COBIT 5 and Policies กับการสัมมนาของสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ

มิถุนายน 28, 2012

ผมไม่ได้มาเล่าเรื่องที่น่าสนใจต่าง ๆ ในคอลัมน์คุยกับผู้เขียนเป็นเวลานานพอสมควร ต้องขออภัยท่านผู้อ่านทุกท่านนะครับ แต่ผมก็มีเรื่องราวที่น่าสนใจนำมาลงในคอลัมน์อื่น ๆ เป็นประจำทุกเดือนตลอดมา ในวันนี้ผมจึงขอเล่าเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการองค์กรแบบบูรณาการ ที่เกี่ยวข้องกับการจัดการทางด้านเทคโนโลยีสารสนเทศ ที่นับวันจะมีบทบาทเพิ่มมากขึ้นในทุกองค์กร ในทุกระดับของการจัดการ และในทุกประเทศทั่วโลก เพราะความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ มีผลกระทบต่อการดำเนินงานทางธุรกิจมากมายมหาศาล โดยเฉพาะอย่างยิ่ง การที่ระบบขัดข้อง การเข้าถึงของบุคคลผู้ไม่มีสิทธิ ไม่มีอำนาจในการเข้าถึงระบบงานสำคัญ ๆ ภายในหน่วยงาน ที่ผู้บริหารและผู้ที่เกี่ยวข้องยังไม่สามารถที่จะจัดการเรื่องนี้ได้อย่างเป็นรูปธรรมนั้น มีปรากฎอยู่ในองค์กรหลายแห่งทั่วโลก รวมทั้งในประเทศไทย ซึ่งผลจากการสำรวจเรื่องนี้ได้ข้อมูลที่น่าสนใจว่า ความเสี่ยงจากระบบล่ม และไม่อาจจะกู้กลับคืนมาในระยะเวลาที่องค์กรยอมรับได้นั้น มีสูงยิ่งกว่าภัยจากปัญหาน้ำท่วมเป็นอันมาก นอกจากนี้ ระบบ Cloud Computing ซึ่งกำลังได้รับการแพร่หลายทั่วโลก ทั้ง ๆ ที่มีความเสี่ยงที่หลายองค์กรไม่น่าจะยอมรับได้นั้น ก็สร้างความเป็นห่วงเป็นใยให้กับผู้บริหารและผู้ที่เกี่ยวข้องในองค์กรต่าง ๆ จนถึงทุกวันนี้

แม้ระบบคลาวด์กำลังเป็นที่นิยมมากขึ้น แต่ผู้เชี่ยวชาญด้านคอมพิวเตอร์เตือนผ่านสำนักข่าวเอเอฟพีว่าให้ระวังคลาวด์ปลอมของอาชญากรไว้ด้วย โดยสำนักข่าวเอเอฟพีรายงานเมื่อ 24 มิ.ย. ว่า แม้ระบบการเชื่อมต่อฐานข้อมูลเฉพาะผ่านทางอินเทอร์เน็ต หรือ “คลาวด์” กำลังเป็นที่นิยมมากขึ้นเรื่อย ๆ แต่ปัญหาความปลอดภัยยังน่าวิตก ซึ่งระบบ “คลาวด์” เกี่ยวข้องกับฐานข้อมูล อาทิ อีเมล์หรือเพลงส่วนตัวซึ่งสามารถเข้าถึงได้โดยทางคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทรอนิกส์พกพาต่าง ๆ เช่น สมาร์ทโฟน และกองทัพกับรัฐบาลสหรัฐฯ รวมทั้ง “ซีไอเอ” ก็หันมาใช้ระบบคลาวด์ เพื่อให้เข้าถึงข้อมูลได้ทั่วโลก ลดค่าใช้จ่ายและปลอดภัยมากขึ้น

ขณะที่ นักวิเคราะห์คาดการณ์ว่าสหรัฐฯ จะทุ่มเงินกับระบบคลาวด์มากขึ้นจาก 31,000 ล้านดอลลาร์ในปี 2554 เป็น 82,000 ล้านดอลลาร์ในปี 2559 และบริษัทใหญ่ ๆ อย่างไมโครซอฟต์ กูเกิล อเมซอน ก็ใช้คลาวด์เช่นกัน แต่ให้ระวังอาชญากรไซเบอร์ ซึ่งจะขโมยข้อมูลไปได้ครั้งละมหาศาล ถึงแม้การจารกรรมข้อมูลโดยพวกแฮกเกอร์สมัครเล่นจะทำกับระบบคลาวด์ได้ยากกว่า

นอกจากนี้ให้ระวัง “คลาวด์ปลอม” ของพวกอาชญากรไซเบอร์ ดังที่พบในจีนและรัสเซีย อย่างไรก็ตาม สถาบันเอ็มไอทีของสหรัฐฯ พยายามพัฒนาระบบ “ซ่อมตัวเอง” ถ้าระบบคลาวด์ถูกโจมตี ดังที่เครือข่ายเพลย์ สเตชั่นของโซนี,  บริการจีเมล์ ของกูเกิล เคยถูกโจมตีมาแล้ว และเมื่อเร็ว ๆ นี้  แฮกเกอร์รายหนึ่งอ้างว่าสามารถขโมยหมายเลขบัตรเครดิตไปจากธนาคารใหญ่ 79 แห่งได้ ซึ่งเป็นข่าวที่ผู้บริหารระดับสูงของหลายองค์กรทั่วโลกกำลังให้ความสนใจ โดยเฉพาะอย่างยิ่งจากความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจที่ถูกกำหนดไว้ในรูปของประโยคคำถาม เช่น

– องค์กรจะบริหารจัดการด้านประสิทธิภาพและประสิทธิผลของเทคโนโลยีสารสนเทศได้อย่างไร
– องค์กรจะรู้ได้อย่างไรว่าได้ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้องแล้ว
– องค์กรจะรู้ได้อย่างไรว่าได้ระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญ ๆ ครบถ้วนแล้ว
– องค์กรจะรู้ได้อย่างไรว่าการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ทำอยู่มีประสิทธิภาพและประสิทธิผล และสามารถรองรับหรือจัดการกับปัญหาหรือเหตุการณ์ด้านระบบต่าง ๆ ที่อาจเกิดขึ้นได้
– องค์กรจะควบคุมค่าใช้จ่ายด้านเทคโนโลยีสารสนเทศได้อย่างไร และใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศให้เกิดประสิทธิภาพและประสิทธิผลมากที่สุดได้อย่างไร
– องค์กรจะได้รับคุณค่าหรือประโยชน์จากการนำเทคโนโลยีสารสนเทศมาใช้งานได้อย่างไร
– +++

คำถามต่าง ๆ ดังกล่าวข้างต้นในบางส่วนนั้น ผู้ที่เกี่ยวข้องในทางธุรกิจภายในองค์กร ได้แก่ Board, CEO, Chief Financial Officer (CFO), Chief Information Officer (CIO), Business Executive, Business Process Owner, Business Managers, Risk Managers, Security Managers, Service Managers, HR Managers, Internal Audit, Privacy Officers, IT Users, IT Managers, etc.

สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ (ISACA/Information Systems Audit and Control Association – Bangkok Chapter) และ ISACA สากลได้ออก COBIT5 ซึ่งเป็น Version ใหม่ล่าสุดของกรอบการดำเนินงานสำหรับการกำกับดูแลด้านเทคโนโลยีสารสนเทศ มาให้ผู้ประกอบวิชาชีพที่เกี่ยวข้องทั้งหลายได้ใช้ประโยชน์ เมื่อวันที่ 10 เมษายน 2555 ที่ผ่านมานี้ ผู้เชี่ยวชาญในสาขาอาชีพที่เกี่ยวข้องได้กล่าวเป็นเสียงเดียวกันว่า COBIT5 ประกอบด้วยสาระความรู้ที่ครอบคลุมและนำไปใช้ได้จริง โดยได้ปรับเนื้อหา โครงสร้างและเพิ่มเติมแนวคิดและแนวทางปฏิบัติหลายประการไว้ใน COBIT5

ทางสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ – ภาคพื้นกรุงเทพฯ เห็นว่า COBIT5 จะเป็นประโยชน์อย่างมากสำหรับองค์กรและผู้ประกอบวิชาชีพที่เกี่ยวข้อง การที่บุคลากรในองค์กรจะสามารถนำ COBIT5 ไปใช้ให้เกิดประโยชน์ได้จริงและโดยได้รับการสนับสนุนจากผู้บริหารระดับสูงนั้น จึงมีความสำคัญอย่างยิ่ง ดังนั้น ทางสมาคมฯ จึงได้จัดงานสัมมนา “Building IT Governance for Sustainable Growth with COBIT5” ขึ้นเพื่อเผยแพร่ความรู้ ความเข้าใจ ตลอดจนแนะนำแนวทางในการนำไปใช้ให้เกิดประโยชน์ต่อองค์กร ในวันพุธที่ 22 สิงหาคม 2555 ณ ห้องเลอ คองคอร์ด บอลรูม โรงแรมสวิส เลอ คองคอร์ด รัชดาภิเษก กรุงเทพฯ

ซึ่งผมคิดว่างานนี้จะมีประโยชน์อย่างยิ่งกับท่านผู้บริหารและผู้ปฏิบัติงานทุกระดับที่เกี่ยวข้องกับการบริหารแบบบูรณาการและการจัดการที่ดี ซึ่งจะทำให้ได้รับความรู้ ความเข้าใจ มิใช่เพียงเฉพาะการบริหารจัดการเทคโนโลยีสารสนเทศเท่านั้น แต่จะได้รับความรู้ที่เกี่ยวข้องกับการบริหารจัดการองค์กรในภาพโดยรวมที่เกี่ยวข้องกับ หลักการและนโยบายองค์กร, โครงสร้างบุคลากร, วัฒนธรรม จริยธรรม และความประพฤติ, ข้อมูล, โครงสร้างพื้นฐานของการให้บริการสารสนเทศ, ทักษะ ความรู้ ความสามารถของบุคลากร และกระบวนการต่าง ๆ ที่องค์กรต้องสร้างและจัดทำขึ้นมาเพื่อให้สามารถบรรลุเป้าหมายตามที่ต้องการได้อย่างมีประสิทธิภาพอย่างแท้จริง ซึ่งทุกท่านสามารถจะติดตามรายละเอียดงานสัมมนาได้จาก www.isaca-bangkok.org ครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 4 – ประโยชน์ของ CSA และข้อควรคำนึงถึง

มิถุนายน 28, 2012

เมื่อมีการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กร นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร ดังที่ได้กล่าวถึงในครั้งที่แล้ว การเปลี่ยนแปลงจากการนำ CSA มาใช้ และการเคลื่อนไหวของ CSA โดยทั่วไป จะก่อให้เกิดประโยชน์และข้อควรคำนึงถึงเป็นจำนวนมาก ประโยชน์และสิ่งที่ควรคำนึงถึงนี้อาจมองได้หลายมุมมอง เช่น ประโยชน์ต่อองค์กรการตรวจสอบภายใน ประโยชน์ต่อกระบวนการทางธุรกิจ อุปสรรคจากการนำ CSA มาปรับใช้ เป็นต้น ซึ่งผมจะขอกล่าวถึงประโยชน์ของ CSA โดยหลัก ๆ ดังนี้

1. CSA ช่วยให้พนักงานสายงานหลักในทุกระดับมีความเข้าใจและคาดการณ์ถึงหน้าที่ความ รับผิดชอบ และสามารถตรวจสอบประสิทธิผลของการควบคุมความเสี่ยงและการบริหารความเสี่ยง ได้อย่างถูกต้องมากขึ้น CSA ประกอบด้วยส่วนประกอบด้านการศึกษาที่สำคัญ ที่ช่วยให้พนักงานสายงานหลักเกิดความเข้าใจเรื่องความเสี่ยงและการบริหาร ความเสี่ยงได้ดีขึ้น ในฐานะที่เป็นผู้ที่เกี่ยวข้องโดยตรงต่อการปฏิบัติงานโดยผู้อำนวยความสะดวก ตัวอย่างเช่น การสื่อสารที่มีประสิทธิภาพและโอกาสในการสอนงาน ในท้ายที่สุด ผู้ตรวจสอบจะเปลี่ยนแปลงทัศนคติและความเข้าใจของทีม เรื่องการควบคุมความเสี่ยงและความเสี่ยงที่อาจเป็นประโยชน์อย่างมากในการทำ CSA

2. เกิดการการปฏิบัติที่ถูกต้องมากขึ้น เนื่องจากผู้มีส่วนร่วมในการทำ CSA เกิดความเป็นเจ้าของในผลลัพธ์ที่เกิดขึ้น การประชุมเชิงปฏิบัติการ และการตรวจสอบแบบดั้งเดิมที่ล้มเหลวในด้านการสร้างความเข้าใจ หรือการกล่าวถึงสิ่งที่ต้องคำนึงถึงในการบริหาร จะนำไปสู่ข้อเสนอแนะที่ไม่สามารถนำไปปฏิบัติได้ ซึ่งจะสร้างผลลัพธ์ในทางลบให้กับ CSA การนำไปสู่ความสับสน และเกิดความขัดแย้งระหว่างพนักงานสายงานหลักและผู้บริหาร

3. CSA จะจัดเตรียมประเด็นที่สำคัญที่ครอบคลุมกว้างขวางเนื่องจากผู้เชี่ยวชาญ ทีมงานสามารถเน้นไปยังความเสี่ยงและการควบคุมความเสี่ยงได้อย่างรวดเร็ว

4. CSA ช่วยปรับปรุงการสื่อสารในทุกระดับเนื่องจาก การประชุมเชิงปฏิบัติการ ประกอบด้วยหลาย ๆ องค์ประกอบ เช่น ที่ตั้ง แผนก หน้าที่ และบุคลากรทุกระดับ

5. CSA สอนให้ผู้มีส่วนร่วมทราบถึงวิธีการวิเคราะห์และรายงานการควบคุมภายใน ดังนั้นจึงช่วยเพิ่มความตื่นตัวเรื่องการควบคุมให้เกิดขึ้นทั่วทั้งองค์กร ซึ่ง CSA จะช่วยในการปรับปรุงสภาพแวดล้อมทางการควบคุมขององค์กร โดยช่วยเพิ่มความตระหนักถึงวัตถุประสงค์ขององค์กรและบทบาทของการควบคุมภายใน อันจะทำให้เกิดผลสำเร็จตามเป้าหมายและวัตถุประสงค์ รวมถึงการจูงใจให้บุคลากรทำการออกแบบหรือนำกระบวนการควบคุมไปปฏิบัติอย่าง ระมัดระวัง และมีการปรับปรุงกระบวนการดำเนินการควบคุมอย่างต่อเนื่อง

นอกจากนี้ CSA ยังมีประโยขน์ในด้านอื่น ๆ คือ ช่วยให้ผู้ตรวจสอบเน้นไปยังเนื้อหาความเสี่ยงในระดับสูงเท่านั้น และยังมุ่งความสนใจไปยังความพยายามในการตรวจสอบแบบดั้งเดิมในเรื่องดังกล่าว ด้วย อีกทั้งการประชุมเชิงปฏิบัติการด้าน CSA จะช่วยให้เกิดการเตรียมตัวอย่างไม่เป็นทางการ หรือการควบคุมร่วมกันที่ยากต่อการประเมินด้วยการตรวจสอบแบบดั้งเดิม

นอกเหนือจากประโยชน์ในการทำ CSA แล้ว ยังมีข้อควรคำนึงถึงหรืออุปสรรคในการบรรลุผลสำเร็จ ดังนี้

1. บุคลากรจะต่อต้านการเปลี่ยนแปลงแ ละการนำ CSA มาใช้นั้นได้แสดงให้เห็นว่า เป็นการเปลี่ยนแปลงสำหรับทั้งผู้ตรวจสอบและผู้ถูกตรวจสอบ หลายองค์กรจึงอาจค่อย ๆ ยอมรับวิธีการใหม่นี้อย่างช้า ๆ

2. ฝ่ายบริหารอาจไม่เชื่อว่าพนักงานสายงานหลักจะสามารถรับผิดชอบงานด้านการควบ คุม และการบริหารความเสี่ยงได้อย่างมีประสิทธิผล โดยอาจมองว่า CSA เป็นเพียงการเปลี่ยนของงาน (วิธีการที่ผู้ตรวจสอบภายในมอบให้พนักงานสายงานหลักเข้ามาทำงานด้านการตรวจ สอบเอง) ในกรณีนี้ผู้บริหารจะส่งเสริมให้กลุ่มใดกลุ่มหนึ่ง นั่นก็คือผู้ตรวจสอบภายใน เป็นผู้มีหน้าที่ความรับผิดชอบเรื่องความเสี่ยงและการควบคุมความเสี่ยง และไม่ได้มอบหน้าที่ความรับผิดชอบให้กับตัวพนักงานสายงานหลักเหล่านั้นเอง

3. การอภิปรายอย่างเปิดเผยอาจเป็นการเปิดองค์กรให้เกิดความเสี่ยงทางกฎหมาย ถ้าการอภิปรายนั้นได้เปิดเผยถึงการกระทำที่ไม่ถูกกฎหมาย ความรุนแรงของนโยบายด้านจริยธรรม หรือประเด็นอื่น ๆ ผู้อำนวยความสะดวกอาจจำเป็นที่จะต้องตัดสินใจว่า การประชุมเชิงปฏิบัติการต้องหยุดลงหรือดำเนินการต่อไป หรือวิธีที่จะกระจายผลลัพธ์นั้นออกไป

4. ผลของ CSA อาจไม่ถูกต้องเนื่องจากผู้มีส่วนร่วมไม่มีความรู้ที่ดีพอหรือไม่เปิดเผย หรือผู้อำนวยความสะดวกไม่ได้รับสาเหตุที่เป็นรากเหง้าของประเด็นนั้นอย่าง แท้จริง

5. ในหลายวัฒนธรรมไม่เป็นวัฒนธรรมเปิดและไม่มีการเปิดเผย และการอภิปรายอย่างเปิดเผยทำให้การประชุมเชิงปฏิบัติการไม่ได้รับปัจจัยนำ เข้าที่เชื่อถือได้

6. ความสามารถในการควบคุมและการบริหารความเสี่ยง จะเกี่ยวข้องกับการผึกอบรมเพิ่มเติมให้กับพนักงาน และการเพิ่มความผูกพันในการรักษากระบวนการ CSA ให้ทำหน้าที่อย่างมีประสิทธิผลและทันเวลา

7. ในกรณีศึกษาส่วนใหญ่ เจ้าหน้าที่ตรวจสอบภายในไม่มีทักษะทางด้านการเป็นผู้อำนวยความสะดวกและการเป็นผู้สอน

8. การเปลี่ยนแปลงอย่างมีคุณภาพโดยรวม การพัฒนาองค์กร และบุคลากรที่นำการประชุมเชิงปฏิบัติการมาใช้อำนวยความสะดวกในการทำงาน โดยอาจมอง CSA ว่าเป็นการบังคับ เนื่องจากมีการใช้เครื่องมือที่มีลักษณะเหมือนกันหลาย ๆ เครื่องมือ

9. ท้ายที่สุดแล้วจะเกิดคำถามว่าผู้ตรวจสอบภายใน หรือผู้ถูกตรวจสอบเป็นเจ้าของ CSA ผู้อำนวยการการตรวจสอบจะทำการตลาด และบูรณาการ CSA มาใช้ในองค์กรได้อย่างไร ถ้าไม่มีการบริหารจัดการที่ดี

แม้ว่าได้มีการพิจารณายอมรับให้นำ CSA มาใช้เป็นเครื่องมือในการประเมินผลกันมากขึ้น แต่ก็ยังมีประเด็นที่ต้องคำนึงถึงอีกหลายประการที่ผู้มีส่วนร่วมใน CSA ยังมีความแตกแยกกันในเรื่องที่ว่า อะไรคือวิธีที่ดีที่สุดในการดำเนินการประเมินตนเอง ในที่นี้เราจะเรียกว่าเป็นข้อขัดแย้ง ถ้าได้ทบทวนรายละเอียดของแนวทางด้าน CSA ขององค์กรหลาย ๆ องค์กร จะพบความแตกต่างหลายประการ แต่นั่นก็ไม่ได้หมายความว่าแนวทางของใครดีหรือไม่ดี เป็นเพียงความแตกต่างที่เกิดขึ้น ความยืดหยุ่นและความแตกต่างของประสบการณ์จาก CSA นี้จะแสดงให้เห็นว่ามีหลายวิธีที่จะนำไปประยุกต์ใช้ให้ประสบความสำเร็จ ซึ่งผมจะนำมาเล่าสู่กันฟังในครั้งหน้านะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 3 – การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้

พ.ค. 22, 2012

ในครั้งที่แล้วผมได้พูดถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) ซึ่งถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น การทำ CSA อาจทำออกมาในรูปแบบของโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์ หากองค์กรใดมีการจัดทำ CSA หรือนำ CSA มาประยุกต์ใช้ อาจทำให้เกิดการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กร โดยเฉพาะอย่างยิ่งการเปลี่ยนแปลงหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับการควบคุมภายใน ในวิธีการแบบดั้งเดิม และแบบวิธีการ CSA ซึ่งผมจะขอนำเสนอเป็นแผนภาพตาราง พร้อมอธิบายควบคู่กันไปดังนี้นะครับ

จากตารางข้างต้น หน้าที่ความรับผิดชอบของการควบคุมภายใน รวมทั้งการกำหนดวัตถุประสงค์และการประเมินความเสี่ยงและการควบคุมความเสี่ยงที่เกี่ยวข้อง ไม่ใช่การเปลี่ยนแปลงที่เกิดขึ้นจากการนำ CSA มาใช้ นั่นคือยังคงเป็นหน้าที่ของฝ่ายบริหารอยู่ ความหมายของการประเมินการควบคุมภายในนั้น รวมถึงการประเมินความเสี่ยงด้วย จะเห็นได้ว่าการประเมินและการควบคุมความเสี่ยงได้มีการเปลี่ยนแปลงไปจากการนำ CSA มาใช้ นั่นคือเปลี่ยนจากความรับผิดชอบที่เป็นของผู้ตรวจสอบมาเป็นความรับผิดชอบของทีมงาน ซึ่งนับว่าเป็นการเปลี่ยนแปลงอย่างยิ่งใหญ่ที่ต่างไปจากแนวทางการตรวจสอบแบบดั้งเดิม

ผู้ตรวจสอบทั้งหมดเห็นด้วยว่า ผู้บริหารต้องมีหน้าที่ในการควบคุมภายในด้วย แต่บางคนได้โต้แย้งว่าการให้ผู้ตรวจสอบภายในประเมินประสิทธิผลของการควบคุมเองนั้น ทำให้เกิดความสับสนขึ้นมาได้ เนื่องจากผู้บริหารอ้างว่า เมื่อเขามีหน้าที่ในการควบคุมภายในด้วย ทำใมจึงต้องให้บุคคลภายนอก(ผู้ตรวจสอบ) เป็นผู้ประเมินผลการควบคุม จึงก่อใก้เกิดการเปลี่ยนแปลงขึ้น โดยผู้บริหารจะเป็นผู้ประเมินความเหมาะสมของประสิทธิผลของหน้าที่ความรับผิดชอบหรืองานที่เป็นของเขาเอง แต่แนวทางการควบคุมภายในทำให้การควบคุมนั้นมีความแตกต่างหรือมีลักษณะพิเศษ ทำให้ผู้บริหารต้องสละความรับผิดชอบด้านการควบคุมนี้ ไปให้กับผู้ที่มีความเชี่ยวชาญเป็นพิเศษ นั่นคือผู้ตรวจสอบที่จะเป็นผู้ประเมินความเหมาะสมในทุก ๆ เรื่อง

การประเมินตนเองเป็นเรื่องของความพยายามในการเปลี่ยนแปลง โดยการสอบถามผู้บริหารถึงเรื่องหน้าที่ความรับผิดชอบสำหรับการควบคุม และสอบถามทีมงานในเรื่องเกี่ยวกับความรู้ที่มีเกี่ยวกับรายละเอียดของธุรกิจ เพื่อประเมินความเหมาะสมของการควบคุม ผู้ตรวจสอบภายในจึงเป็นผู้อำนวยความสะดวก มีหน้าที่ในการให้แนวทางแก่ผู้บริหารและพนักงาน ในกระบวนการประเมินโดยอาศัยความเชี่ยวชาญและประสบการณ์ที่มีอยู่

เมื่อย้อนกลับไปดูที่ตารางข้างต้นอีกครั้งจะเห็นได้ว่า การรายงานการควบคุมเป็นสิ่งที่ต้องมีในรายงานของผู้ตรวจสอบในแนวทางแบบดั้งเดิม ส่วนใน CSA อาจต้องมีการทำรายงานขึ้นมาจากการประชุมเชิงปฏิบัติการที่จะนำไปสู่ผู้บริหารระดับถัดไปในเรื่องการประเมินการควบคุม รายงานที่ทีมงานสร้างขึ้นจากการทำการประชุมเชิงปฏิบัติการ จะไม่ใช่รายงานของผู้ตรวจสอบ แม้ว่าอาจจะมีข้อเสนอแนะของฝ่ายตรวจสอบด้วย แนวทางของหน้าที่ความรับผิดชอบ การประเมินและการรายงานที่ร่วมกันสร้างขึ้นมา จะช่วยเพิ่มระดับความผูกพันในการควบคุมและประเมินความเสี่ยงในองค์กร มากกว่าหน้าที่ความรับผิดชอบและรายงานที่พวกเข้าไม่ได้มีส่วนร่วมหรือเป็นเจ้าของ ในการทำ CSA เมื่อทีมงานสร้างรายงานเสร็จแล้ว ทีมงานและผู้บริหารจะเกิดความเข้าใจเรื่องการควบคุมมากขึ้น ในเรื่องของวัตถุประสงค์ เป้าหมายและหน้าที่ความรับผิดชอบอื่น ๆ ที่เป็นของพวกเขาเอง ซึ่งหลังจากขั้นตอนดังกล่าว การควบคุมก็จะเป็นสิ่งที่ช่วยให้องค์กรสามารถบรรลุผลสำเร็จตามวัตถุประสงค์ได้นั่นเอง

ผู้ที่จะสามารถบอกได้ว่าการประเมินความเสี่ยง และการควบคุมความเสี่ยงนั้น ถูกต้องหรือไม่ในแนวทางแบบดั้งเดิมคือผู้ตรวจสอบ โดยอาศัยความเห็นในเรื่องความเหมาะสมของการควบคุมของผู้ตรวจสอบเอง ความช่วยเหลือของผู้บริหารฝ่ายตรวจสอบ โดยการตรวจสอบและสั่งงานผู้ตรวจสอบ ผู้บริหารตามสายงานก็อาจมีส่วนช่วยด้วย โดยการตรวจสอบผลของการตรวจสอบนั้น และผู้ตรวจสอบภายนอกก็อาจช่วยได้ด้วยเช่นกัน โดยการตรวจสอบรายงานทางการเงิน

ในการนำ CSA มาใช้ ทำให้การอธิบายหน้าที่ความรับผิดชอบในการตรวจสอบความถูกต้องของการประเมินความเสี่ยง และการควบคุมความเสี่ยงมีความชัดเจนมากขึ้น โดยผู้ตรวจสอบภายในจะแสดงบทบาทในการประกันคุณภาพ อันเป็นผลจากการนำการทดสอบการควบคุมมาใช้ การทดสอบที่เคยทำในการตรวจสอบแบบดั้งเดิมในการนำ CSA มาใช้ก็ยังคงมีอยู่ แต่อาจจะเน้นไปที่ความสำคัญของการควบคุมที่ทีมงานได้กำหนดไว้ในการประเมินตนเอง กระบวนการประกันคุณภาพ ไม่ใช่เรื่องที่จะทำการทดสอบกันได้ง่าย ๆ เป็นแนวทางที่มีขั้นตอนซับซ้อน ที่ต้องเริ่มจากการวางแผนการประเมินตนเองและผลลัพธ์ ร่วมกับการทดสอบในการตรวจสอบพิเศษ หรือการตรวจสอบแบบดั้งเดิม ทีมงานอาจต้องตรวจสอบความถูกต้องร่วมกับผู้ตรวจสอบโดยการสุ่มตรวจความถูกต้อง

CSA มักสร้างกลไกที่นำวัตถุประสงค์ไปใช้ในกระบวนการประเมินตนเอง การออกแบบการตรวจสอบแบบดั้งเดิม มักออกแบบมาให้สอดคล้องกับวัตถุประสงค์ในการควบคุม เช่น วัตถุประสงค์ ความเสี่ยง และจุดเน้นในระดับปฏิบัติการที่ถูกนำมาใช้เป็นเครื่องมือในการประเมินของ COSO การแยกวัตถุประสงค์ของการควบคุมเป็นแนวทางออกไปจากวัตถุประสงค์ของผู้บริหารหรือของธุรกิจ CSA จะช่วยผู้บริหารในการระบุและ/หรือการตรวจสอบเรื่องที่เกี่ยวข้องที่จะกระทบวัตถุประสงค์หลักทางธุรกิจ เช่น การปรับปรุงผลิตภัณฑ์ จริยธรรมที่ดีขึ้น ระยะเวลาที่รวดเร็วขึ้น ความถูกต้องของการออกแบบระบบ กระบวนการ CSA มักเริ่มต้นจากวัตถุประสงค์ทางธุรกิจของผู้บริหาร มากกว่าวัตถุประสงค์ในการควบคุมความเสี่ยง ที่ผู้ตรวจสอบภายในกำหนดขึ้น นั่นหมายถึง ผู้บริหารและทีมงานล้วนสนใจผลที่เกิดจาก CSA ดังนั้น การประเมินตนเอง จึงเน้นไปที่วัตถุประสงค์ของพวกเขาเอง ไม่ใช่วัตถุประสงค์ที่ผู้ตรวจสอบแนะนำ

ในการนำ CSA มาใช้ในการประเมินตนเองเพื่อควบคุมความเสี่ยงขององค์กรแล้ว นอกจากจะต้องเข้าใจในเรื่องการเปลี่ยนแปลงหลาย ๆ อย่างภายในองค์กรดังที่ได้กล่าวมาแล้วในข้างต้น ยังมีประโยชน์และข้อควรคำนึงถึงในการทำ CSA ด้วย ซึ่งผมขอนำเสนอในโอกาสต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment ตอนที่ 2

เมษายน 11, 2012

เมื่อกล่าวถึงการประเมินตนเองเพื่อควบคุมความเสี่ยง (Control Self-Assessment : CSA) การประเมินตนเองเพื่อควบคุมความเสี่ยงถือเป็นเครื่องมือช่วยพัฒนาสมรรถภาพ ขององค์กรให้สามารถบรรลุวัตถุประสงค์ทางธุรกิจได้ง่ายขึ้น โดยอาจทำออกมาในรูปแบบของการประชุมเชิงปฏิบัติการ หรือการประชุมที่ฝ่ายตรวจสอบภายในเป็นผู้อำนวยความสะดวกให้

การประชุมเชิงปฏิบัติการอาจประยุกต์ออกมาเป็นโครงการ กระบวนการ หน่วยธุรกิจ หน้าที่ หรือระดับพื้นฐานอื่น ๆ ที่มีการระบุวัตถุประสงค์ที่ชัดเจน การประชุมเชิงปฏิบัติการที่เกิดขึ้นจะเกี่ยวข้องกับบุคลากรที่มีหน้าที่รับ ผิดชอบโดยตรงต่อการบรรลุวัตถุประสงค์ขององค์กร และเป็นผู้ที่ออกแบบการประเมินเพื่อการตรวจสอบ การประเมินความเสี่ยง และรายงานความเป็นไปได้ของการบรรลุผลสำเร็จตามวัตถุประสงค์

แต่ก่อนจะลงลึกไปในรายละเอียดของการทำ CSA หรือการประเมินตนเองเพื่อควบคุมความเสี่ยงโดยผู้ตรวจสอบภายใน ผมจะขออธิบายถึงความหมาย หรือคำจำกัดความของ CSA เพื่อความเข้าใจที่ตรงกันในภาพโดยรวมดังนี้ ครับ

ผู้ตรวจสอบภายในเป็นกลุ่มส่วนใหญ่ที่ริเริ่มนำ CSA มาใช้ในองค์กร CSA จึงเป็นเครื่องมือสำหรับองค์กรทั้งหมด องค์กรจะได้รับประโยชน์จาการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองอย่างแพร่หลาย ประกอบกับการยอมรับการนำ CSA มาใช้เป็นเครื่องมือในการประเมินตนเองของแผนกที่มีความเชี่ยวชาญอื่น ๆ เช่น แผนกทรัพยากรมนุษย์ หรือการพัฒนาองค์กรที่ได้มีการจัดการประชุมเพื่ออำนวยความสะดวกขึ้นมา อันจะทำให้ให้สามารถมองเห็นแนวคิด CSA กันมากขึ้น

วัตถุประสงค์ของ CSA คือการช่วยให้องค์กรสามารถประเมินความเป็นไปได้ในการบรรลุวัตถุประสงค์ของ องค์กร โดยจะช่วยในการให้ความรู้แก่ผู้ปฏิบัติงาน ที่มีหน้าที่รับผิดชอบต่อการบรรลุวัตถุประสงค์ขององค์กร CSA เป็นกระบวนการเชิงรุกที่สนับสนุนให้ทีมงานมีการประเมิน และสามารถให้คำแนะนำสำหรับการปรับปรุง เพื่อเพิ่มโอกาสในการบรรลุวัตถุประสงค์ ทีมงานในที่นี้ก็คือกลุ่มของพนักงานที่ทำงานเกี่ยวกับวัตถุประสงค์หรือเป้า หมายโดยทั่วไป

คำจำกัดความของ CSA
ความหมายที่เป็นทางการของ CSA นั้นมีหลายความหมาย สำหรับความหมายที่สถาบันผู้ตรวจสอบภายใน (Institute of Internal Auditors : IIA) ได้พัฒนาขึ้นมาโดยอาศัยความร่วมมือจากองค์กรและที่ปรึกษาที่เกี่ยวข้องกับ CSA นั้นสามารถพิจารณาได้เป็น 2 ความหมายดังนี้

1. ความหมายที่พัฒนาขึ้นในปี 1995 โดย Glenda Jordan
องค์กรที่ใช้การประเมินตนเองเป็นกระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทาง การ ที่ซึ่งผู้บริหาร และ/หรือทีมงานได้เข้ามามีส่วนเกี่ยวข้องโดยตรงกับหน้าที่ทางธุรกิจ ดังนี้

– พิจารณาประสิทธิผลของกระบวนการนำมาใช้แทนที่ และ
– ตัดสินใจในเรื่องที่แน่ใจว่าจะเป็นโอกาสในการบรรลุวัตถุประสงค์ทางธุรกิจบางประการหรือทั้งหมดได้อย่างสมเหตุสมผล

คำบางคำในความหมายดังกล่าวอาจใช้คำอื่นเข้ามาแทนเพื่อให้เกิดความเน้นย้ำ มากขึ้นได้ เช่น คำว่า “พิจารณาประสิทธิผล” อาจแทนด้วยคำว่า “ประเมินประสิทธิผล” เพื่อเป็นการตอกย้ำกระบวนการประเมินผลที่เรียกในชื่อว่าการประเมินตนเอง เพื่อควบคุมความเสี่ยง และคำว่า “กระบวนการแทนที่” อาจใช้คำว่า “การควบคุมภายใน” ดังนั้นการควบคุมจึงเป็นสิ่งที่ต้องปฏิบัติเพื่อให้เกิดการบรรลุวัตถุ ประสงค์องค์กร

ในความหมายนี้ใช้คำว่าผู้บริหาร และ/หรือทีมงาน(ไม่ใช้คำว่าผู้ตรวจสอบภายใน) เป็นผู้ประเมินการควบคุมภายใน นั่นก็คือใช้คำว่า “ตนเอง” ในการประเมินตนเองเพื่อควบคุมความเสี่ยง และทำให้มีการปรับเปลี่ยนบทบาทจากแบบดั้งเดิมที่ผู้ตรวจสอบภายในเป็นผู้ ประเมินประสิทธิผลของการควบคุมแทนเพื่อให้เกิดการบรรลุวัตถุประสงค์ การกล่าวว่า “กระบวนการที่มีการรวบรวมเอกสารอย่างเป็นทางการ” ประกอบด้วยสองกระบวนการหลัก หรือรูปแบบของการประเมินตนเอง อันได้แก่ การประชุมเชิงปฏิบัติการ และการสำรวจ ซึ่งทั้งสองอย่างนี้เป็นการประเมินที่ผู้บริหารและ/หรือทีมงานเข้ามาเกี่ยว ข้องโดยตรงกับการบรรลุวัตถุประสงค์ทางธุรกิจ

2. ความหมายที่ตีพิมพ์ใน IIA ในปี 1998
CSA เป็นกระบวนการที่ใช้ในการตรวจสอบและประเมินผลของฝ่ายตรวจสอบภายในอย่างมี ประสิทธิผล เป็นการทำให้เกิดความแน่ใจว่าได้มีการเตรียมการเพื่อทำให้วัตถุประสงค์ทั้ง หมดนั้นสามารถบรรลุผลสำเร็จได้

ในความหมายที่สองนี้ CSA ยังคงประกอบด้วยขอบเขตที่กว้างขวางเหมือนกับความหมายแรก นั่นคือคำว่า “วัตถุประสงค์ทางธุรกิจทั้งหมด” ซึ่งจะเป็นการเชื่อมโยงระหว่างการควบคุมภายในที่มีประสิทธิผลกับการบรรลุ วัตถุประสงค์

ความหมายทั้งสองอย่างนี้ไม่ได้มีการกล่าวถึงคำว่า “ความเสี่ยง” แม้ว่าการประเมินความเสี่ยงจะเป็นหัวใจสำคัญของการทำ CSA เนื่องจากการรวมคำว่าความเสี่ยงไว้ใน CSA เป็นผลพลอยได้ ถ้ายอมรับแนวคิดเรื่องความสัมพันธ์ของวัตถุประสงค์ ความเสี่ยงและการควบคุมความเสี่ยง ดังนั้น การนำการประเมินการควบคุมความเสี่ยงมาใช้เพื่อให้บรรลุวัตถุประสงค์ จึงเป็นไปไม่ได้ที่จะไม่มีการพิจารณาถึงเรื่องของความเสี่ยงที่อาจเป็นตัว ขัดขวางการบรรลุผลสำเร็จของวัตถุประสงค์

ดังนั้นเมื่อคุณเน้นไปที่เรื่องของความเสี่ยงหรือการควบคุมความเสี่ยง ตั้งแต่แรกในการประเมินกระบวนการแล้ว คุณก็ไม่สามารถที่จะประเมินสิ่งหนึ่งโดยปราศจากความเข้าใจถึงสิ่งอื่น ๆ ได้ ตัวอย่างเช่น เมื่อจะกล่าวถึงแบบจำลองทางธุรกิจพื้นฐานที่ประกอบด้วยความสัมพันธ์ระหว่าง องค์ประกอบต่าง ๆ ทั้งหมด 3 ประการ ในขั้นแรกจะต้องเข้าใจวัตถุประสงค์ เพื่อที่จะประเมินความเสี่ยงของความล้มเหลวในการบรรลุวัตถุประสงค์ ต่อมาก็นำความเสี่ยงมาบริหารให้อยู่ในระดับที่ยอมรับได้ โดยการเพิ่ม การลด หรือการดัดแปลงการควบคุมความเสี่ยงต่าง ๆ ในขณะที่ได้ตัดสินใจให้ผู้หนึ่งเข้ามาเน้นย้ำให้กับคนอื่น เพื่อให้บรรลุความต้องการในระยะสั้นของการประชุมเชิงปฏิบัติการ ควรจะต้องมีการนำผลลัพธ์ที่ได้กลับไปสู่เนื้อหาของแบบจำลองธุรกิจด้วย

แม้ว่าความหมายที่กล่าวมานี้ได้มีการแสดงให้เห็น CSA มากขึ้น แต่ก็ยังยากที่จะนำไปใช้ เมื่อมีคำถามว่า CSA คืออะไร ก็อาจตอบไปว่าเป็นวิธีการที่จะช่วยให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ ที่กำหนดไว้นั่นเอง

สิ่งที่ทำให้ CSA เป็น CSA
CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่นอย่างไร เป็นคำถามที่ผู้ตรวจสอบหรือผู้ที่กำลังเรียนรู้เรื่อง CSA อาจต้องหาคำตอบ สิ่งที่ทำให้ CSA ต่างจากรูปแบบการตรวจสอบประเภทอื่น สามารถพิจารณาได้ดังนี้ บางส่วนอาจมีความขัดแย้งกันเนื่องจาก CSA และการตรวจสอบแบบดั้งเดิมมีความแตกต่างกันจากองค์กรหนึ่งสู่อีกองค์กรหนึ่ง

– พนักงานสายงานหลัก ไม่ใช่ผู้ตรวจสอบภายใน เป็นผู้ประเมินการควบคุมภายใน
– หน่วยงานต่าง ๆ ในองค์กรสามารถทำการประเมินตนเองได้เอง โดยไม่ต้องอาศัยการมีส่วนร่วมของฝ่ายตรวจสอบภายใน
– เครื่องมือที่ช่วยในการประเมินตนเองซึ่งอาจเป็นสิ่งใหม่สำหรับผู้ตรวจสอบภาย ใน เช่น ทักษะการอำนวยความสะดวก การสำรวจ การลงคะแนนแบบไม่ออกนาม หรือหน่วยโครงการอื่น
– การประเมินตนเองเป็นวิธีที่ดีกว่าในการประเมินแบบไม่เป็นทางการ หรือการควบคุมอย่างไม่เป็นทางการที่ต้องอาศัยความร่วมมือ และการมีส่วนร่วมของคณะผู้ตรวจสอบมากกว่าการตรวจสอบแบบดั้งเดิม
– เรื่องเกี่ยวกับทีมงานหรือผู้ถูกตรวจสอบจะปรากฏในรายงาน CSA มากกว่าผู้ตรวจสอบภายใน
– อาจมีการนำการประชุมเชิงปฏิบัติการมาใช้เพื่อสอนการประเมินความเสี่ยง และการออกแบบการควบคุมภายในให้กับทีมงาน
– บทบาทของผู้ตรวจสอบภายในคือเป็นผู้อำนวยความสะดวกและผู้ให้คำแนะนำ ในเรื่องเกี่ยวกับแนวคิดและความคิดด้านความเสี่ยงและการควบคุมความเสี่ยง
– ผู้ถูกตรวจสอบส่วนใหญ่ชอบ CSA มากกว่ากระบวนการตรวจสอบแบบดั้งเดิม
– ผู้บริหารเข้ามามีส่วนร่วมมากกว่าเข้ามาตรวจสอบ
– เป็นวิธีการสร้างความเป็นไปได้ของผลลัพธ์เกี่ยวกับการมีส่วนร่วมและการให้ความร่วมมือของ CSAที่ดีกว่า

ความแตกต่างเหล่านี้ไม่ใช่ลักษณะเฉพาะของ CSA เป็นสิ่งที่เกิดขึ้นในการตรวจสอบแบบดั้งเดิม ส่วนการประเมินความเสี่ยงและการควบคุมความเสี่ยงสิ่งที่ผู้ปฏิบัติงานเป็น ผู้ดำเนินการ และเป็นการประเมินโดยไม่เกี่ยวข้องกับการตรวจสอบภายใน จึงจะเป็นลักษณะเฉพาะของ CSA อย่างไรก็ตาม แม้ว่าสิ่งเหล่านี้จะเป็นเรื่องที่มีความท้าทายแต่การปฏิบัติของผู้ตรวจสอบ บางกลุ่มในประเด็นเหล่านี้ก็ยังมีความแตกต่างกันอยู่ จึงควรที่จะสรุปความแตกต่างของ CSA กับการตรวจสอบแบบดั้งเดิมออกมาให้ชัดเจน

ถ้ามีการตรวจสอบองค์กรที่นำ CSA มาใช้จะพบว่า แต่ว่าละองค์กรมีความแตกต่างหลักในการทำ CSA ผู้ที่เริ่มนำ CSA ไปปฏิบัติในปลายทศวรรษที่ 1980 ก็จะมีมุมมองด้าน CSA ที่แตกต่างออกไป องค์กรที่เริ่มนำ CSA มาใช้ใหม่จะไม่ได้ให้ความสำคัญกับความแตกต่างเหล่านี้ โดยยังดำเนินการแบบที่เรียกว่า “การตรวจสอบแบบดั้งเดิมอยู่” นั่นหมายความว่า ยังคงมีความแตกต่างในแนวทาง ขอบข่าย การทดสอบ และวิธีการรายงานอยู่ ความหลากหลายของแนวทางสะท้อนให้เห็นถึงความแตกต่างในโครงสร้าง ระดับการมอบอำนาจให้พนักงาน รูปแบบการบริหาร และนโยบายที่องค์กรมีอยู่ นั่นแสดงให้เห็นว่า CSA และรูปแบบการประเมินการควบคุมอื่น ๆ เช่น การตรวจสอบภายในแบบดั้งเดิม จำเป็นที่จะต้องมีการเปลี่ยนแปลงไปตามสถานการณ์การเปลี่ยนแปลงในองค์กร ต้องเป็นเครื่องมือที่สามารถประยุกต์ใช้ได้ตามโอกาสที่เหมาะสม แม้ว่าอาจมีบางส่วนจะไม่เห็นด้วยแต่ CSA ก็ไม่ใช่การตรวจสอบภายในเพื่อเปลี่ยนแปลงวัฒนธรรมขององค์กร เนื่องจากกระบวนการเปลี่ยนแปลงนี้เป็นของฝ่ายบริหารไม่ใช่เป็นของผู้ตรวจสอบ CSA เป็นวิธีการประเมินการควบคุมความเสี่ยงในองค์กรที่พร้อมในการมอบอำนาจให้กับ พนักงาน โดย CSA จะช่วยสนับสนุนให้เกิดการเคลื่อนย้ายอำนาจไปยังพนักงานแต่ไม่ได้ขึ้นอยู่กับ ผู้ตรวจสอบในริเริ่มการเปลี่ยนแปลงนั้นขึ้นมา

ฝ่ายตรวจสอบบางแห่งเริ่มนำ CSA ไปปฏิบัติ โดยกังวลว่าองค์กรอาจไม่ได้ต้องการที่จะประเมินความเสี่ยงด้วยตนเอง โดยจะนำ CSA ไปปฏิบัติให้ช้าลงเพราะเกรงว่าฝ่ายบริหารจะไม่ให้การสนับสนุน แม้ว่า CSA จะเป็นเพียงอีกเครื่องมือหนึ่งที่ใช้ในการตรวจสอบในสถานการณ์ที่เหมาะสม แต่ฝ่ายตรวจสอบกลับพบว่าไม่จำเป็นที่จะต้องมีระดับความสนับสนุนและเห็นชอบ อย่างสูงจากองค์กรในการเริ่มนำมาใช้ นั่นทำให้พอสรุปได้ว่า หากมีการทำการประชุมเชิงปฏิบัติการในขั้นเริ่มต้นสำเร็จก็จะทำให้ฝ่ายบริหาร ให้ความสนับสนุนและต้องการให้มีเพิ่มขึ้นอีก

CSA เป็นเรื่องเกี่ยวกับบุคลากรที่ทำงานทางด้านการประเมินความเสี่ยงและการควบ คุมความเสี่ยง สาเหตุที่ต้องมีการทำ CSA เนื่องจาก CSA มีความแตกต่างจากการตรวจสอบแบบดั้งเดิมที่ผู้ตรวจสอบเป็นผู้พิจารณาความ เหมาะสมของการควบคุม ผู้ตรวจสอบจึงมองกลับไปที่ผู้ที่ถูกตรวจสอบหรือลูกค้าในฐานะผู้เชี่ยวชาญที่ มีความรู้เกี่ยวกับสิ่งที่ต้องดำเนินต่อไปในองค์กรมากกว่าผู้ตรวจสอบ หลังจากนั้นผู้ถูกตรวจสอบก็จะเป็นผู้ทำงานร่วมกับวิธีการทำงานเหล่านั้นทุก วัน อันจะทำให้รู้ถึงปัญหา อุปสรรค ความเสี่ยง และการแก้ปัญหา ผู้ตรวจสอบอาจเข้ามาอีกครั้งใน 2-3 ปี และอยู่ในระยะเวลาสั้น ๆ ส่วนคำถามที่ว่า ทำไมจึงไม่มีผู้ที่มีความเชี่ยวชาญอย่างแท้จริงเข้ามาทำหน้าที่ในการประเมิน การควบคุมความเสี่ยง คำตอบที่ว่านี้ก็คือ การใช้ผู้ที่มีความรู้และประสบการณ์เกี่ยวกับงานที่ทำโดยตรง เข้ามาระบุความเสี่ยงและการควบคุมความเสี่ยงเป็นวิธีการที่ดีกว่านั่นเอง

จากการนำ CSA มาใช้ทำให้เกิดการเปลี่ยนแปลงหลายอย่างภายในองค์กร รวมถึงประโยชน์และข้อคำนึงถึงในการทำ CSA ซึ่งในครั้งหน้าผมจะได้นำมาเล่าสู่กันฟังต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินตนเองเพื่อควบคุมความเสี่ยง – CSA / Controls Self Assessment (ตอนที่ 1)

มีนาคม 23, 2012

ความเข้าใจในเรื่องการบริหารความเสี่ยง เพื่อการควบคุมดูแล (Monitoring) และเพื่อการตรวจสอบ (Audit) นั้น ต้องการใช้ทรัพยากรนอกสายงานปฏิบัติการ เพื่อประเมินความเสี่ยงและการควบคุมความเสี่ยงว่ามีความเหมาะสมเพียงไรหรือไม่ โดยเฉพาะอย่างยิ่งการประเมินความเสี่ยงที่เกี่ยวข้องกับประสิทธิผลและประสิทธิภาพในการใช้ Business Drivers เป็นกรอบในการประเมินความเสี่ยงและการควบคุม

เมื่อพูดถึง Business Driver ผมขออนุญาตที่จะทบทวนความหมาย เพื่อให้เกิดความเข้าใจที่ตรงกัน เพียงสั้น ๆ ด้วยแผนภาพแทนคำอธิบายด้วยคำพูดดังนี้นะครับ

Business Drivers ประกอบด้วยองค์ประกอบหลัก ๆ 2 ข้อ คือ

1. Performance
2. Conformance

ทั้ง 2 หัวข้อ คณะกรรมการและผู้บริหารระดับสูง จะต้องมีกระบวนการจัดการประเมินความเสี่ยงที่ได้ดุลยภาพ กล่าวคือ Performance จะพิจารณาการบริหารความเสี่ยงที่มุ่งไปสู่ Business Objective ที่มี Business Balanced Scorecard ทั้ง 4 มุมมองเป็นองค์ประกอบหลักที่ต้องการควบคุมความเสี่ยง และกระบวนการจัดการแบบบูรณาการ (Integrated Management) ทั้งด้าน IT และ Non – IT ในขณเะเดียวกันองค์กรก็ต้องดูแลให้มีการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง และมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ทั้งทางด้าน IT และ Non – IT เช่นเดียวกัน

จากแผนภาพ ท่านผู้อ่านจะเข้าใจได้ดียิ่งขึ้น หากอ่านในลักษณะของ Top Down และจากซ้ายไปขวา ในส่วนที่เกี่ยวข้อง และกระบวนการประเมินการควบคุมความเสี่ยงจะต้องอาศัยความเข้าใจ COSO – ERM และ ITG ที่เกี่ยวข้องกับ CobiT และ ITIL+++ ในลักษณะต้องพึ่งพาแต่ละปัจจัยที่เกี่ยวข้องต่อกันโดยใช้หลัก Interdependent เป็นสำคัญ

หากท่านผู้อ่านได้ดูแผนภาพ CSA for Management and Auditing ข้างต้นก็จะเข้าใจอย่างชัดเจนนะครับว่า กระบวนการประเมินตนเองเพื่อควบคุมความเสี่ยงที่จะเกิดขึ้นภายในสายงานของตนนั้น มีความสำคัญยิ่ง และหากดำเนินการได้อย่างมีประสิทธิผลและประสิทธิภาพ ก็จะสามารถช่วยลดภาระกิจของผู้บริหารระดับสูง และสายงานตรวจสอบได้เป็นอย่างดี เพราะกระบวนการควบคุมความเสี่ยง จะดำเนินการโดยสายงานที่เป็นผู้ปฏิบัติงานนั้น ซึ่งโดยหลักการน่าจะมีความเข้าใจงานของตนเองได้ดีกว่าผู้ตรวจสอบ

รายละเอียดเกี่ยวกับเรื่อง CSA บางประการจะได้นำเสนอเป็นตอน ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ASEAN ICT Master Plan 2015 and AEC Collaboration

มกราคม 31, 2012

เอเซียได้ก้าวเข้ามามีบทบาทสำคัญต่อเศรษฐกิจโลกมากขึ้นเป็นลำดับ ดังเห็นได้จากสัดส่วน GDP ของเอเซีย (ไม่รวมญี่ปุ่น) ต่อ GDP โลก เพิ่มขึ้นอย่างรวดเร็วจาก 9.7% ในปี 2541 มาอยู่ที่ 16.3% ในปี 2552 เช่นเดียวกับมูลค่าการค้าของเอเซียที่เพิ่มขึ้นอย่างรวดเร็ว จนในปี 2552 มูลค่าส่งออกและนำเข้าของเอเซีย คิดเป็นสัดส่วนราว 1 ใน 4 ของมูลค่าส่งออกและนำเข้ารวมของทั้งโลก ส่งผลให้ความมั่งคั่งของประเทศในเอเซียเพิ่มขึ้นอย่างก้าวกระโดด แสดงให้เห็นได้จากทุนสำรองระหว่างประเทศของประเทศในเอเซียรวมกันเพิ่มขึ้นจาก 1.8 ล้านล้านดอลลาร์สหรัฐ ในปี 2546 เป็นกว่า 4.9 ล้านล้านดอลลาร์สหรัฐในปี 2552

เมื่อประกอบกับวิกฤตเศรษฐกิจโลกที่เกิดขึ้น ซึ่งส่งผลให้ประเทศเศรษฐกิจหลักต่างได้รับผลกระทบอย่างรุนแรง และดูเหมือนว่าปัญหาต่าง ๆ จะยังไม่ยุติลงในระยะเวลาอันใกล้ ทำให้หลายฝ่ายมองว่าเอเซียกำลังก้าวเข้ามาเป็นเครื่องยนต์ขับเคลื่อนเศรษฐกิจหลักของโลกตัวใหม่ ถนนทุกสายที่กำลังมุ่งหน้าเข้าสู่เอเซียในขณะนี้ ไม่ว่าจะเป็นการค้า การลงทุน รวมถึงเงินทุน กำลังผลักดันทิศทางเศรษฐกิจโลกให้เข้าสู่ยุคสมัยแห่งเอเซียอย่างแท้จริง ซึ่งไทยควรต้องรู้จักใช้ประโยชน์จากยุคสมัยแห่งเอเซียให้เต็มประสิทธิภาพ เพราะลำพังตลาดในประเทศไทยอย่างเดียว ซึ่งมีประชากร 0.9% ของประชากรโลก ขณะที่ GDP คิดเป็นสัดส่วนเพียง 0.46% ของ GDP โลก ไม่เพียงพอที่จะผลักดันการขยายตัวของเศรษฐกิจไทยได้อย่างเต็มที่ ดังนั้น กลยุทธ์ในการก้าวไปสู่การรวมกลุ่มเป็นประชาคมเศรษฐกิจอาเซียน (ASEAN Economic Community : AEC) ก่อนที่จะขยายไปสู่ ASEAN+3 และ ASEAN+6 จะยิ่งทำให้ไทยสามารถใช้ประโยชน์จากตลาดขนาดใหญ่ได้มากขึ้น

หากจะกล่าวถึงแผนแม่บทไอซีทีอาเซียน 2015 ในเรื่องของความเหลื่อมล้ำในการเข้าถึงเทคโนโลยีนั้น อาจกล่าวได้ว่าเทคโนโลยีในด้านต่าง ๆ โดยเฉพาะอย่างยิ่งเทคโนโลยีทางการสื่อสาร เทคโนโลยีไอซีทีได้เข้ามามีบทบาทมากขึ้นกับผู้คนทั่วโลกในยุคปัจจุบัน ไม่ว่าจะเป็นการมีการใช้โทรศัพท์มือถือ เครื่องคอมพิวเตอร์ แลปท๊อป อินเตอร์เน็ต ฯลฯ เทคโนโลยีทั้งหลายเหล่านี้ล้วนได้รับความนิยมอย่างแพร่หลายในระยะเวลาอันรวดเร็ว เนื่องจากเหตุผลที่ว่ายุคนี้เป็นยุคของการสื่อสาร เทคโนโลยีดังกล่าวเป็นเสมือนเครื่องมือที่ช่วยอำนวยความสะดวกรวดเร็ว ช่วยร่นระยะเวลาการทำงาน การทำกิจกรรมต่าง ๆ ต้องอาศัยเทคโนโลยีเข้าช่วย การเข้าถึงเทคโนโลยีจึงเป็นเรื่องจำเป็นสำหรับยุคนี้ และอนาคตข้างหน้า

จากที่กล่าวมา อาเซียนจึงให้ความสำคัญเรื่องความแตกต่างของการพัฒนา และการใช้ไอซีที ทั้งในระดับประเทศ และระหว่างประเทศในภูมิภาค ซึ่งจะมุ่งเน้นเรื่องการลดความเลื่อมล้ำในบริบทของความไม่เท่าเทียมกันในการเข้าถึงเทคโนโลยี เพื่อส่งเสริมให้เกิดการใช้ไอซีทีในวงกว้าง ตามแนวทางของ ASEAN ICT Master Plan 2015 ที่กำหนดเป็นแผนงานตามยุทธศาตร์ที่ 6 ในเรื่องของการลดความเหลื่อมล้ำในการเข้าถึงเทคโนโลยี (Bridging the Digital Divide) ซึ่งเป็นตัวขับเคลื่อนในเชิงยุทธศาสตร์ตัวที่ 6 ที่ต้องยอมรับว่า ระดับการพัฒนาด้านไอซีทีของแต่ละประเทศในอาเซียนนั้นไม่ทัดเทียมกัน ดังนั้น จึงจำเป็นต้องเน้นการลดความเหลือมล้ำในเรื่องการพัฒนาไอซีทีในอาเซียนด้วยมาตรการต่าง ๆ ดังที่จะกล่าวต่อไปนี้

มาตรการ 6.1 ทบทวนเรื่องพันธะการให้บริการอย่างทั่วถึง (USO) หรือนโยบายอื่นที่คล้ายกัน

มาตรการ 6.2 เชื่อมต่อโรงเรียนและชักนำให้เริ่มเรียนไอซีที เร็วขึ้น

มาตรการ 6.3 ปรับปรุงการเข้าถึงข้อมูลที่เกี่ยวข้องกัน

มาตรการ 6.4 ลดความเหลื่อมล้ำในการเข้าถึงเทคโนโลยีภายในอาเซียน

ความสำเร็จในการขับเคลื่อนกลยุทธ์ในการก้าวไปสู่การรวมกลุ่มเป็นประชาคมเศรษฐกิจอาเซียน (ASEAN Economic Community : AEC) ก่อนที่จะขยายไปสู่ ASEAN+3 และ ASEAN+6 จะยิ่งทำให้ไทยสามารถใช้ประโยชน์จากตลาดขนาดใหญ่จะเป็นจริงได้เพียงใดนั้น โดยความเห็นส่วนตัวและการติดตามความก้าวหน้าในการบริหารที่ต้องใช้กระบวนการบริหารแบบบูรณการ ที่ควรมีการพิจารณาการหลอมรวมกระบวนการบริหารที่ผสมผสานที่มีการนำ วิสัยทัศน์ พันธกิจ กลยุทธ์ และแผนงานต่าง ๆ ที่มีการกำหนด และเห็นชอบร่วมกันแล้วใน ASEAN ICT Master Plan 2015 มาใช้เป็นกลไกสนับสนุน หรือเป็นเครื่องมือขับเคลื่อน ASEAN Economic Community : AEC ให้เป็นรูปธรรมในทุกมุมมองที่เกี่ยวข้อง น่าจะได้ประโยชน์สูงสุดต่อกลุ่มประชาชาคมเศรษฐกิจเอเซียนโดยรวม อย่างมีประสิทธิภาพและมีประสิทธิผลมากขึ้น

เมื่อพิจารณาถึง e-Government ที่รัฐบาล โดยหน่วยงานต่าง ๆ กำลังขับเคลื่อนในปัจุบันนั้น ยิ่งมีความเหมาะสมและเป็นไปได้มากขึ้น ในการขับเคลื่อนภารกิจต่าง ๆ ไปด้วยกัน ทั้งน่าจะสอดคล้องกับ Timeframe ที่กำหนดไว้แล้วมากที่สุด+++

ประเด็นสำคัญก็คือ หน่วยงานใด หรือจะมีกระบวนการหลอมรวมการบริหารการจัดการทั้งสามเรื่องที่เข้ากันได้ และเป็นไปได้มากที่สุดและอย่างมีคุณภาพที่สุดนี้ (มุมมองIntegrated Management) นั้น จะมีใครหรือหน่วยงานใด ซึ่งต้องมีผู้นำช่วยกันคิดช่วยกันผลักดันความฝันที่เป็นจริงได้นี้ ให้เกิดขึ้นได้ทั้งในประเทศไทยและเอเซียนตามแนวทางที่ช่วยกันดำเนินการมานานปีแล้ว…

หากประเทศไทยมีโอกาสจัดงานระดับเอเซียนในปีนี้/2012 ไม่ว่าจะในระดับชาติหรือระดับกลุ่มงาน เช่น CIO #16 ก็น่าจะเป็นจังหวะที่ดี ที่จะเริ่มต้นจุดประกายความคิดนี้ให้เป็นจริงตามที่กล่าวข้างต้นและได้กล่าวไว้ก่อนหน้านี้ได้ในที่สุดนะครับ

ผมชอบคำกล่าวตอนหนึ่งของท่าน มหาตมะคานธี รัฐบุรุษชาวอินเดียซึ่งกล่าวว่า….“Be the Change you want to see in the World” [1869-1948] และนาย เพิร์ล เอส บั๊ค [1892-1973] นักเขียนชาวอเมริกันเชื้อสายจีน เคยกล่าวว่า “ทุกสิ่งเป็นไปได้ จนกว่ามันจะมีการพิสูจน์ว่า เป็นไปไม่ได้ และแม้แต่สิ่งที่เป็นไปไม่ได้ นั้นก็เป็นเพียงแค่สิ่งที่ เป็นไปไม่ได้ ในชั่วขณะนี้เท่านั้น” [All things are possible until they are proved Impossible and even the impossible may only be so, or of now.]

ครับ สำหรับเรื่องนี้ผมคงต้องขอจบชั่วคราว ก่อนที่จะกลับมาติดตามและเขียนเพิ่มเติมใหม่ เมื่อมีสถานการณ์หรือสภาพแวดล้อมชวนให้เขียนต่อไปนะครับ 🙂

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความชัดเจนของแผนแม่บทไอซีทีอาเซียน 2015 ที่น่าจะสัมพันธ์กับการจัดทำแผนแม่บทไอซีทีของไทยบางมุมมอง ในอนาคต (ตอน 7) – Human Capital Development

มกราคม 5, 2012

จากจุดมุ่งหมายหลักของประชาคมเศรษฐกิจอาเซียน (ASEAN Economic Community : AEC) คือการนำอาเซียนไปสู่การเป็นตลาดและฐานการผลิตร่วมกัน (Single Market and Production Base) ซึ่งหมายถึงการทำให้เกิดการเคลื่อนย้ายอย่างเสรีใน 5 สาขา ประกอบด้วยสินค้า บริการ การลงทุน แรงงานฝีมือ และเงินทุน ซึ่งแน่นอนว่าการเปิดเสรีดังกล่าว ย่อมมีผู้ที่ได้ประโยชน์และเสียประโยชน์มากน้อยแตกต่างกันตามศักยภาพของผู้ประกอบการในแต่ละประเทศ

การขับเคลื่อนอาเซียนไปสู่ตลาดและฐานการผลิตร่วมกัน (Single Market and Production Base) นั้น จำเป็นอย่างยิ่งที่ต้องเชื่อมโยงแนวคิดดังกล่าวให้เป็นรูปธรรมผ่านกระบวนการทาง ASEAN ICT Master Plan 2015 ซึ่งได้นำเสนอมาตามลำดับ

ครั้งนี้ผมจะนำเสนอเป็นตอนที่ 7 ครับ โดยจะกล่าวถึงยุทธศาสตร์ที่ 5 ในเรื่องของการพัฒนาทุนมนุษย์ (Human Capital Development) ซึ่งการพัฒนาทุนมนุษย์นั้น เป็นฐานรากที่สอง ที่มุ่งเน้นจะช่วยให้ประชาชนของอาเซียน ได้พัฒนาทักษะเพื่อยกระดับไอซีที ช่วยให้แรงงานด้านไอซีทีมีความสามารถมากขึ้น และทำให้ประชาคมมีความรู้เพิ่มขึ้น ทั้งหมดนี้เกี่ยวข้องด้วย 2 สิ่ง คือการฝึกหัด และการรับรองมาตฐานทักษะด้านไอซีที

สำหรับมาตรการที่ช่วยในการพัฒนาทุนมนุษย์ตามแผนแม่บทไอซีทีอาเซียน 2015 แบ่งเป็น 2 มาตรการ คือ

มาตรการ 5.1 การสร้างสมรรถภาพ

มาตรการ 5.2 การเพิ่มพูนทักษะและการรับรองมาตรฐานวิชาชีพ

ASEAN ICT Master Plan น่าจะเป็นคำตอบรวมทั้งเป็นเครื่องมือที่ดีที่สามารถสร้างพื้นฐาน และกระบวนการบริหารแบบสอดประสานและบูรณาการตามกลยุทธ์และแผนการดำเนินงาน ไปสู่วิสัยทัศน์ที่สนับสนุนการก้าวสู่ AEC ที่เป็นรูปธรรมได้แทบทุกมุมมอง โดยเฉพาะอย่างยิ่ง การเปิดเสรีทางด้านการเคลื่อนย้ายแรงงานฝีมือ ซึ่งเป็นประเด็นที่น่าจับตามองอย่างยิ่ง เนื่องจากการเปิดเสรีดังกล่าว อาจทำให้แรงงานฝีมือในอาเซียนย้ายจากประเทศที่มีค่าตอบแทนต่ำ (ประเทศในแถบอินโดจีน ฟิลิปปินส์ อินโดนีเซีย รวมถึงไทย) ไปยังประเทศที่มีค่าแรงสูงกว่าและมีการใช้ภาษาอังกฤษอย่างแพร่หลาย อาทิ สิงคโปร์ และมาเลเซีย ซึ่งหลายฝ่ายเริ่มเป็นห่วงว่าการเปิดเสรีแรงงานฝีมือดังกล่าว จะทำให้แรงงานฝืมือของไทยในบางสาขาย้ายไปทำงานในมาเลเซียและสิงคโปร์ โดยเฉพาะสาขาการแพทย์และวิศวกร มีผลให้อนาคตไทยอาจขาดแคลนแรงงานฝีมือที่มีส่วนสำคัญในการพัฒนาประเทศในระยะถัดไป

นอกจากนั้น ในระยะยาว หากมีการขยายกรอบความร่วมมือเป็น ASEAN+3 หรือ ASEAN+6 ก็มีความเป็นไปได้ว่าแรงงานฝีมือในบางสาขา อาทิ การเงินธนาคาร รวมถึง IT จากประเทศเหล่านี้จะเข้ามาแย่งงานบุคลากรไทยมากขึ้นนั้น

วิสัยทัศน์ พันธกิจ ยุทธศาสตร์ มาตรการและแผนการดำเนินงาน ตาม ASEAN ICT Master 2015 เมื่อนำไปสู่การปฏิบัติจริงอาจจะลดปัญหาต่าง ๆ ตามประเด็นของการเปิดเสรีด้านการเคลื่อนย้ายแรงงานฝีมือ ซึ่งหลายท่านอาจจะเป็นห่วงอยู่ได้บ้างนะครับ

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความชัดเจนของแผนแม่บทไอซีทีอาเซียน 2015 ที่น่าจะสัมพันธ์กับการจัดทำแผนแม่บทไอซีทีของไทยบางมุมมอง ในอนาคต (ตอน6) – Infrastructure Development

มกราคม 5, 2012

สวัสดีครับทุกท่าน ช่วงนี้ก็ใกล้จะปีใหม่เข้าไปทุกขณะแล้้ว หลายท่านก็คงเตรียมจัดการกับการงานที่คั่งค้างให้เรียบร้อยก่อนที่จะหยุดพักผ่อนในช่วงสิ้นปี เพื่อที่ว่าในปีหน้า ปี 2555 จะไ้ด้เริ่มต้นอะไรใหม่ ๆ ได้อย่างเต็มที่

สำหรับเรื่องราวที่จะเล่าสู่กันฟังในวันนี้ ผมคงจะนำเสนอเป็นตอนสุดท้ายของปี 2554 นี้ แต่ก็คงไม่ใช่สุดท้ายในเรื่องของความชัดเจนของแผนแม่บทไอซีทีอาเซียน 2015 ที่ได้พูดคุยกันมาหลายตอนก่อนหน้านี้ โดยรายละเอียดที่จะกล่าวถึงในตอนนี้เป็นยุทธศาสตร์ที่ 4 ของ ASEAN ICT Master Plan 2015 คือ การพัฒนาโครงสร้างพื้นฐาน ซึ่งเป็นหนึ่งในสามของฐานรากที่มีความจำเป็นต่อความสำเร็จของยุทธศาสตร์สามตัวแรกที่กล่าวมาแล้วข้างต้น

ASEAN ICT Masterplan 2015

ตามแผนแม่บทไอซีทีอาเซียน 2015 การพัฒนาโครงสร้างพื้นฐาน ในกรณีนี้จำเป็นต้องเน้นการจัดให้มีโครงสร้างพื้นฐานหลัก ที่เอื้อต่อการให้บริการด้านไอซีทีแก่ประชาคมทั้งหลายในอาเซียน อีกทั้งยังต้องร่วมกันกำหนดนโยบาย และตรากฎหมาย เพื่อดึงดูดธุรกิจและการลงทุนสู่ภูมิภาคนี้ด้วย ดังมาตรการและแผนงานต่อไปนี้

มาตรการ 4.1 พัฒนาระบบเชื่อมโยงของบรอดแบนด์

มาตรการ 4.2 ส่งเสริมให้เครือข่ายมีความมั่นคง และปลอดภัย มีการปกป้องข้อมูล
รวมทั้งมีความร่วมมือระหว่างหน่วยงานรักษาความปลอดภัยคอมพิวเตอร์ CERT

จากมาตรการและแผนงานของแผนแม่บทไอซีทีอาเซียน 2015 ในยุทธศาสตร์ต่าง ๆ ที่ผมเคยได้กล่าวมาแล้ว ทั้งในเรื่องมาตรการที่ทำให้ทุกชุมชนสามารถเข้าถึงการบริการบรอดแบนด์ได้ด้วยราคาที่ไม่แพง การทำให้สินค้าไอซีทีมีราคาที่ไม่แพง การบริการแบบอิเล็กทรอนิกส์ รวมทั้งเนื้อหาและระบบงานประยุกต์มีราคาที่ไม่แพง และมีประสิทธิภาพ การสร้างความเชื่อมั่นในเรื่องความมั่นคงปลอดภัยของธุรกรรมทางด้านอิเล็กทรอนิกส์ ทั้งมาตรการการสร้างนวัตกรรมที่มุ่งให้ทุกประเทศในอาเซียนพัฒนาสิ่งสร้างสรรค์นวัตกรรม และ ICT ที่เป็นมิตรต่อสิ่งแวดล้อม (Green ICT) กำลังเป็นที่สนใจและจับตามองของทุกฝ่ายที่เกี่ยวข้อง ซึ่งจะเห็นได้ว่ามีความสัมพันธ์กับการจัดทำแผนแม่บทไอซีทีของไทยในบางมุมมอง ที่จะสามารถผลักดันและเป็นตัวขับเคลื่อนให้เกิดการปฏิบัิติอย่างเป็นรูปธรรมต่อไป

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความชัดเจนของแผนแม่บทไอซีทีอาเซียน 2015 ที่น่าจะสัมพันธ์กับการจัดทำแผนแม่บทไอซีทีของไทยบางมุมมอง ในอนาคต (ตอน5) – Green ICT

มกราคม 5, 2012

สวัสดีครับทุกท่าน ก็ห่างกันไปนานพอสมควรนะครับจากเนื้อหาในครั้งก่อน เนื่องจากเว็บ itgthailand.com มีปัญหาทางด้าน server ทำให้ไม่สามารถ update สาระ ความรู้ และเรื่องราวต่าง ๆ ได้ แต่ตอนนี้สามารถกลับมาใช้งานได้ตามปกติแล้วครับ วันนี้ก็คงกลับมาต่อกันในเรื่องของแผนแม่บทไอซี อาเซียน 2015 จากครั้งที่แล้วผมได้เล่าถึงยุทธศาสตร์ ข้อที่ 2 ของ ICT Master Plan 2015 ที่ให้ประชาชนมีส่วนร่วมและเสริมสร้างพลัง ซึ่งมีมาตรการและกำหนดเป็นแผนงานที่ต้องปฏิบัติ 4 มาตรการ คือ 1) การทำให้ทุกชุมชนสามารถเข้าถึงการบริการบรอดแบนด์ได้ด้วยราคาที่ไม่แพง 2) ทำให้สินค้าไอซีทีมีราคาที่ไม่แพง 3) ให้แน่ใจว่าการบริการแบบอิเล็กทรอนิกส์ รวมทั้งเนื้อหาและระบบงานประยุกต์มีราคาที่ไม่แพง และมีประสิทธิภาพ และ 4) การสร้างความเชื่อมั่นในเรื่องความมั่นคงปลอดภัยของธุรกรรมทางด้านอิเล็กทรอนิกส์ ซึ่งประเทศไทยเราได้มีการนำเสนอแผนนโยบายให้บริการบรอดแบนด์ เพื่อให้กำหนดเป็นนโยบายบรอดแบนด์แห่งชาติ ที่สัมพันธ์กับ ICT Master Plan 2015 ตามที่ได้กล่าวถึงในตอนที่แล้ว

สำหรับในครั้งนี้ผมจะขอเล่าถึงยุทธศาสตร์ในการสร้างนวัตกรรม โดยที่อาเซียนจะสนับสนุนอุตสาหกรรมไอซีทีที่สร้างสรรค์ มีนวัตกรรม และเป็นมิตรต่อสิ่งแวดล้อม ซึ่งเป็นยุทธศาสตร์ข้อที่ 3 ด้านนวัตกรรม การสร้างนวัตกรรมจะมุ่งให้ทุกประเทศในอาเซียนพัฒนาสิ่งสร้างสรรค์นวัตกรรม และ ICT ที่เป็นมิตรต่อสิ่งแวดล้อม (Green ICT) และเชิญชวนให้รัฐบาลของสมาชิกในอาเซียนกำหนดนโยบาย และจัดให้มีโครงสร้างพื้นฐานที่เอื้อต่อการสร้างสรรค์และสร้างนวัตกรรมในทุกภาคส่วน (เช่น แบ่งปันความชำนาญ และสมรรถนะที่หลากหลายและแตกต่างกันภายในกลุ่มประเทศสมาชิก และให้ทุกฝ่ายได้รับประโยชน์กันและกัน จากความรู้และความสามารถที่มีอยู่กระจัดกระจาย)

การสร้างนวัตกรรมที่กล่าวถึงนี้แบ่งได้เป็น 3 มาตรการ แต่ละมาตรการได้กำหนดเป็นแผนงานในการนำไปปฏิบัติดังนี้

มาตรการ 3.1 สร้างศูนย์แห่งความเป็นเลิศเพื่อนวัตกรรม สำหรับการวิจัยและพัฒนาบริการไอซีที

มาตรการ 3.2 ส่งเสริมนวัตกรรมและความร่วมมือระหว่างภาครัฐ ภาคธุรกิจ ประชาชน และสถาบันอื่น ๆ

มาตรการ 3.3 พลักดันให้เกิดนวัตกรรมและงานสร้างสรรค์ในระดับโรงเรียน

ยุทธศาสตร์ของแผนแม่บทไอซีทีอาเซียน 2015 ยังมีแผนงานและรายละเอียดที่น่าสนใจและติดตามอยู่อีกหลายเรื่อง ซึ่งผมจะทยอยนำมาเล่าสู่กันฟัง ส่วนในครั้งหน้าผมคงจะพูดถึงยุทธศาสตร์ข้อที่ 4 ที่เป็นเรื่องของการพัฒนาโครงสร้างพื้นฐานหลักที่เอื้อต่อการให้บริการด้านไอซีที โปรดติดตามกันต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »