสูงและต้องมีการฝึกอบรม
• ความสะดวกสบายของเจ้าหน้าที่ตรวจสอบ โดยเฉพาะการให้ความสะดวก เจ้าหน้าที่ตรวจสอบเชื่อหรือไม่ว่าการทำ CSA ได้ผล และรู้สึกได้รับความสะดวกสบายจากการเป็นผู้นำการประชุมเชิงปฏิบัติการหรือไม่ (การต่อต้านภายในอาจกลายเป็นกลุ่มใหญ่หรือรุนแรง)
• ทรัพยากรของสถานที่ตรวจสอบ สามารถทำ CSA และดูแลโดยใช้แผนตรวจสอบได้หรือไม่
• ทัศนคติของคณะกรรมการตรวจสอบ พวกเขาเชื่อหรือไม่ว่าวิธีการนี้จะได้ผล

ปัจจัยที่มีอิทธิพลเบื้องต้นในการเลือกคือความเป็นมาของการตรวจสอบภายในขององค์กร  หากการตรวจสอบในปัจจุบันแสดงออกเพียงความร่วมมือ หรือการตรวจสอบทางการเงิน และถูกมองเป็นการสืบทอดเป็นดั้งเดิม ดังนั้นวิธีการทำ CSA ในขั้นเริ่มต้นอยู่ซึ่งบนการสำรวจอย่างสั้น อาจเป็นหนทางที่ง่ายในการเริ่มทำ CSA  ในทางตรงข้าม หากการตรวจสอบตามที่เคยปฏิบัติ เป็นการทบทวนเนิ้อหาการปฏิบัติการนั้นมุ่งเน้นวัตถุประสงค์ของธุรกิจ และมีสมาชิกซึ่งมีทักษะในการให้ความช่วยเหลือ ก็อาจเริ่มต้นการปฏิบัติิงานด้วยวิธีการนำการประชุมเชิงปฏิบัติการมาใช้ในการทำ CSA ก็ได้

อีกปัจจัยหนึ่งคือความง่ายของการแนะนำ หรือการเสนอเครื่องมือให้กับผู้บริหาร หากส่วนงานตรวจสอบกำลังแนะนำ CSA และมีการตรวจสอบกระบวนการธุรกิจอยู่แล้ว  วิธีการทำ CSA ที่อยู่บนพื้นฐานของกระบวนการก็อาจให้ประโยชน์บางประการได้ ตัวอย่างเช่น  การตรวจสอบความคุ้นเคยกับกระบวนการ และอาจได้รับความสะดวกจากการใช้เครื่องมือใหม่ในสภาพแวดล้อมเช่นนั้นมากขึ้น ผู้บริหารอาจมองการใช้ CSA ว่าเป็นการขยายตัวตามธรรมชาติของการตรวจสอบแบบดั้งเดิม และเป็นการขัดขวางการแยกออกจากบรรทัดฐานที่มีอยู่ สิ่งนี้เป็นเพียงจุดเริ่มต้น ทีมงานตรวจสอบการทำ CSA จะเพิ่มวิธีการที่แตกต่างอย่างรวดเร็วให้กับรายการเครื่องมือและเทคนิคที่มีอยู่ และประยุกต์ใช้สิ่งที่เหมาะสมตามสถานการณ์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 5 – ข้อขัดแย้งของ CSA

กรกฎาคม 29, 2012

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้ในเป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่าอะไรคือวิธีที่ดีที่สุดในการดำเนินการ ประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลายๆองค์กรจะพบความแตกต่างดังรายการข้างล่างนี้ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ

ความแตกต่างบางประการในการนำไปปฏิบัติมีพอสรุปออกมาเป็นรายการได้ดังนี้

1. รูปแบบ CSA
หลายคนเชื่อว่ารูปแบบของการประชุมเชิงปฏิบัติการ หรืออาจเรียกว่าการประชุมที่อำนวยความสะดวกหรือรูปแบบทีมงานเป็นรูปแบบที่มี ประสิทธิผลสำหรับการทำ CSA ส่วนรูปแบบอื่นที่นิยมกันก็คือการใช้แบบสอบถาม ผู้นำ CSA มาใช้ส่วนใหญ่เลือกใช้รูปแบบการประชุมเชิงปฏิบัติการเพื่อขัดขวางวิธีการใช้ แบบสอบถามหรือการวิเคราะห์CSA ที่ผู้บริหารสร้างขึ้น ในหลายองค์กรอาจใช้การรวมหลาย ๆ วิธีในการทำการประเมินตนเอง ผู้ตรวจสอบกำลังเริ่มลงมือเขียนโปรแกรมการตรวจสอบการประเมินตนเองขึ้นมา โดยสร้างขึ้นจากฝ่ายปฏิบัติการ ในการทำ CSA จะยอมให้ผู้ตรวจสอบเข้ามาเชื่อมโยงฝ่ายต่าง ๆ เพื่อระบุความเสี่ยงและวัตถุประสงค์การควบคุมความเสี่ยง และพัฒนาแบบทดสอบที่จำเป็นต้องนำมาใช้ ผู้ตรวจสอบอาจใช้รูปแบบการประชุมเชิงปฏิบัติการ เพื่อช่วยให้กลุ่มได้ประเมินผลการประเมินด้วยตนเอง และพัฒนาแผนปฏิบัติงานที่ต้องการ หลังจากนั้น ฝ่ายตรวจสอบภายในอาจทำการทดสอบความถูกต้องของผลลัพธ์ด้วย

2. การใช้กรอบควบคุมความเสี่ยง
หลายคนเชื่อว่าการใช้กรอบควบคุมความเสี่ยง เช่น COSO, CoCo หรือ Malcolm Baldrige เป็นสิ่งที่มีความจำเป็นสำหรับการทำ CSA ผู้ใช้ CSA ส่วนใหญ่เลือกใช้กรอบการควบคุมความเสี่ยงเข้ามาช่วยในการระบุและแยกประเภท ความเสี่ยงและการควบคุมความเสี่ยง แต่การใช้กรอบการควบคุมความเสี่ยงนี้ ไม่ได้เป็นการทำให้การทำการประชุมเชิงปฏิบัติการง่ายขึ้น และยังต้องอาศัยทักษะและประสบการณ์ของผู้อำนวยความสะดวกและทีมงาน เพื่อจะได้ทราบว่าการควบคุมความเสี่ยงและความเสี่ยงทั้งหมดนั้นจะมีความคลอ บคลุมครบถ้วน

3. บทบาทการตรวจสอบภายใน
หลายคนเชื่อว่าการตรวจสอบภายในไม่ได้ทำให้เกิดความเป็นเจ้าของสูงสุด ของกระบวนการ CSA และหลายครั้งได้มีการมอบแผนงานในการอำนวยความสะดวกและบทบาทในการรายงานไปให้ ทีมงานทำ ส่วนคนอื่นที่เหลือเชื่อว่าการตรวจสอบภายใน จะช่วยให้เกิดความต่อเนื่องในการอำนวยความสะดวกให้กับการทำการประชุมเชิง ปฏิบัติการ และเป็นจุดรวมสำหรับการวางแผนและการรายงานในการทำ CSA ในทางปฏิบัติฝ่ายตรวจสอบได้มีการมีการโอนความเป็นเจ้าของการประชุมเชิง ปฏิบัติการ ไปให้กับทีมงานน้อยมาก

4. รายงาน CSA
บางคนเชื่อว่าการตรวจสอบภายในควรต้องรายงานผลของ CSA การประชุมเชิงปฏิบัติการให้ผู้บริหารทราบ เช่นเดียวกับการตรวจสอบแบบดั้งเดิม ในขณะที่อีกฝ่ายหนึ่งเชื่อว่าทีมงานในการประชุมเชิงปฏิบัติการควรเป็นผู้ รายงานผล ส่วนมากเมื่อทีมงานได้ทำการรายงานผลจากการทำ CSA การประชุมเชิงปฏิบัติการออกมา รูปแบบของรายงานการตรวจสอบจะเกี่ยวข้องกับเเรื่องการประเมินตนเอง หรือผลจากการทดสอบข้อเท็จจริงหรือการประกันคุณภาพการปฏิบัติงาน

5. การมีส่วนร่วมของฝ่ายบริหาร
หลายคนเชื่อว่าผู้บริหารทีมงานต้องมีส่วนร่วมพร้อมไปกับทีมงานโดยตลอด ขณะที่อีกฝ่ายเชื่อว่าผู้บริหารไม่ต้องเข้ามามีส่วนร่วม ประเด็นที่สำคัญเกี่ยวกับเรื่องนี้คือ เรื่องความสามารถในการได้รับข้อมูลที่เป็นจริงของการประชุมเชิงปฏิบัติการ จากการปฏิบัติงานจริง ซึ่งอาจต้องการการใช้การลงคะแนนแบบไม่ระบุชื่อถ้าผู้บริหารเข้ามามีส่วนร่วม ด้วย

6. การประกันคุณภาพ
หลายคนเชื่อว่าการตรวจสอบภายในต้องดำเนินการตรวจสอบการประกันคุณภาพเพื่อยืน ยันผลการประเมินตนเอง ส่วนอีกฝ่ายเชื่อว่าไม่จำเป็นต้องมีการตรวจสอบ การประกันคุณภาพเป็นเรื่องจำเป็นถ้ามีการนำการประเมินตนเองมาใช้แทนการตรวจ สอบภายใน เพื่อให้ได้มาซึ่งควมคิดเห็นในภาพรวมของการควบคุมภายใน การทดสอบการควบคุมที่ถูกต้องควรกระทำในส่วนใดส่วนหนึ่งของกระบวนการเมื่อนำ CSA มาใช้เป็นการตรวจสอบ

7. ความสัมพันธ์กับการตรวจสอบภายใน
บางคนได้โต้แย้งว่าทั้งผู้ตรวจสอบและผู้อำนวยความสะดวก CSA มีการขัดผลประโยชน์กัน ดังนั้นผู้อำนวยความสะดวก CSA สำหรับบางธุรกิจไม่ควรเป็นผู้ตรวจสอบในธุรกิจนั้น ความหมายใหม่ของการตรวจสอบภายในได้ออกมาในปลายปี 1999 โดยมีขอบเขตของการตรวจสอบภายในที่กว้างขวางชัดเจนขึ้นในการรวมกิจกรรมการให้ คำปรึกษา และพบว่าในทางปฏิบัติการดำเนินงาน CSA ขององค์กรไม่มีประเด็นที่เป็นอิสระไปจากการทำ CSA เลย

บางครั้งจากข้อขัดแย้งดังกล่าวข้างต้น แผนกตรวจสอบจะดำเนินการแตกต่างกันเพียงเล็กน้อยในการนำ CSA มาใช้ และบางครั้งก็อาจเรียกหรือให้ความหมายของ CSA ที่แตกต่างกัน ดังนี้

– การประเมินความเสี่ยงและการควบคุมความเสี่ยงด้วยตนเอง
– การประเมินการเปลี่ยนแปลงด้วยตนเอง
– การประเมินการอำนวยความสะดวกด้วยตัวเอง
– กระบวนการประเมินการบริหาร
– การประเมินการบริหารด้วยตัวเอง
– โปรแกรมการประเมินและตรวจสอบการควบคุม
– โปรแกรมการตรวจสอบการควบคุม
– การประเมินการมีส่วนร่วมของความเสี่ยงและการควบคุมความเสี่ยง
– การประเมินทางธุรกิจด้วยตัวเอง
– การประเมินความเสี่ยงทางธุรกิจ
– การประเมินการเปลี่ยนแปลงของความเสี่ยงและสมรรถภาพ

สถานการณ์ที่ CSA ไม่เหมาะสม
จากประโยชน์ที่ได้กล่าวถึงข้างต้น และการที่ผู้ตรวจสอบได้มีการนำ CSA ไปใช้มากขึ้น แต่กลับไม่ได้มีการนำ CSA ไปใช้ตลอดเวลา เนื่องจากแผนกที่นำ CSA ไปใช้ส่วนใหญ่ใช้พยายามในการทำการตรวจสอบเพียงร้อยละ 30-40 เท่านั้น ดังนั้นจึงเกิดคำถามที่ว่าเมื่อไรที่ CSA ไม่เหมาะสม เมื่อไรที่ CSA ไม่ใช่เครื่องมือตรวจสอบที่ถูกต้อง

กระบวนการ CSA ช่วยในการทำการประชุมเชิงปฏิบัติการ หรือสำรวจผู้มีส่วนร่วมในฐานะผู้เชี่ยวชาญในงานที่ได้ทำหรือการตรวจสอบ สถานการณ์ ถ้าสมมุติฐานไม่ถูกต้องนั่นอาจทำให้ CSA ไม่เหมาะสม ซึ่งจะเกิดขึ้นได้ถ้าทุกคนยังไม่มีประสบการณ์ในการจัดการกับปริมาณการเข้า ออกงานที่เพิ่มขึ้นสูง และการเจริญเติบโตอย่างรวดเร็ว โดยทุกคนจะไม่สามารถตอบได้ว่า จะใช้วิธีใดมาใช้แทนในการทำให้องค์กรบรรลุวัตถุประสงค์ กลุ่มเหล่านี้จะได้รับประโยชน์จากการอภิปรายอำนวยความสะดวกในเรื่องของวัตถุ ประสงค์ วิธีการ เป้าหมาย ฯลฯ แต่จะยังไม่สามารถทำการประเมินความเสี่ยง และการควบคุมความเสี่ยงได้อย่างเหมาะสม เนื่องจากยังไม่มีความรู้ในเรื่องนั้นเลย ถ้าผู้ตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้กับการประชุมเชิงปฏิบัติการ หรือการอภิปรายผู้บริหารเข้าเข้ามามีส่วนร่วมในการประชุมเชิงปฏิบัติการด้วย เพื่อช่วยให้วัตถุประสงค์ของทีมงานสอดคล้องกับวัตถุประสงค์โดยรวมขององค์กร

CSA อาจไม่เหมาะสมหรืออาจไม่จำเป็นต้องพิจารณาเป็นพิเศษในสถานการณ์ต่าง ๆ ดังนี้
1. พนักงานไม่ได้เป็นผู้เชี่ยวชาญในสาขาเฉพาะด้านตามที่ได้กล่าวถึงในข้างต้น
2. การคาดคะเนผิดพลาด ซึ่งอาจทำให้ยากตัดสินใจว่าใครควรเป็นผู้ดำเนินการใน การประชุมเชิงปฏิบัติการ
3. การเปลี่ยนแปลงขององค์กรอย่างรวดเร็ว เช่น การรวมกิจการและการเข้าครอบครองกิจการ การลดขนาดองค์กร การ takeovers ซึ่งอาจทำให้พนักงานไม่เข้าใจวัตถุประสงค์หรือการจ้างงานในระยะยาวของเขา อย่างชัดเจน
4. วัฒนธรรมไม่สนับสนุนหรือการสื่อสารอย่างมีประโยชน์ การเปิดเผยข้อมูล และความไว้ใจได้ ดังนั้นจึงทำให้ฝ่ายบริหารไม่สนใจผลที่เกิดขึ้นจาก CSA
5. ผู้บริหารไม่ได้ให้การสนับสนุนพนักงานในเรื่องที่เกี่ยวข้องกับการระบุความเสี่ยงและการควบคุมความเสี่ยงอย่างเพียงพอ
6. สิ่งที่คาดหวังของผู้บริหารคือ การทำให้เกิดการยอมรับคำสั่งของฝ่ายตรวจสอบและ/หรือการตรวจสอบกฎระเบียบ
7. ผู้อำนวยการการตรวจสอบไม่เชื่อว่าพนักงานมีทรัพยากรหรือทักษะที่เพียงพอใน การทำ CSA ซึ่งอาจทำให้ตัดสินใจรอจนกระทั่งมีการพัฒนาทักษะแล้วจึงนำไปปฏิบัติ

เรื่องของ CSA ยังมีรายละเอียดอีกมากมาย ครั้งหน้าผมจะมาเล่าถึงรูปแบบของการประเมินตนเองเพื่อควบคุมความเสี่ยง (CSA) ต่อนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »