ผู้บริหารกับการบูรณาการ การจัดการ บางมุมมอง

สิงหาคม 30, 2011

สวัสดีครับทุกท่าน จากการที่ผมได้เล่าสู่กันฟังในเรื่องเกี่ยวกับ Integrated GRC, Integrated Management ซึ่งเป็นเรื่องเกี่ยวกับการบริหารยุคใหม่ที่กำลังเป็นที่สนใจและิติดตามของผู้บริหารหลายหน่วยงาน หลายองค์กร หรือแม้กระทั่งผู้ที่สนใจในเรื่องการบริหารหลาย ๆ ท่าน โดย GRC ในความหมายใหม่ มีนัยทาง Integrated GRC มากกว่า G + R + C ที่มีลักษณะและแนวความคิดแบบ SILO หรือแยกความคิด ความเข้าใจ และการปฏิบัติออกเป็นส่วน ๆ ตาม G + R + C ดังเดิมนั้น

ผมได้กล่าวถึง GRC ในลักษณะของการบริหารยุคใหม่นี้ไว้ในหลายบทความ และหลาย ๆ หมวดหมู่ที่เกี่ยวข้องด้วยกัน ไม่ว่าจะเป็นวิสัยทัศน์ของประเทศหรือขององค์กรกับ GRC เพื่อการเติบโตอย่างยั่งยืน แนวความคิด ความเข้าใจเกี่ยวกับ GRC ในแง่มุมต่าง การก้าวสู่การบริหารองค์กรแบบ Integrated Management รวมทั้งความหมาย ความเข้าใจเรื่อง Integrated Audit and Management และอีกมากมายหลายบทความที่เกี่ยวข้องกับ Integrated GRC และ Integrated Management ซึ่งขณะนี้ผมได้นำบทความที่เคยได้กล่าวถึงเหล่านี้ มารวบรวมและลำดับบทความใหม่ในชื่อ CEO /CIO and Integrated Management เพื่อให้ง่ายต่อความเข้าใจยิ่งขึ้น

ท่านผู้สนใจสามารถติดตามและดาวน์โหลด CEO/CIO and Integrated Mangement นี้ได้ที่หน้า Download ครับ

Leave a Comment » | คุยกับผู้เขียน | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ตามระเบียบ คตง. กับ GTAG – Global Technology Auditing Guide

สิงหาคม 6, 2011

เนื่องจากยังมีผู้ตรวจสอบภายใน และผู้กำกับของหน่วยงานที่เกี่ยวข้อง อาจยังมีแนวทางปฏิบัติและการกำกับงานของผู้ตรวจสอบภายใน เพื่อเป็นไปตามพระราชกิจจานุเบกษา ฉบับกฤษฎีกา เล่ม 120 ตอนที่ 25ก วันที่ 24 มีนาคม 2546 แตกต่างกันมากพอสมควร ผมจึงขอนำแนวทางปฏิบัติหน้าที่ของผู้ตรวจสอบภายในตามประกาศฉบับนี้มาเล่าสู่กันฟังดังนี้ครับ

การปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน ควรเป็นไปตามมาตรฐานการตรวจสอบภายใน ดังนี้

1. ผู้ตรวจสอบภายในของส่วนราชการ ปฏิบัติตามมาตรฐานการตรวจสอบภายใน และจริยธรรมของผู้ตรวจสอบภายในของส่วนราชการ ที่กำหนดไว้ในระเบียบกระทรวงการคลัง ว่าด้วยการตรวจสอบภายในของส่วนราชการที่ออกโดยกรมบัญชีกลาง

2. ผู้ตรวจสอบภายในของรัฐวิสาหกิจ กระทรวงกลาโหม หน่วยงานของราชการส่วนท้องถิ่น และของหน่วยรับตรวจอื่น ให้ปฏิบัติตามมาตรฐานการตรวจสอบภายใน ตามที่กำหนดไว้ในระเบียบว่าด้วยการตรวจสอบภายใน ที่ออกโดยหน่วยงานเจ้าสังกัด หรือหน่วยงานที่กำกับดูแลในระดับกระทรวงหรือเทียบเท่า

กรณีระเบียบว่าด้วยการตรวจสอบภายในตาม 1. และ 2. มิได้กำหนดให้ปฏิบัติงานตามมาตรฐานการตรวจสอบใด ให้ปฏิบัติตามมาตรฐานการปฏิบัติงานวิชาชีพการตรวจสอบภายใน ที่เผยแพร่โดยสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย หรือ Standards for the Professional Practice of Internal Auditing ที่กำหนดโดย The Institute of Internal Auditors (IIA) ฉบับล่าสุด

ขอบเขตของการตรวจสอบภายใน
แนวทางปฏิบัติที่ 1
ผู้กำกับดูแลมีหน้าที่รับผิดชอบสูงสุดในการทำให้เกิดความมั่นใจว่า ฝ่ายบริหารได้จัดให้มี และดำรงรักษาไว้ซึ่งระบบการควบคุมภายใน ตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน

ฝ่ายบริหารมีหน้าที่รับผิดชอบจัดให้มีและดำรงไว้ซึ่งระบบการควบคุมภายในตามมาตรฐานการควบคุมภายในที่กำหนดโดยคณะกรรมการตรวจเงินแผ่นดิน รวมทั้งพิจารณาวินิจฉัยข้อตรวจพบ และข้อเสนอแนะตามรายงานการตรวจสอบของผู้ตรวจสอบภายใน เพื่อสั่งการให้ผู้รับผิดชอบดำเนินการตามความเหมาะสมและทันเวลา

ทั้งนี้ เพื่อให้การปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในมีประสิทธิผลอย่างมีประสิทธิภาพ

แนวทางปฏิบัติที่ 2
หน่วยตรวจสอบภายในรับผิดชอบในการประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล เพื่อเพิ่มคุณค่าและปรับปรุงการดำเนินงาน และช่วยให้หน่วยรับตรวจสามารถประเมินและปรับปรุงประสิทธิผลของกระบวนการบริหารความเสี่ยง กระบวนการควบคุม และกระบวนการกำกับดูแล เพื่อบรรลุวัตถุประสงค์ที่หน่วยรับตรวจกำหนด

แนวทางปฏิบัติที่ 3
หน่วยตรวจสอบภายใน ควรอยู่ในโครงสร้างการแบ่งส่วนงานของหน่วยรับตรวจอย่างเป็นทางการ และมีสภาพภาพสูงพอที่จะสามารถปฏิบัติงานได้อย่างเต็มที่ โดยให้ขึ้นตรงต่อผู้รับตรวจ หรือมีสายการบังคับบัญชาตามที่กระทรวงการคลัง หรือผู้มีอำนาจตามกฎหมายกำหนด และผู้รับตรวจจะมอบหมายให้ผู้อื่นควบคุมดูแลและปกครองบังคับบัญชาแทนไม่ได้ และจะแต่งตั้งให้หัวหน้าหน่วยตรวจสอบภายในไปรักษาการในตำแหน่งอื่น หรือแต่งตั้งผู้อื่นมารักษาการในตำแหน่งหัวหน้าหน่วยตรวจสอบภายในในขณะเดียวกันไม่ได้ และ

หน่วยรับตรวจควรจัดสรรบุคลากรและทรัพยากรที่เพียงพอต่อการปฏิบัติหน้าที่ของหน่วยตรวจสอบภายในอย่างเหมาะสมกับปริมาณงาน และความซับซ้อนของกิจกรรมด้านต่าง ๆ ของหน่วยรับตรวจ โดยผู้ปฏิบัติหน้าที่ของหน่วยตรวจสอบภายใน ควรปฏิบัติงานเต็มเวลาและไม่ควรไปช่วยปฏิบัติงานอื่นใดที่ไม่ใช่งานที่เกี่ยวกับการตรวจสอบภายใน ซึ่งอาจส่งผลกระทบต่อประสิทธิภาพและประสิทธิผลของงานตรวจสอบภายใน

แนวทางปฏิบัติที่ 4
ผู้ตรวจสอบภายในต้องมีความอิสระจากกิจกรรมที่ตรวจสอบ โดยมีสถานภาพที่่สามารถปฏิบัติงานที่ได้รับมอบหมายอย่างเป็นอิสระ ตามมาตรฐานการตรวจสอบภายใน และให้ข้อเสนอแนะที่เป็นประโยชน์ ปราศจากอคติและมีความเป็นกลาง

แนวทางปฏิบัติที่ 5
ผู้ตรวจสอบภายในมีบทบาทหน้าที่รับผิดชอบในการตรวจสอบ และประเมินความเพียงพอของมาตรการควบคุมภายในที่ฝ่ายบริหารกำหนด เพื่อป้องกันหรือลดโอกาสการเกิดการทุจริต ทั้งนี้ ฝ่ายบริหารของหน่วยรับตรวจเป็นผู้ที่มีหน้าที่รับผิดชอบโดยตรงต่อการบริหารความเสี่ยงเกี่ยวกับการทุจริต

แนวทางปฏิบัติที่ 6
หน่วยรับตรวจที่ใช้เทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการปฏิบัติงานหรือบริหารงาน ควรจัดให้มีผู้ตรวจสอบภายใน ซึ่งมีความรู้ ความสามารถอย่างเพียงพอที่จะตรวจสอบระบบเทคโนโลยีสารสนเทศ เพื่อให้สามารถประเมินและให้คำแนะนำเกี่ยวกับการปรับปรุงกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลได้อย่างเหมาะสมและเกิดประโยชน์

ตราชั่ง

การปฏิบัติหน้าที่การตรวจสอบภายใน
แนวทางปฏิบัติที่ 7
ผู้ตรวจสอบภายในควรประพฤติปฏิบัติตนตามหลักปฏิบัติที่กำหนดในจริยธรรมของผู้ตรวจสอบภายใน เกี่ยวกับความมีจุดยืนที่มั่นคง ความเที่ยงธรรม การรักษาความลับ และความสามารถในการปฏิบัติหน้าที่ เพื่อเป็นหลักประกันความมั่นใจในความเที่ยงธรรม และการให้คำแนะนำปรึกษาที่มีคุณภาพ

แนวทางปฏิบัติที่ 8
หน่วยรับตรวจควรจัดให้มีเอกสารที่เขียนขึ้นอย่างเป็นทางการ เพื่อกำหนดวัตถุประสงค์ อำนาจหน้าที่และความรับผิดชอบของงานตรวจสอบภายใน เพื่อให้บุคลากรทุกระดับของหน่วยรับตรวจ มีความเข้าใจอันดีต่อการจัดให้มีหน่วยตรวจสอบภายใน รวมทั้งอำนาจหน้าที่ของหน่วยตรวจสอบภายใน

แนวทางปฏิบัติที่ 9
กระบวนการปฏิบัติงานตรวจสอบภายใน หมายรวมถึงการจัดทำแผนการตรวจสอบ การตรวจสอบ การวิเคราะห์และประเมินข้อมูลที่ได้จากการตรวจสอบ การรายงานผลการตรวจสอบ และการติดตามผลการปฏิบัติตามข้อเสนอแนะของผู้ตรวจสอบภายใน

การประเมินการบริหารความเสี่ยง การควบคุม และการกำกับดูแล อาจกระทำได้ดังนี้

1. การบริหารความเสี่ยง กระทำได้โดยการประเมินการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการจัดการความเสี่ยงที่มีนัยสำคัญ เพื่อให้ข้อเสนอแนะปรับปรุงกระบวนการบริหารความเสี่ยง และการควบคุมภายในให้มีประสิทธิภาพ

2. การควบคุม กระทำได้โดยการประเมินประสิทธิผล และประสิทธิภาพของการควบคุม และส่งเสริมให้มีการปรับปรุงการควบคุมอย่างต่อเนื่อง

3. การกำกับดูแล กระทำได้โดยการประเมินและปรับปรุงกระบวนการกำกับดูแลให้ดีขึ้น โดย
– การกำหนดเป้าหมายของการดำเนินงานของหน่วยรับตรวจ และสื่อสารให้ผู้ที่เกี่ยวข้องทราบ
– การติดตามผลสำเร็จตามเป้าหมายที่กำหนด
– การให้ความมั่นใจว่า บุคลากรของหน่วยรับตรวจมีความรับผิดชอบต่อผลการตัดสินใจ และผลการปฏิบัติหน้าที่ และ
– การรักษาไว้ซึ่งคุณค่า หรือผลประโยชน์ของหน่วยรับตรวจและผู้ที่เกี่ยวข้อง

ในปัจจุบัน ผู้ตรวจสอบในหลายองค์กรมีมาตรฐานการตรวจสอบที่แตกต่างกัน โดยเฉพาะองค์กรขนาดกลางและขนาดเล็ก และเมื่อพูดถึงการตรวจสอบทางด้าน IT Audit หรือ Risk-Based IT Audit ไปจนกระทั่ง Integrated Audit ซึ่งเป็นการบูรณาการการตรวจสอบ ระหว่าง IT Audit กับ Non – IT Audit เข้าด้วยกัน เพื่อสนองความต้องการของคณะกรรมการและผู้บริหารระดับสูงนั้น มีข้อที่ควรจะปรับปรุงได้อีกมาก

ในปี พ.ศ. 2555 แนวการตรวจสอบทางด้าน IT Audit โดยสถาบันผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ซึ่งได้ร่วมมือกับสมาคม ISACA และตลาดหลักทรัพย์แห่งประเทศไทย ได้ร่วมกันแปลเอกสารการตรวจสอบ IT โดยใช้ Best Pratice ของ GTAG – Global Technology Audit Guide แล้วเสร็จ ผู้ตรวจสอบภายในซึ่งต้องปฏิบัติตามมาตรฐานดังกล่าวข้างต้นจะต้องนำแนวทางการตรวจสอบ IT Audit มาใช้ในทางปฏิบัติ อาจก่อให้เกิดความไม่สะดวกในการปฏิบัติตามแนวทางการตรวจสอบดังกล่าว ซึ่งก็อาจพิจารณาได้ว่า ผู้ตรวจสอบภายในไม่ได้ปฏิบัติหน้าที่ตามพระราชกิจจานุเบกษาดังกล่าวข้างต้นได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

CEO / CIO and Integrated Management – Audit / Approaching to Practical GRC

กรกฎาคม 15, 2011

ปัจจุบัน การบริหารองค์กรแบบบูรณาการ หรืออาจเรียกได้ง่าย ๆ ว่า Integrated Management ซึ่งรวมไปถึง Integrated Risk Management รวมทั้ง Integrated Control and Audit เพื่อก้าวไปสู่ Integrated GRC ซึ่งเป็นแกนหลักของการบริหารการจัดการแบบหลอมรวม กระบวนความคิด และการปฏิบัติงานไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานระหว่าง Corporate Governance and IT Governance ที่อยุ่ภายใต้ร่ม ๆ เดียวกัน คือ Integrated GRC นั้น กำลังได้รับความสนใจ และนำไปใช้อย่างเป็นรูปธรรมมากขึ้น เพราะสามารถลดความซ้ำซ้อนในกระบวนการจัดการ และกระบวนการบริหารจัดการองค์กรได้ในทุกกรอบของการจัดการ

วันนี้ ผมจึงขอนำเสนอแนวความคิดที่สามารถปฏิบัติได้จริง ที่เชื่อมโยงระหว่างการบริหารการจัดการสารสนเทศ ที่ผสมผสานกับการบริหารจัดการองค์กร เพื่อบรรลุ Performance และ Conformance ที่ประกอบไปด้วยองค์ประกอบต่าง ๆ ของการบริหารจัดการในหลายรูปแบบ รูปแบบที่อธิบายได้อย่างกว้าง ๆ และเข้าใจได้ง่ายก่อนที่จะลงลึกไปกว่านี้ ปรากฎดังแผนภาพต่อไปนี้

Integrated GRC - Components of Management and Understanding

แผนภาพตามที่แสดงไว้ข้างต้น สามารถสร้างความเข้าใจให้กับ CEO, CIO, CFO, COO และทุกระดับของ C – Level รวมทั้งคณะกรรมการต่าง ๆ ขององค์กร ที่สามารถเชื่อมโยงความเข้าใจในการบริหารและการจัดการแบบหลอมรวม เพื่อขับเคลื่อนองค์กรยุคใหม่ ที่แยกกันไม่ได้ระหว่างการบริหารการจัดการสารสนเทศ ที่ต้องผสมผสานกันไปอย่างแนบแน่นกับการบริหารเพื่อก้าวสู่วัตถุประสงค์ต่าง ๆ ตามหลักการ Business Balanced Scorecard และ Information Balanced Scorecard ที่ไม่ควรมีการจัดการแบบ Silo – Based อีกต่อไป

ผู้กำกับของหน่วยงานที่มีความสำคัญ ได้พยายามขับเคลื่อนและชี้นำทิศทางการบริหารแบบบูรณาการเช่นนี้ ไปให้กับหน่วยงานที่ถูกกำกับใช้ในการปฏิบัติอย่างเป็นรูปธรรม ซึ่งรวมถึงการออกกฎหมาย กฎเกณฑ์ พระราชบัญญัติ พระราชกฤษฎีกา ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ ที่รวมนโยบาย วิธีการปฏิบัติงาน การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การควบคุมภายในและการตรวจสอบภายใน ทางด้านเทคโนโลยีสารสนเทศเข้าด้วยกันอย่างเป็นกระบวนการ ซึ่งพิจารณาได้ว่า เป็นความจำเป็นในระดับประเทศที่ต้องขับเคลื่อนองค์กรต่าง ๆ ไปสู่ทิศทางที่ยกระดับความสามารถในการจัดการที่ดี ที่ต้องผสมผสานระหว่าง Corporate Governance + IT Governance ที่เป็นกระบวนการส่วนหนึ่งในการขับเคลื่อนไปสู่ GRC ที่มิใช่เป็นเพียง G + R + C

แนวความคิดในเรื่องการบริหารและการตรวจสอบแบบบูรณาการที่เรียกว่า “Integrated Thinking”โดยการคิดให้ครบจนจนความ เพื่อก้าวไปสู่เป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรที่ทันสมัยส่วนใหญ่ ซึ่งจะกำหนดเป็นวิสัยทัศน์ พันธกิจ นโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่เกี่ยวข้องกับ IT – Based ที่ท้าทายและเป็นกลไกนำไปสู่กระบวนการบริหารแบบบูรณาการที่สามารถสร้างประสิทธิภาพและประสิทธิผล และยกระดับการแข่งขันที่เป็นสากล

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

คณะกรรมการ ผู้บริหารระดับสูง/CEO และผู้บริหารที่เกี่ยวข้องในระดับต่าง ๆ รวมทั้ง คณะกรรมการตรวจสอบ/AC ผู้บริหารงานตรวจสอบ/CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ควรมีความเข้าใจภาพการบริหารแบบบูรณาการที่ผสมผสานระหว่าง กระบวนการทางด้านเทคโนโลยีสารสนเทศ กับกระบวนการทางด้านบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยงไปในทิศทางเดียวกัน และผสมผสานกระบวนการจัดการในทุกระดับระหว่าง IT กับ Non – IT ที่เข้าใจได้ง่าย ๆ ว่า “Integrated Management – Audit” ซึ่งเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ที่เกี่ยวข้องจะต้องเข้าใจการขับเคลื่อนไปสู่เป้าประสงค์ตามหลัก Business Balanced Score Card ที่ผสมผสานไปกับ Information Balanced Score Card ทางด้านเทคโนโลยีสารสนเทศที่ไม่สามารถจะแยกการจัดการกันได้อีกต่อไป

ดังนั้น การบริหารงานยุคใหม่ CEO ผู้บริหารงานและผู้ปฏิบัติงานทุกระดับ จะต้องเข้าใจความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศ – IT Risk ที่มีผลกระทบต่อ Business Risk ในทุกมุมมอง จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Approaching to GRC / Integrated Management and Systematic Thinking

Integrated Thinking ที่นำไปสู่ Integrated Management – Audit จะสามารถสร้าง Value Added และ Value Creation ได้มากกว่าการบริหารแบบ Silo – Based และเป็นหนึ่งในก้าวแรก ที่จะก้าวไปสู่ GRC ที่มิใช่ G + R + C เท่านั้น

องค์กรของท่านพร้อมหรือยังครับ กับการติดตามให้ทันแนวคิดและการจัดการที่เป็นรูปธรรมของการบริหารยุคใหม่ ที่เรียกว่า “GRC” ซึ่งเป็นการขับเคลื่อนกระบวนการบริหารในลักษณะที่ผสมผสานระหว่าง IT กับ Non – IT เข้าด้วยกันอย่างแยกกันไม่ได้ และเรียกแนวทางเช่นนี้ว่า “Integrity – Driven Performance” ที่สามารถติดตามได้จากเว็บไซต์ต่าง ๆ ที่เกี่ยวข้องนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF (ต่อ)

กรกฎาคม 4, 2011

สวัสดีครับ ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายในทุกท่าน ในครั้งที่แล้วผมได้นำเสนอถึงกรอบการปฏิบัติงานกรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) ซึ่งเป็นแนวทางสำคัญสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงิน โดย IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) ซึ่งผมได้นำเสนอแนวทางหลักไปในเบื้องต้นแล้ว สำหรับวันนี้ผมจะได้นำเสนอแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อจากครั้งที่แล้วนะครับ

2. แนวทางที่แนะนำให้ใช้ (Strongly Recommended Guidance)
เป็นแนวทางที่ได้รับการรับรองจาก IIA โดยผ่านกระบวนการพิจารณาอนุมัติอย่างเป็นทางการ แนวทางเหล่านี้จะช่วยอธิบายถึงวิธีการปฎิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐานฯ ได้อย่างมีประสิทธิภาพ ซึ่งมี 3 ส่วน ดังนี้

ส่วนที่ 1 เอกสารแสดงความคิดเห็น (Position Papers) เป็นเอกสารที่จะช่วยให้ผู้ที่มีความสนใจในงานตรวจสอบภายใน ได้ทำความเข้าใจถึงนัยสำคัญของประเด็นการกำกับดูแลความเสี่ยง การควบคุม รวมถึงความเกี่ยวข้องที่สิ่งเหล่านั้นมีต่อบทบาทหน้าที่รับผิดชอบของผู้ตรวจสอบภายใน ถึงแม้ว่าบุคคลนั้นจะไม่ได้อยู่ในสายวิชาชีพตรวจสอบภายในก็ตาม ปัจจุบัน IIA ได้เผยแพร่เอกสารแสดงความคิดเห็นจำนวน 2 ฉบับ คือ

o The Role of Internal Auditing in Enterprise-wide Risk Management
o The Role of Internal Auditing in Resourcing the Internal Audit Activity

ส่วนที่ 2 ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories) เป็นสิ่งที่ช่วยให้ผู้ตรวจสอบภายใน สามารถปฏิบัติตามคำนิยามของการตรวจสอบภายใน ประมวลจรรยาบรรณ และมาตรฐาน รวมถึงส่งเสริมและเผยแพร่แนวทางการปฏิบัติที่ดีได้ ซึ่งข้อแนะนำเหล่านี้จะอธิบายถึงวิธีการทำงาน เทคนิค และสิ่งที่ควรพิจารณาในการปฏิบัติงานตรวจสอบภายใน แต่ไม่ใช่ขั้นตอนหรือกระบวนการปฏิบัติงานโดยละเอียด

อย่างไรก็ตาม ข้อแนะนำนี้ได้รวมถึงแนวปฏิบัติที่เกี่ยวข้องกับประเด็นในระดับสากล ระดับประเทศ หรือธุรกิจ และภารกิจเฉพาะ รวมถึงประเด็นทางกฎหมายและข้อบังคับต่าง ๆ ทั้งนี้ IIA ได้ทำการพัฒนาและบูรณาการเนื้อหาของข้อแนะนำฯ จากเดิม 83 ชุด เหลือเพียง 42 ชุด

ส่วนที่ 3 แนวปฏิบัติ (Practice Guides) จะให้แนวทางโดยละเอียดในการปฏิบัติงานตรวจสอบภายในซึ่งประกอบด้วยขั้นตอน และกระบวนการปฏิบัติงานโดยละเอียด เช่น เครื่องมือ เทคนิค โปรแกรม และวิธีการปฏิบัติทีละขั้นตอน รวมไปถึงตัวอย่างในการนำเสนอบริการ เป็นต้น ในปัจจุบัน IIA ได้ออกแนวปฏิบัติจำนวน 3 ประเภทด้วยกัน คือ

o Practice Guides ในหัวข้อต่าง ๆ 8 หัวข้อ เพื่อเป็นแนวปฏิบัติสำหรับผู้ตรวจสอบภายใน ในการจัดทำและแสดงความคิดเห็นทั้งระดับองค์กร และระดับฝ่าย ระดับส่วนงาน หรือระดับบุคคล เกี่ยวกับการกำกับดูแล การบริหารความเสี่ยงและระบบการควบคุมภายในขององค์กร เพื่อนำเสนอต่อผู้มีส่วนได้เสีย

o Global Technology Audit Guide (GTAG) ซึ่งเป็นแนวปฏิบัติเกี่ยวกับการบริหารจัดการ การควบคุม และการรักษาความปลอดภัยของระบบสารสนเทศ

o Guide to the Assessment of IT Risk (GAIT) ซึ่งเป็นแนวปฏิบัติที่อธิบายถึง ความสัมพันธ์ระหว่างความเสี่ยงกับรายงานงบการเงิน การควบคุมหลักภายในกระบวนการทางธุรกิจ การควบคุมโดยอัตโนมัติและการทำงานของสารสนเทศที่สำคัญ และการควบคุมหลักซึ่งอยู่ในการควบคุมทั่วไปของสารสนเทศ

นอกจากนี้ เมื่อท่านมีโอกาสได้อ่านกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่ ผมก็จะได้อธิบายถึงวิธีการนำกรอบ IPPF ที่เชื่อมโยงกับการตรวจสอบทางด้านทั่วไป (Non-IT) และทางด้านเทคโนโลยีสารสนเทศ (IT) ซึ่งรวมไปถึงการก้าวไปสู่การตรวจสอบเชิงบุรณาการของ Non-IT และ IT Audit เข้าด้วยกัน ที่เรียกกันว่า Integrated Audit ซึ่งจะเป็นสะพานเชื่อมโยงเป้าประสงค์หลักที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและภายนอกองค์กร ในโอกาสต่อ ๆ ไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF

มิถุนายน 24, 2011

ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายใน หรือแม้กระทั่งการตรวจสอบเพื่อรับรองงบการเงินจากผู้สอบบัญชีภายนอก ซึ่งต้องประเมินกรอบการปฏิบัติงาน และประสิทธิภาพการปฏิบัติงานการตรวจสอบภายใน เพื่อกำหนดขอบเขตการตรวจสอบทางด้าน IT Audit ระดับหนึ่ง ก่อนจะก้าวไปสู่การรับรองงบการเงินตามที่เห็นสมควรนั้น ผู้รับรองงบการเงินจะมีหน้าที่อย่างหนึ่งก็คือ การประเมินการควบคุมความเสี่ยง และผลกระทบความน่าเชื่อถือได้ของข้อมูลทางการเงิน จากระบบเทคโนโลยีสารสนเทศ การควบคุมความเสี่ยง ทั้งทางด้าน IT และ Non-IT และประสิทธิภาพการบริหารความเสี่ยงของผู้บริหาร และผู้ที่เกี่ยวข้องภายในองค์กรนั้น ๆ

กรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) จึงเป็นแนวทางที่สำคัญทั้งสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงินอย่างสำคัญ

โครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายใน มีผลเริ่มใช้ตั้งแต่เดือนมกราคม 2552 เป็นต้นมา ดังนั้น การปรับปรุงกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เดิม เป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) จึงเป็นเรื่องใหม่ ซึ่งทางสมาคมผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย แนะนำให้ท่านได้เห็นความแตกต่างระหว่าง PPF เดิม และรู้จักกับ IPPF ใหม่ เพื่อให้เข้าใจแนวการบริหารงานการตรวจสอบและการปฏิบัติงานตรวจสอบที่ได้มาตรฐาน

แต่ก่อนที่ท่านจะได้รู้จักกับกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่นั้น ผมขอให้ท่านลองติดตามกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เพื่อเป็นการทบทวนก่อนดังนี้ครับ :-

กรอบการปฏิบัติงานวิชาชีพ (Professional Practice Framework –PPF) เดิม
ประกอบ ด้วย 4 ส่วน คือ
1. คำจำกัดความของการตรวจสอบภายใน (Definition of Internal Auditing)
2. ประมวลจรรยาบรรณ (Code of Ethics)
3. มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards for the Professional Practice of Internal Auditing) และ
4. ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories – PA)

IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) โดยได้แบ่งเนื้อหาตามรูปดังนี้

iia-ippf-schematic_alltwentyfive

1. แนวทางหลัก (Mandatory Guidance)
ซึ่งเป็นหลักเกณฑ์ที่มีความจำเป็นสำหรับการปฏิบัติงานตรวจสอบภายใน และได้รับการพัฒนาโดยกระบวนการที่ผ่านการกลั่นกรองความถูกต้อง เชื่อถือได้เป็นอย่างดี รวมถึงได้มีการเผยแพร่ร่างกรอบโครงสร้างฯ สู่สาธารณชนเพื่อรับฟังความคิดเห็นจากผู้ประกอบวิชาชีพ และผู้ที่สนใจในช่วงระยะเวลาหนึ่ง ก่อนที่จะนำความเห็นที่ได้รับมาประมวล ปรับปรุงและประกาศใช้จริง ซึ่งแนวทางหลักนี้ประกอบไปด้วย 3 ส่วน คือ

ส่วนที่ 1 คำนิยามของการตรวจสอบภายใน (Definition) ซึ่งระบุถึงวัตถุประสงค์พื้นฐาน ลักษณะงาน และขอบเขตของงานตรวจสอบภายใน

ส่วนที่ 2 ประมวลจรรยาบรรณ (Code of Ethics) ซึ่งระบุถึงหลักการและหลักความประพฤติที่พึงปฏิบัติของผู้ตรวจสอบภายใน และองค์กรที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายใน ประมวลจรรยาบรรณนี้ได้บรรยายถึงแนวทางการปฏิบัติงาน และความประพฤติของผู้ตรวจสอบภายในที่คาดหวังในขั้นพื้นฐาน

ส่วนที่ 3 มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards) ซึ่งเน้นในหลักการและให้แนวทางในการปฏิบัติงาน และส่งเสริมงานตรวจสอบภายใน โดยเนื้อหาประกอบด้วย

1) แถลงการณ์ของความต้องการพื้นฐานสำหรับการปฏิบัติงานวิชาชีพตรวจสอบภายใน และการประเมินความมีประสิทธิผลของการปฏิบัติงานนั้น ๆ ซึ่งเป็นความต้องการในระดับสากล ที่สามารถนำมาปรับใช้ในระดับบุคคลหรือองค์กรได้

2) การตีความ ซึ่งให้คำอธิบายวลี หรือแนวความคิดที่ปรากฎอยู่ในแถลงการณ์นั้น ๆ
ซึ่งทั้ง 2 ส่วนนี้ เป็นสิ่งที่ผู้ประกอบวิชาชีพจำเป็นที่จะต้องให้ความสนใจเพื่อจะได้เข้าใจ และสามารถนำมาตรฐานไปปฏิบัติได้อย่างถูกต้อง นอกจากนี้ มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายในยังมีภาคศัพท์ ซึ่งจะอธิบายความหมายของคำเฉพาะต่าง ๆ ที่ใช้ในมาตรฐานอีกด้วย

สำหรับกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) ที่ทบทวนกันในวันนี้ผมขอนำเสนอเพียงแนวทางหลักก่อนนะครับ ครั้งหน้าผมจะมานำเสนอในแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อไปครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

วิสัยทัศน์ มาก่อน นโยบายและกลยุทธ์เสมอ…

มิถุนายน 2, 2011

vision

หากประเทศ หรือองค์กรใด ขาดวิสัยทัศน์ที่มีลักษณะเป็นเข็มทิศ นำนาวาของประเทศและขององค์กรไปสู่เป้าประสงค์ในระยะยาว เช่น “ในปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” แต่ไปกำหนดนโยบายที่ตามด้วยกลยุทธ์ รวมทั้งแผนงานและโครงการต่าง ๆ ถึงจะมี KPI และ KRI เป็นตัวกำกับและตัวชี้วัดผลการปฎิบัติงานที่ดูเหมือนจะดี และเป็นไปตามกระบวนการบริหารจัดการที่ดีนั้น น่าจะมีปัญหาการบูรณาการของการหล่อหลอมนโยบาย กลยุทธ์ แผนงานและโครงการต่าง ๆ ที่ดีและเหมาะสม และมีคุณภาพ โดยการใช้ทรัพยากรของประเทศและองค์กรอย่างมีคุณค่าที่แท้จริง

ทั้งนี้ก็เพราะประเทศหรือองค์กรนั้น ยังขาดวิสัยทัศน์ ซึ่งเป็นธงหลักและจำเป็นอย่างยิ่งที่นาวาของรัฐ และองค์กรที่มีประชาชน หรือผู้ที่อยู่นาวาลำนั้น ต้องช่วยกันขับเคลื่อนเป้าประสงค์ต่าง ๆ ไปในทิศทางเดียวกัน สิ่งนั้นคือ “วิสัยทัศน์”

ในการบริหารจัดการองค์กรโดยทั่วไป มีการกล่าวกันไว้ว่า หากขาดวิสัยทัศน์และพันธกิจที่ชัดเจน ประเทศหรือองค์กรก็ไม่น่าจะบริหารงานที่มีประสิทธิภาพ ประสิทธิผลที่ดีได้ ตามหลักการบริหารจัดการที่ดี ทั้งในมุมมองของ CG และ ITG ที่ก้าวไปสู่ GRC ซึ่งเป็นการบริหารแบบบูรณาการ ในลักษณะที่เรียกว่า Integrity – Driven Performance ซึ่งผมเคยอธิบายไปแล้ว และหากมีโอกาสผมจะได้มาแบ่งปันข้อมูลในมุมมองอื่น ๆ ต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Audit and Management in practices ตอน 2

มิถุนายน 2, 2011

ท่านผู้อ่านครับ ใน http://www.itgthailand.com ผมมีเรื่องที่ตั้งเป็นหมวดหมู่ไว้แลกเปลี่ยนสารสนเทศกับผู้อ่าน รวม 8 หมวดหมู่ด้วยกันนั้น ในที่สุดหมวดหมู่เรื่องต่าง ๆ ตามที่ผมได้แบ่งเอาไว้ให้ท่านผู้อ่านสามารถเลือกติดตามได้ตามที่ท่านสนใจนั้น เมื่อท่านได้อ่านมาถึงในช่วงเวลานี้ ก็จะเริ่มมีข้อสังเกตว่า หมวดหมู่ต่าง ๆ ในแต่ละหัวข้อเริ่มมีความสัมพันธ์และเกี่ยวเนื่องกันมากยิ่งขึ้น +++

อย่างเช่น เรื่องที่เกี่ยวกับ IT Audit และ Non IT Audit เรื่องทั้ง 2 ได้แยกออกเป็น 2 หมวดหมู่อย่างชัดเจนตั้งแต่แรกนั้น แต่ก็ยังไม่ปรากฎว่าผมได้อธิบายแ่ต่ละหมวดหมู่ดังกล่าวที่เกี่ยวข้องกับการตรวจสอบภายในออกจากกันเลยดังที่ตั้งใจไว้แต่ต้น…

ทั้งนี้เพราะผมต้องการให้ท่านเห็นภาพการตรวจสอบภายในที่มีวัตถุประสงค์หลัก ๆ 2 ประการด้วยกันคือ การตรวจสอบเพื่อสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) และให้คำปรึกษา (Consultant) ที่เกี่ยวข้องกับความน่าเชื่อถือได้ของงบการเงิน และรายงานต่าง ๆ รวมทั้งการบริหารความเสี่ยง และการควบคุมภายในเกี่ยวกับความน่าเชื่อถือได้ต่อกระบวนการบริหารและการดำเนินงานขององค์กรว่า รายงานทางการเงินและรายงานที่มิใช่การเงิน มีความถูกต้อง และหากกระบวนการบริหารซึ่งส่วนใหญ่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ซึ่งมีผลกระทบต่อธุรกิจ และเป้าหมายต่าง ๆ ขององค์กร ผู้ตรวจสอบภายในก็จะให้คำแนะนำ และให้คำปรึกษาต่อผู้มีผลประโยชน์ร่วมที่เกี่ยวข้อง

นอกจากนี้ ผู้ตรวจสอบภายในจะต้องปฏิบัติงานวิชาชีพการตรวจสอบภายในให้เป็นไปตามมาตรฐานสากลตามที่ปรากฎใน International Standards for The Professional Practice of Internal Auditing ซึ่งมีการปรับปรุงเพิ่มเติมและแก้ไขโดยคณะกรรมการวิชาการและวิจัยในระดับสากล ซึ่งประเทศไทยก็ได้ประยุกต์ในการนำหลักการดังกล่าวมาใช้เป็นมาตรฐานการตรวจสอบของผู้ตรวจสอบภายใน ซึ่้งสอดคล้องกับแนวทางการกำกับของสำนักงานคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ซึ่งท่านสามารถติดตามรายละเอียดได้จาก ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546

จากแผนภาพ Control Framework ครั้งที่แล้ว ท่านผู้อ่านจะได้เห็นภาพที่มาของงบการเงิน และรายการทางบัญชีที่สำคัญที่ต้องผ่านกระบวนการปฏิบัติการของระบบงานต่าง ๆ อย่างเป็นลำดับ และผสมผสานกัน ซึ่งจะเกี่ยวข้องกับระบบการประมวลผลทางด้านเทคโนโลยีสารสนเทศ หรืออาจจะกล่าวได้อีกมุมหนึ่งว่า เกี่ยวข้องกับระบบข้อมูลและสารสนเทศที่ผ่านกระบวนการควบคุมในลักษณะอัตโนมัติ (Automated Application Controls) ซึ่งเกี่ยวข้องกับระบบงานต่าง ๆ ทางด้านความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นกระบวนการ ตั้งแต่ Input – Process – Output Control รวมทั้งผลกระทบของการเชื่อมโยงของการประมวลผลดังกล่าวข้างต้น ที่เชื่อมโยงข้ามระบบงานและข้ามสายงานทั่วทั้งองค์กร รวมทั้งบางส่วนจะเกี่ยวข้องกับการควบคุม โดยระบบ Manual หรือด้วยบุคคล (People) ซึ่งเชื่อมโยงและโยงใยไปยังขั้นตอนการประมวลผล ในการประมวลงานทางด้าน Input – Process – Output ในแต่ละระบงานทั่วทั้งองค์กร (Interface Controls)

Risk Map ด้าน Control and Integrated Audit

นอกจากนั้น การควบคุมระบบงานดังกล่าว ยังเชื่อมโยงและเกี่ยวข้องกับระบบ Infrastructure ด้านสารสนเทศ ที่เกี่ยวข้องกับ Database, Platform, Operating System และ Network (โปรดดูแผนภาพที่แสดงในข้อเขียนครั้งที่แล้วอีกครั้ง) ซึ่งในเรื่องนี้จะเกี่ยวข้องกับ IT General Controls โดยอธิบายสั้น ๆ ได้ว่า เป็นการติดตามและตรวจสอบการควบคุมทางด้าน Change Development Security, Computer Operations และ IT Governance +++

ท่านผู้บริหารและผู้ตรวจสอบครับ เมื่อท่านได้อ่านมาถึงช่วงนี้ และได้ดูภาพประกอบจากครั้งที่แล้ว ท่านคงจะเห็นด้วยกับผมนะครับว่า การตรวจสอบความน่าเชื่อถือของงบทางการเิงิน และรายงานทางการเงิน และรายงานอื่น ๆ ที่เกี่ยวข้องกับการบริหารธุรกิจและการจัดการองค์กรนั้น เป็นไปไม่ได้เลยที่ผู้ตรวจสอบภายในจะปฏิบัติงานตรวจสอบทั่วไป โดยไม่คำนึงถึงผลกระทบของความเสี่ยงทางด้าน IT Risk ที่ีมีต่อ Business Process ที่นำผลกระทบไปสู่ Business Objective ในทุกมุมมองของการบริหารจัดการ ตามหลักการของ Business Balance Score Card และ Information Balance Score Card

การเชื่อมโยงกระบวนการปฏิบัติงานการตรวจสอบ Integrated Audit

หากท่านพิจารณาว่า การตรวจสอบในลักษณะดั้งเดิม (Conventional Audit) เป็นการตรวจสอบในลักษณะ SILO – Based โดยการแยกการตรวจสอบด้าน IT และการตรวจสอบด้าน Non – IT โดยขาดความเข้าใจในความเสี่ยงโดยรวม โดยเฉพาะทางด้าน IT Risk ที่มีผลต่อ Financial Risk และ Business Risk นั้นจะเป็นการเหมาะสม

นั่นคือ การก้าวไปสู่การตรวจสอบในลักษณะ Integrated Audit และ Integrated Management ตามที่ได้กล่าวไว้ในข้อเขียนครั้งที่แล้ว ซึ่งผมจะอธิบายและขยายความในรายละเอียดต่อ ๆ ไป ในช่วงเวลานี้ อาจจะมีท่านผู้ตรวจสอบ และท่านผู้บริหารบางท่าน อาจมีมุมมองที่แตกต่างกันอย่างมีนัยสำคัญได้นั้น คงต้องขอความกรุณาได้โปรดติดตามข้อเขียนเกี่ยวกับเรื่องนี้ที่จะอธิบายรายละเอียดในหลายมุมมองต่อไปครับ

Integrated Audit และ Integrated Management เป็นส่วนหนึ่งของ Integrated GRC ครับ +++

1 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

วิสัยทัศน์ของประเทศและขององค์กร กับ GRC เพื่อการเติบโตอย่างยั่งยืน

พ.ค. 21, 2011

วันนี้ผมจะนำเสนอในเรื่องที่ค้างคาใจของผมมานานแล้วก็คือ ผมอยากจะเห็น อยากได้อ่าน การกำหนดวิสัยทัศน์ของประเทศไทยที่ชัดเจน และเป็นรูปธรรม เป็นลายลักษณ์อักษร เพื่อเป็นทิศทางที่จะกำหนดพันธกิจ นโยบายและกลยุทธ์ของประเทศ รวมทั้งการจัดทำแผนงาน / โครงการต่าง ๆ ที่จะมีความชัดเจนและใช้ทรัพยากรอย่างมีคุณภาพยิ่งขึ้น หากประเทศไทยเรากำหนดวิสัยทัศน์อย่างเหมาะสม

ตามความเห็นของผมจึงได้นำเสนอวิสัยทัศน์ที่น่าจะเป็นไปได้มากของประเทศไทยที่อาจจะเรียกว่าเป็นการฉลองครบรอบ 100 ปีของการบริหารประเทศแบบประชาธิปไตย คือเริ่มตั้งแต่ปี พ.ศ. 2475 – 2575 โดยกำหนดเป็นวิสัยทัศน์ที่น่าจะท้าทายพอสมควร และเป็นเข็มทิศของประเทศว่า “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว”

ท่านผู้อ่านคิดว่าน่าจะดีไหมครับ ท่านผู้อ่านเคยได้ยิน หรือเคยเห็นว่าประเทศไทยมีการกำหนดวิสัยทัศน์ของประเทศไทยไว้ไหมครับ และเคยแปลกใจไหมว่า เราบริหารประเทศมากว่า 75 ปี ในแบบประชาธิปไตยนั้น ทิศทางที่เราต้องการจะเป็นหรือต้องการจะเห็นในอนาคตของประเทศไทยนั้นคืออะไร

นโยบายและแผนงานต่าง ๆ ที่กำหนดขึ้นมาโดยไร้ทิศทางที่กำหนดวิสัยทัศน์อย่างชัดเจนนั้น จะกำหนดแผนงานและโครงการอย่างไรให้เป็นไปอย่างสอดคล้องกันทั่วทั้งประเทศ ทั้งทางด้านเศรษฐกิจ การเงิน รวมทั้งความมั่นคงของประเทศ ถ้าหากขาดเป้าหมายที่ต้องการในอนาคต ในระดับชาติหรือองค์กร

ดังนั้นประเทศไทยจะนำแนวทางการบริหารประเทศแบบหลอมรวมและบรูณาการตามหลักการ GRC มาใช้ เพื่อให้เกิดการสอดประสานในนโยบาย รวมทั้งแผนงาน / โครงการต่าง ๆ ไม่ได้ดีเท่าที่ควร ถ้าหากขาดวิสัยทัศน์ที่ชัดเจน…

ท่านลองนึกดูนะครับว่า หากตัวท่านเองหรือองค์กรที่ท่านบริหารขาดวิสัยทัศน์ที่ชัดเจน ท่านหรือองค์กรที่ท่านบริหารจะมีทิศทางในการบริหารความสำเร็จในชีวิตของท่าน องค์กรของท่าน หรือประเทศของเราอย่างไร…

จริงอยู่ตัวเราเอง องค์กร และประเทศของเรา ก็บริหารกันมาด้วยดีตามสมควรมาโดยตลอด แต่เมื่อเทียบกับประเทศอื่น ๆ ที่มีวิสัยทัศน์ที่ชัดเจน และรวมพลังกันในการขับเคลื่อนให้วิสัยทัศน์นั้นเป็นจริง โดยการกำหนดนโยบาย กลยุทธ์ และแผนงาน / โครงการต่าง ๆ อย่างสอดประสานกันทั่วทั้งประเทศอย่างประเทศเพื่อนบ้านของเราหลายประเทศที่กำหนดวิสัยทัศน์อย่างชัดเจน เช่น ประเทศมาเลเซีย ที่กำหนดว่า “ภายใน ปี ค.ศ. 2020 ประเทศมาเลยเซียจะเป็นประเทศที่พัฒนาแล้ว” เป็นต้น

ดังนั้น ผมจึงขอนำเสนอเรื่องวิสัยทัศน์กับการบริหารประเทศแบบหลอมรวมและบรูณาการ / GRC ซึ่งอาจอธิบายประกอบกับภาพโดยย่อ ๆ ดังนี้นะครับ

ความหมายของ GRC ก็คือ G = Governance, R = Risk Management, C = Compliance
หากกล่าวเพียงแค่นี้ หลายท่านก็จะพูดว่า องค์กรของเรามี GRC แล้ว แต่แท้จริงแล้ว GRC มีความหมายมากกว่า G + R + C วิธีการง่าย ๆ ในการประเมินตนเองในเรื่องนี้ก็คือ หากองค์กรของท่านมีนโยบายเรื่อง G R C แยกต่างหากจากกัน และมีสายงานที่รับผิดชอบในเรื่องนั้น ๆ โดยเฉพาะ องค์กรของท่านถือว่ายังไม่มีการบริหารในแบบ GRC ที่แท้จริง เพราะการบริหารแบบ GRC เป็นการบริหารแบบหลอมรวมและบูรณาการ G + R + C เป็นหนึ่งเดียวเท่านั้น ผมขออธิบายตามรูปภาพย่อ ๆ ดังนี้ จากภาพเลข 6 เป็นการบริหารแบบ GRC ที่สมบูรณ์ ส่วนภาพเลข 5 เป็นการบริหารแบบ GRC ในลักษณะหนึ่งที่ยังต้องการความหลอมรวมไปสู่ GRC ภาพเลข 6 ซึ่งต้องใช้ IT – Based เป็นตัวเชื่อมในลักษณะ Technology Convergence

GRC กับวิสัยทัศน์ของประเทศและองค์กร

ท่านผู้อ่านคงอาจจะสังเกตได้นะครับว่า เว็บนี้เริ่มนำเสนอความคิดที่เกี่ยวข้องกับ วิสัยทัศน์ของประเทศไทยที่น่าจะเป็น และท้าทายก็คือ “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” นั่นคือ การบริหารประเทศหรือการบริหารองค์กร จำเป็นอย่างยิ่งที่ต้องกำหนดทิศทางของประเทศและองค์กรในอนาคตที่ชัดเจน เพื่อให้เกิดพันธกิจ นโยบาย กลยุทธ์ รวมทั้งแผนงาน / โครงการที่จะดำเนินการภายใต้กลยุทธ์และนโยบายตามพันธกิจ สู่วิสัยทัศน์อย่างเป็นระบบ ซึ่งจะก่อให้เกิดการบริหารแบบสอดประสานและบูรณาการของแผนงาน และโครงการต่าง ๆ ที่มีประสิทธิภาพและประสิทธิผล ในการบริหารทรัพยากรของประเทศและองค์กรอย่างเป็นรูปธรรม และจะก่อให้เกิดการบูรณาการ Integrated Management ในระดับต่าง ๆ เพื่อก้าวไปสู่ Integrity – Driven Performance ที่เป็นแนวทางการบริหารแบบหลอมรวม และบูรณาการที่เรียกว่า GRC อย่างแท้จริง

ความหมายของคำว่า Integrity – Driven Performance ที่น่าจะเข้าใจได้ง่าย ก็คือ การขับเคลื่อนการบริหาร และการจัดการขององค์กรไปสู่ความสมบูรณ์แบบ / Integrity โดยใช้ IT – Based ไปขับเคลื่อนกระบวนการปฏิบัติงาน ตั้งแต่ระดับบนไปสู่ระดับปฏิบัติการ อย่างเป็นระบบ และมีระเบียบ เป็นขั้นตอน เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรมีการบริหารในลักษณะบูรณาการ / Integrated ในทุกองค์ประกอบที่เกี่ยวข้องกับ Governance (CG + ITG +++), Risk Management (IT และ Non – IT ซึ่งประกอบด้วย CobiT / ITIL + COSO – ERM) และ Compliance (การปฏิบัติตามกฎหมาย กฎเกณฑ์ คำสั่ง ระเบียบ การปฏิบัติตามสัญญา +++ รวมทั้งการปฏิบัติตามมาตรฐาน / Good Practice / Lesson – Learned ต่าง ๆ ที่เกี่ยวข้อง) โดยมีการติดตามการบริหาร (Monitoring) และการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk Based Internal Audit Approach) อย่างเป็นระบบที่เน้นไปในลักษณะของ Continuous Monitoring / Auditing และการรายงาน รวมทั้ง การปฏิบัติงานที่มีประสิทธิภาพในระดับต่าง ๆ +++

ทั้งนี้ หลักการของ GRC จะสมบูรณ์ไม่ได้เลยหากประเทศหรือองค์กร ขาดหลักการและแนวทาง การมี การใช้ อย่างเป็นรูปธรรมของจรรยาบรรณ และจริยธรรม (Ethics) และการปรับเปลี่ยนวัฒนธรรม รวมทั้งสภาพแวดล้อมที่ไม่เหมาะสมและไม่สอดคล้องกับหลักการของ Governance เช่น ความโปร่งใสที่ตรวจสอบได้ (Transparency) ความรู้ความสามารถในการปฏิบัติหน้าที่ (Responsibility) ความรับผิดชอบในผลของการปฏิบัติงาน (Accountability) การปฏิบัติโดยเท่าเทียมกัน (Equitable Treatment) การมีวิสัยทัศน์เพื่อสร้างความเติบโตอย่างยั่งยืน (Creation of Long Term Value – Sustainable Growth) การดูแลสังคมและสภาพแวดล้อมที่ดี (Social and Environmental Awareness) และการส่งเสริมการปฏิบัติอันเป็นเลิศและการมีจรรยาบรรณาที่ดีในการประกอบธุรกิจ (Promotion of Best Practices)

An Integrated Approach To GRC

ทั้งนี้ การบริหารในแบบ GRC นี้จะต้องคำนึงถึง ผู้มีผลประโยชน์ร่วม และสังคม (Stakeholders) มากกว่าผู้ถือหุ้น (Shareholders) ที่ผู้บริหารประเทศและคณะกรรมการระดับสูงขององค์กรต้องเป็นผู้กำหนดวิสัยทัศน์ และนโยบายที่ชัดเจน ในลักษณะ Tone at the top ด้วยจิตวิญญาณของความรับผิดชอบต่อประเทศ / องค์กร เพื่อก้าวไปสู่พันธกิจและวิสัยทัศน์ที่กำหนดอย่างมุ่งมั่น และทุ่มเท

อย่างไรก็ดี การที่ประเทศหรือองค์กรจะบริหารได้ดีมีประสิทธิภาพในลักษณะการบริหารแบบบูรณาการและการหลอมรวมกระบวนการจัดการต่าง ๆ เป็นหนึ่งเดียว ที่มิใช่นำเพียง G + R + C มารวมกันเท่านั้น เป็นเรื่องท้าทายยิ่ง เพราะการประสานงานและกระบวนการจัดการต่าง ๆ ที่หลอมรวมแบบบูรณาการเป็นหนึ่งเดียวกันนั้น จะเกิดไม่ได้เลย ถ้าประเทศหรือองค์กร ไม่มีวิสัยทัศน์ที่ชัดเจน หรือไม่กำหนดวิสัยทัศน์ในการบริหารจัดการประเทศ หรือองค์กรอย่างเป็นรูปธรรม เพราะพันธกิจ นโยบาย และแผนงาน/โครงการต่าง ๆ ที่ตามมาจะขาดทิศทางที่ชัดเจน ที่จะก่อให้เกิดการบริหารแบบบูรณาการ (Integrated Management) เพื่อก้าวไปสู่การบริหารแบบหลอมรวมและบูรณาการ ตามแบบฉบับของ GRC ที่แท้จริงนะครับ

1 ความเห็น | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Audit and Management in practices

พ.ค. 9, 2011

เมื่อวันที่ 19 ก.พ. 2554 ผมได้ร่วมกับประธานสมาคม ISACA ซึ่งเป็นสมาคมที่สร้างความเชื่อมั่นและสร้างสรรค์คุณค่าจากระบบสารสนเทศของ Bangkok Chapter และผู้บริหารงานตรวจสอบภายในของ บริษัท AIS บรรยายเรื่อง “Integrated Audit in practices” ซึ่งยังเป็นเรื่องใหม่มากในประเทศไทย เพราะเป็นการหลอมรวมการตรวจสอบทางด้าน IT Audit และ Non – IT Audit เข้าด้วยกัน เพื่อผลประโยชน์ของ Stakeholders ที่สนใจในมุมมองนี้มากกว่าการตรวจสอบที่แยกกันระหว่าง IT Audit และ Non – IT Audit

ในส่วนของผมเอง ได้อธิบายถึง ความหมายของการตรวจสอบในลักษณะ Integrated Audit ซึ่งสรุปได้ ดังนี้

1. การหลอมรวม / บูรณาการ (Integrated) การตรวจสอบระหว่าง IT Audit/Non – IT Audit กับ Financial Audit และ Audit ประเภทอื่น ๆ ทุกประเภท

2. การหลอมรวม / บูรณาการ (Integrated) กระบวนการตรวจสอบ ตามเป้าประสงค์หลักของการตรวจสอบทางด้าน IT Audit ที่คำนึงถึงผลกระทบของ IT Risks ต่อ Business Risks

3. การหลอมรวม / บูรณาการ กระบวนการตรวจสอบตามเป้าประสงค์หลักของการตรวจสอบทางด้าน Financial Audit และ Audit อื่น ๆ ทุกประเภท โดยคำนึงถึงผลกระทบของ IT Risks ที่มีต่อ Business Risks เพื่อการบรรลุแผนงาน พันธกิจ กลยุทธ์ และวิสัยทัศน์ขององค์กร

4. การผสมผสานแนวความคิดของกระบวนการบริหาร การติดตามผลการดำเนินงาน และผลกระทบของการบริหารความเสี่ยง จากกลยุทธ์ต่าง ๆ ทั้งด้าน IT และ Non – IT ที่ควรสอดคล้อง และสัมพันธ์กับเป้าประสงค์ขององค์กร ตามหลักการ Business BSC. และ
Information Balanced Scorecard

5. การนำแนวความคิดการบริหารตามหลักการ GRC – Integrity Driven Performance ซึ่งใช้ฐาน IT – Based ในการติดตามผลการดำเนินงาน และการตรวจสอบ ตามมาตรฐานและองค์ประกอบที่เกี่ยวข้อง ++

6. การคำนึงถึงผู้มีผลประโยชน์ร่วม (Stakeholders) และ Sustainable Development (CSR) และกติกาของสังคมนานาชาติ และของประเทศ ในองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน

what is integrated audit

นอกจากนี้ยังอธิบายถึงว่า ทำไมผู้มีผลประโยชน์ร่วมและผู้บริหารจึงต้องการเห็น การตรวจสอบในลักษณะ Integrated Audit

1. เพื่อให้สอดคล้องกับหลักการบริหาร GRC ซึ่งเป็นแนวทางการบริหารยุคใหม่ในปัจจุบัน ที่ใช้หลักการบูรณาการการบริหาร (Integrated Management) เพื่อสร้างคุณค่าเพิ่ม / ประโยชน์ (Value) ให้กับองค์กรและประเทศชาติโดยรวม

2. เพื่อให้สอดคล้องกับหลักการ Interdependency และแนวความคิดที่ว่า องค์ประกอบของชีวิตและการบริหารการจัดการที่ไม่ควรพิจารณาตาม Silo – Based

3. Business Strategies เป็นผู้ขับเคลื่อน IT Strategies และนโยบายทางด้าน IT ต้องสัมพันธ์กับนโยบายทางด้าน Business ในทุกมุมมอง และในทุกระดับของกระบวนการจัดการที่ดี (CG + ITG / GRC)

4. IT Risks ก็คือ Business Risks ซึ่งองค์กรจะต้องมีนโยบาย กลยุทธ์ กระบวนการจัดการ วิธีการปฏิบัติ เพื่อนำไปสู่การขับเคลื่อนพันธกิจ และวิสัยทัศน์ขององค์กร และของประเทศที่สอดคล้องกัน และแยกกันพิจารณาไม่ได้

5. Monitoring โดยผู้บริหาร และการ Auditing โดยผู้ตรวจสอบทุกประเภท เป็นเรื่องเดียวกันแต่มีมุมมองในการจัดการและ Accountability / Responsibility ที่แตกต่างกัน แต่ต้องการการประสานงานที่ใกล้ชิด ตามมุมมองขององค์กรยุคใหม่ที่ใช้คอมพิวเตอร์ในการขับเคลื่อนเป็นหลัก

6. Continuous Management / Continuous Controls กับ Continuous Auditing ตามมาตรฐานของ IIA และ ISACA จะใช้กระบวนการทาง IT เป็นสำคัญ

7. เพื่อให้เกิดการ Assurance ของ Business โดยผู้ตรวจสอบ ต่อกระบวนการตัดสินใจจากรายงานที่ได้รับ

8. เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลต่อ Stakeholders ถึงข้อมูลและสารสนเทศ มีองค์ประกอบที่ดีและถูกต้อง เชื่อถือได้ และมีสารสนเทศใช้เพื่อการตัดสินใจได้ทุกเวลา และมั่นใจได้ว่า ธุรกิจสามารถขับเคลื่อนไปได้อย่างต่อเนื่อง จากการบริหารที่ได้มาตรฐาน

การตรวจสอบในลักษณะ Integrated Audit จะน่าสนใจยิ่งขึ้น หากจะอธิบายในมุมมองของการบริหารในลักษณะ GRC ซึ่งเป็นการบริหารยุคใหม่ ที่เป็นการหลอมรวมการบริหารจัดการที่ดีที่ทั่วโลกกำลังให้ความสนใจ ดังภาพด้านล่าง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสต่อไป

Integrated Audit and Integrated Mgmt Perspectives

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12

เมษายน 29, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

สวัสดีครับทุกท่าน ในครั้งก่อนผมได้กล่าวถึงประเด็นสำคัญที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย ผู้บริหารระดับสูงองค์กร ควรต้องพิจารณาในการควบคุมความเสี่ยง เช่น เรื่องของระบบการควบคุมความเสี่ยง นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง การสอบทานแผนงาน/โครงการใหม่ ซึ่งได้นำเสนอไปแล้วนั้น สำหรับตอนนี้จะขอนำเสนอประเด็นที่ควรพิจารณาต่อเลยนะครับ

4. มาตรฐานหรือเกณฑ์ขั้นต่ำในการพิจารณาแผนงาน/โครงการใหม่

องค์กรควรมีกระบวนการและหลักเกณฑ์ในการพิจารณาอนุมัติ การนำเสนอแผนงานหรือโครงการใหม่ ๆ อย่างรอบคอบและรัดกุม ซึ่งส่วนใหญแล้วจะเป็นการวิเคราะห์ความสำเร็จของงาน โดยเปรียบเทียบระหว่างผลสำเร็จ ตัวชี้วัด และความเสี่ยงที่ยอมรับได้ นอกจากนี้ องค์กรควรมีการจัดทํารายงาน ติดตามผลการดําเนินงานภายหลังการดำเนินงานตามแผนงาน เพื่อประเมินความสําเร็จว่าจะดําเนินกลยุทธ์อย่างไรต่อไป เช่น หากแผน
งาน/โครงการใหม่ดังกล่าวไม่ประสบผลสําเร็จ องค์กรอาจพิจารณาแนวทางแก้ไขหรือตัดสินใจยกเลิกแผนงาน/โครงการที่ต่อเนื่อง

ความเชื่อมโยงระหว่างยุทธศาสตร์ การบริหารความเสี่ยง

5. คุณภาพและประสิทธิผลของระบบการควบคุมภายใน

ระบบการควบคุมภายในจะช่วยให้องค์กรปฏิบัติงานได้อย่างมีประสิทธิผล มีรายงานที่เชื่อถือได้ มีการดูแลรักษาทรัพย์สิน และช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายที่กําหนด องค์กรควรกําหนดให้มีผู้ตรวจสอบภายในที่เป็น อิสระ ทําหน้าที่รายงานผลการตรวจสอบภายใน หรือผลการสอบทานระบบโดยตรงต่อคณะกรรมการฯ หรือคณะกรรมการตรวจสอบอย่างเป็นลายลักษณ์อักษร เพื่อดําเนินการแก้ไขได้ ทันท่วงที โดยองค์กรควรดําเนินการหรือจัดให้มีรายการต่อไปนี้

(1) มีระบบการควบคุมภายในที่เหมาะสมสําหรับประเภท และระดับความเสี่ยงที่เกิดขึ้นจากลักษณะและขอบเขตของธุรกิจ

(2) มีสายการบังคับบัญชาและหน้าที่ความรับผิดชอบที่ชัดเจน และเป็นลายลักษณ์อักษร เพื่อการควบคุมและติดตามการปฏิบัติตามนโยบาย ขั้นตอนการบริหาร ความเสี่ยง และเพดานความเสี่ยง

(3) มีการแบ่งแยกหน้าที่และการรายงานระหว่างการปฏิบัติและการควบคุมอย่างชัดเจน

(4) มีขั้นตอนการตรวจสอบ และสอบทานการควบคุมภายในด้านต่าง ๆ อย่างอิสระและเป็นรูปธรรม ได้แก่ ขอบเขตและขั้นตอนการปฏิบัติงาน การรายงาน ข้อเท็จจริงที่พบ และการแก้ไขตามผลการตรวจสอบ รวมทั้งระบบจัดการข้อมูลและระบบการรายงานต่าง ๆ

(5) มีการจัดทํารายงานผลการตรวจสอบและสอบทาน และรายงานการปฏิบัติที่ไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ต่าง ๆ รวมทั้งผลการสอบสวนและการดําเนินการแก้ไขที่เชื่อถือได้ ถูกต้อง ทันกาล และเป็นลายลักษณ์อักษร

(6) คณะกรรมการตรวจสอบหรือคณะกรรมการฯ ควรสอบทานประสิทธิผลของการตรวจสอบภายใน และการควบคุมอื่นอย่างสม่ำเสมอ เพื่อแก้ไขข้อบกพร่องที่มีนัยสําคัญได้อย่างเหมาะสมและทันกาล

6. แผนการสร้างผู้บริหารทดแทนและการฝึกอบรม

การบริหารบุคคลครอบคลุมการกําหนดโครงสร้างของฝ่ายงานที่รับผิดชอบในด้านการวางแผนคัดเลือกพนักงาน การกําหนดตําแหน่งงานและรายละเอียดลักษณะงาน การพัฒนาและฝึกอบรมที่เหมาะสม ระบบการประเมินผลการปฏิบัติงาน และผลตอบแทนการจัดการด้านโครงสร้างเงินเดือน และเครือข่ายการติดต่อสื่อสารที่มีประสิทธิผล

วัตถุประสงค์ของการบริหารบุคคล คือ
(1) เพื่อให้การดําเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับนโยบายองค์กร

(2) เพื่อให้มีบุคลากรที่มีคุณภาพเพียงพอที่จะปฏิบัติงานตามหน้าที่ความรับผิดชอบ และสามารถคัดเลือกพนักงานที่มีคุณภาพมาทดแทนได้อย่างเหมาะสม ดังนั้น ฝ่ายบริหารบุคคลจึงมีบทบาทสําคัญในการเตรียมความพร้อมด้านบุคลากรให้สอดคล้องหรือรองรับกับทิศทางกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรกําหนดรายละเอียดของลักษณะงาน (job description) ระบบการประเมินผลการปฏิบัติงาน โครงสร้างเงินเดือน ผลตอบแทน และบทลงโทษที่เหมาะสม เพื่อให้ผลการดําเนินงานและหน้าที่ความรับผิดชอบเหล่านั้น สอดคล้องกับกลยุทธ์และเป้าหมายที่กําหนดไว้ รวมทั้งควรจัดเตรียมแผนการสร้างผู้บริหารทดแทน เพื่อให้องค์กรสามารถดําเนินธุรกิจได้อย่างต่อเนื่อง

ซึ่งแนวทางหนึ่งคือ สนับสนุนผู้บริหารรุ่นใหม่ที่มีความสามารถให้มีความรู้และประสบการณ์ที่จําเป็นสําหรับการปฏิบัติงานในระดับสูงขึ้นต่อไป ทั้งนี้ ฝ่ายบริหารควรกําหนดรายละเอียดเกี่ยวกับคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่งระดับบริหาร โปรแกรมการฝึกอบรม และการฝึกงานที่จําเป็นไว้ด้วย เพื่อให้มั่นใจว่า องค์กรสามารถดํารงไว้ซึ่งผู้บริหารที่มีความสามารถ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมายควรกําหนดมาตรการ ดังนี้

(1) ทบทวนผลการปฏิบัติงานของผู้บริหารระดับสูง โดยเปรียบเทียบกับเป้าหมายที่กําหนดไว้อย่างน้อยปีละครั้ง เพื่อให้ทราบว่าผลการปฏิบัติงานอยู่ในระดับที่น่าพอใจเพียงใด สามารถดําเนินการให้บรรลุเป้าหมายที่กําหนดไว้ได้มากน้อยเพียงใด โดยอาจพิจารณาได้จากผลประกอบการทั้งในเชิงคุณภาพและเชิงปริมาณ เปรียบเทียบกับแผนดําเนินงานและงบประมาณ การลงทุน ส่วนแบ่งตลาด ความสามารถในการแข่งขัน และระดับความเสี่ยง เป็นต้น

(2) กําหนดนโยบายหรือแผนการเกี่ยวกับการสร้างตําแหน่งผู้บริหารทดแทน ควรมีการจัดทําและทบทวนนโยบายอย่างน้อยปีละครั้ง ให้เหมาะสมกับโครงสร้างองค์กรและลักษณะงาน โดยควรครอบคลุมถึงกระบวนการในการฝึกอบรม การฝึกงานที่จําเป็น รายละเอียดคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่ง เป็นต้น

(3) ทบทวนสัญญาว่าจ้างผู้บริหารภายนอกในสาระสําคัญ กรณีที่มีการว่าจ้างผู้บริหารมืออาชีพจากภายนอก ที่ปรึกษา หรือผู้เชี่ยวชาญ เพื่อปฏิบัติหน้าที่เป็นกรณีพิเศษ ควรมีการสอบทานความเหมาะสมของสัญญาว่าจ้าง เพื่อกําหนดบทบาทหน้าที่ และเกณฑ์การประเมินผลการปฏิบัติงาน และการจ่ายค่าตอบแทนที่ชัดเจน

ทั้งนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีสิทธิและอํานาจการตัดสินใจที่สําคัญ รวมทั้งสามารถสอบทานผลการปฏิบัติงานของบุคคลดังกล่าว คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรดําเนินการติดตามและควบคุมการปฏิบัติงานของบุคคลภายนอก เพื่อป้องกันไม่ให้มีการแสวงหาผลประโยชน์จากองค์กร เช่น
(3.1) กําหนดขอบเขต หน้าที่ ความรับผิดชอบในการปฏิบัติงานอย่างชัดเจน
(3.2) ร่างข้อกําหนดที่เป็นทางการ โดยให้ครอบคลุมถึงมาตรฐานขั้นต่ำของผลงานที่ยอมรับได้ และระยะเวลาในการปฏิบัติงานที่ชัดเจน
(3.3) มีการประเมินผลการปฏิบัติงานโดยเปรียบเทียบกับผลที่คาดไว้
(3.4) สัญญาว่าจ้างควรผ่านการพิจารณาจากฝ่ายกฎหมาย และได้รับความเห็นชอบโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย
(3.5) ควรกําหนดในสัญญาให้องค์กรมีสิทธิบอกเลิกสัญญาได้ หากไม่สามารถปฏิบัติได้ตามเป้าหมายที่ตกลงไว้

(4) กําหนดแนวทางและวิธีการในการให้ผลตอบแทนแก่ผู้บริหารระดับสูง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีส่วนร่วมในการพิจารณาเกี่ยวกับ ผลตอบแทนที่ให้แก่ผู้บริหารระดับสูงเพื่อให้มีความเหมาะสม โดยอาจกําหนดเป็นในรูปตัวเงินหรือไม่ใช่ตัวเงินก็ได้ ทั้งนี้ ต้องคํานึงถึงความเหมาะสมและฐานะการเงินขององค์กรในขณะนั้นด้วย

(5) การกําหนดแผนการฝึกอบรม องค์กรควรจัดสรรงบประมาณสําหรับการฝึกอบรมให้เพียงพอ และจัดหาบุคลากรที่เหมาะสม มีความรู้ความเข้าใจเกี่ยวกับการบริหารบุคคล เพื่อรับผิดชอบการบริหารโครงการฝึกอบรมขององค์กร โดยสามารถดําเนินการได้ 2 ลักษณะ คือ จัดอบรมโดยวิทยากรภายใน หรือว่าจ้างสถาบันฝึกอบรมหรือเชิญวิทยากรจากภายนอก การฝึกอบรมเป็นปัจจัยสําคัญที่จะช่วยให้องค์กรสามารถพัฒนาคุณภาพของบุคลากร อันจะช่วยให้การดําเนินงานประสบผลสําเร็จได้ตามเป้าหมาย รวมทั้งยังเป็นช่องทางหนึ่งในการสื่อสารแผนงานและเป้าหมายขององค์กรให้ พนักงานทราบ โดยอาจเป็นการอบรมเรื่องทั่วไป เช่น นโยบายขององค์กรเกี่ยวกับกลยุทธ์ธุรกิจ ภาพรวมความเสี่ยง ลักษณะธุรกิจและแผนงาน/โครงการ แนวทางการปฏิบัติงาน และนโยบายการบริหารงานบุคคล เป็นต้น หรือเป็นการอบรมสําหรับการปฏิบัติงานเฉพาะด้าน เช่น การบริหารเงิน หรือการจัดอบรมพิเศษด้านเทคนิคเมื่อมีแผนงานหรือโครงการใหม่ ๆ เป็นต้น ทั้งนี้ ควรมีแผนการอบรมที่ต่อเนื่องและเนื้อหาสอดคล้องกับเป้าหมายการดําเนินงานและกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรสนับสนุนให้พนักงานได้มีโอกาสศึกษาต่อเพื่อเพิ่มพูนความรู้ เสริมทักษะ และเป็นการเพิ่มศักยภาพของพนักงานให้ก้าวทันกับวิทยาการใหม่ ๆ ที่จําเป็นต่อการดําเนินงานในอนาคต

7. การวางแผนรองรับการดําเนินธุรกิจ (business continuity planning)

การจัดทําแผนรองรับการดําเนินธุรกิจ เป็นการเตรียมความพร้อมเพื่อให้มีการดําเนินธุรกิจอย่างต่อเนื่อง สําหรับกรณีเกิดเหตุการณ์ที่ไม่คาดคิด โดยอาจจัดทําแผนรองรับการดําเนินธุรกิจสําหรับสถานการณ์วิกฤตที่จําลองขึ้น ในหลาย ๆ กรณี เช่น กรณีวิกฤตจากการไม่สามารถปฏิบัติได้สําเร็จตามแผนกลยุทธ์ กรณีวิกฤตจากภาวะเศรษฐกิจถดถอยรุนแรง หรือกรณีวิกฤตจากอุบัติเหตุหรืออุบัติภัยทางธรรมชาติ เช่น น้ำท่วม หรือไฟไหม้อันกระทบต่อการปฏิบัติงานอย่างมาก นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และบริหารระดับสูง ควรกําหนดรายละเอียดการบริหารจัดการ และผู้มีอํานาจสั่งการและ/หรือ ลงลายมือชื่อแทนตามลําดับชั้น ในกรณีที่ผู้บริหารระดับสูงบางรายหรือส่วนใหญ่ไม่สามารถปฏิบัติหน้าที่ได้ ซึ่งแผนรองรับการดําเนินธุรกิจควรประกอบด้วย

(1) แผนรองรับด้านการปฏิบัติการ ได้แก่ แผนการกําหนดสถานที่ปฏิบัติงานและประมวลผลสํารอง และแผนป้องกันความเสียหายของระบบประมวลผลข้อมูล (electronic data processing – EDP)

(2) แผนรองรับด้านการบริหาร ได้แก่ แผนพัฒนาศักยภาพความสามารถด้านการแข่งขัน และแผนรองรับหากดําเนินการไม่สําเร็จตามแผนกลยุทธ์

สำหรับการวางแผนรองรับการดําเนินธุรกิจ (business continuity planning) เป็นเรื่องที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและให้ความสำคัญอย่างยิ่งยวด ในการเตรียมความพร้อมรับมือกรณีเกิดเหตุการณ์ไม่คาดคิดดังที่ผมได้กล่าวในข้างต้น และควรจัดให้มีการดำเนินงานตามแผนรองรับดังกล่าว ซึ่งในรายละเอียด ผมจะได้นำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

ปิดความเห็น บน ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12 | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »