กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล – IPPF

มิถุนายน 24, 2011

ท่านผู้บริหาร คณะกรรมการตรวจสอบ และผู้ตรวจสอบที่มีหน้าที่เกี่ยวข้องกับการตรวจสอบภายใน หรือแม้กระทั่งการตรวจสอบเพื่อรับรองงบการเงินจากผู้สอบบัญชีภายนอก ซึ่งต้องประเมินกรอบการปฏิบัติงาน และประสิทธิภาพการปฏิบัติงานการตรวจสอบภายใน เพื่อกำหนดขอบเขตการตรวจสอบทางด้าน IT Audit ระดับหนึ่ง ก่อนจะก้าวไปสู่การรับรองงบการเงินตามที่เห็นสมควรนั้น ผู้รับรองงบการเงินจะมีหน้าที่อย่างหนึ่งก็คือ การประเมินการควบคุมความเสี่ยง และผลกระทบความน่าเชื่อถือได้ของข้อมูลทางการเงิน จากระบบเทคโนโลยีสารสนเทศ การควบคุมความเสี่ยง ทั้งทางด้าน IT และ Non-IT และประสิทธิภาพการบริหารความเสี่ยงของผู้บริหาร และผู้ที่เกี่ยวข้องภายในองค์กรนั้น ๆ

กรอบการปฏิบัติงานวิชาชีพ (Professional Practices Framework – PPF) สู่ กรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (International Professional Practices Framework – IPPF) จึงเป็นแนวทางที่สำคัญทั้งสำหรับผู้ตรวจสอบภายใน และผู้ตรวจสอบภายนอกที่ทำหน้าที่รับรองงบการเงินอย่างสำคัญ

โครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายใน มีผลเริ่มใช้ตั้งแต่เดือนมกราคม 2552 เป็นต้นมา ดังนั้น การปรับปรุงกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เดิม เป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) จึงเป็นเรื่องใหม่ ซึ่งทางสมาคมผู้ตรวจสอบภายในสากล และสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย แนะนำให้ท่านได้เห็นความแตกต่างระหว่าง PPF เดิม และรู้จักกับ IPPF ใหม่ เพื่อให้เข้าใจแนวการบริหารงานการตรวจสอบและการปฏิบัติงานตรวจสอบที่ได้มาตรฐาน

แต่ก่อนที่ท่านจะได้รู้จักกับกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF – International Professional Practice Framework) ใหม่นั้น ผมขอให้ท่านลองติดตามกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) เพื่อเป็นการทบทวนก่อนดังนี้ครับ :-

กรอบการปฏิบัติงานวิชาชีพ (Professional Practice Framework –PPF) เดิม
ประกอบ ด้วย 4 ส่วน คือ
1. คำจำกัดความของการตรวจสอบภายใน (Definition of Internal Auditing)
2. ประมวลจรรยาบรรณ (Code of Ethics)
3. มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards for the Professional Practice of Internal Auditing) และ
4. ข้อแนะนำในการนำมาตรฐานไปใช้ (Practice Advisories – PA)

IIA ได้ทำการพัฒนา ปรับปรุงเนื้อหาในมาตรฐานสากลฯ ข้อแนะนำเพื่อนำมาตรฐานไปใช้ และเพิ่มเติมแนวทางการปฏิบัติงานต่าง ๆ ที่มีประโยชน์ต่อผู้ปฎิบัติงานวิชาชีพตรวจสอบภายใน เพื่อจัดทำเป็นกรอบโครงสร้างการปฏิบัติงานวิชาชีพตรวจสอบภายในในระดับสากล (IPPF) โดยได้แบ่งเนื้อหาตามรูปดังนี้

iia-ippf-schematic_alltwentyfive

1. แนวทางหลัก (Mandatory Guidance)
ซึ่งเป็นหลักเกณฑ์ที่มีความจำเป็นสำหรับการปฏิบัติงานตรวจสอบภายใน และได้รับการพัฒนาโดยกระบวนการที่ผ่านการกลั่นกรองความถูกต้อง เชื่อถือได้เป็นอย่างดี รวมถึงได้มีการเผยแพร่ร่างกรอบโครงสร้างฯ สู่สาธารณชนเพื่อรับฟังความคิดเห็นจากผู้ประกอบวิชาชีพ และผู้ที่สนใจในช่วงระยะเวลาหนึ่ง ก่อนที่จะนำความเห็นที่ได้รับมาประมวล ปรับปรุงและประกาศใช้จริง ซึ่งแนวทางหลักนี้ประกอบไปด้วย 3 ส่วน คือ

ส่วนที่ 1 คำนิยามของการตรวจสอบภายใน (Definition) ซึ่งระบุถึงวัตถุประสงค์พื้นฐาน ลักษณะงาน และขอบเขตของงานตรวจสอบภายใน

ส่วนที่ 2 ประมวลจรรยาบรรณ (Code of Ethics) ซึ่งระบุถึงหลักการและหลักความประพฤติที่พึงปฏิบัติของผู้ตรวจสอบภายใน และองค์กรที่เกี่ยวข้องกับการปฏิบัติงานตรวจสอบภายใน ประมวลจรรยาบรรณนี้ได้บรรยายถึงแนวทางการปฏิบัติงาน และความประพฤติของผู้ตรวจสอบภายในที่คาดหวังในขั้นพื้นฐาน

ส่วนที่ 3 มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายใน (International Standards) ซึ่งเน้นในหลักการและให้แนวทางในการปฏิบัติงาน และส่งเสริมงานตรวจสอบภายใน โดยเนื้อหาประกอบด้วย

1) แถลงการณ์ของความต้องการพื้นฐานสำหรับการปฏิบัติงานวิชาชีพตรวจสอบภายใน และการประเมินความมีประสิทธิผลของการปฏิบัติงานนั้น ๆ ซึ่งเป็นความต้องการในระดับสากล ที่สามารถนำมาปรับใช้ในระดับบุคคลหรือองค์กรได้

2) การตีความ ซึ่งให้คำอธิบายวลี หรือแนวความคิดที่ปรากฎอยู่ในแถลงการณ์นั้น ๆ
ซึ่งทั้ง 2 ส่วนนี้ เป็นสิ่งที่ผู้ประกอบวิชาชีพจำเป็นที่จะต้องให้ความสนใจเพื่อจะได้เข้าใจ และสามารถนำมาตรฐานไปปฏิบัติได้อย่างถูกต้อง นอกจากนี้ มาตรฐานสากลการปฏิบัติงานวิชาชีพตรวจสอบภายในยังมีภาคศัพท์ ซึ่งจะอธิบายความหมายของคำเฉพาะต่าง ๆ ที่ใช้ในมาตรฐานอีกด้วย

สำหรับกรอบการปฏิบัติงานวิชาชีพ (PPF – Professional Practice Framework) ที่ทบทวนกันในวันนี้ผมขอนำเสนอเพียงแนวทางหลักก่อนนะครับ ครั้งหน้าผมจะมานำเสนอในแนวทางที่ 2 ที่เป็นแนวทางที่แนะนำให้ใช้ต่อไปครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

วิสัยทัศน์ มาก่อน นโยบายและกลยุทธ์เสมอ…

มิถุนายน 2, 2011

vision

หากประเทศ หรือองค์กรใด ขาดวิสัยทัศน์ที่มีลักษณะเป็นเข็มทิศ นำนาวาของประเทศและขององค์กรไปสู่เป้าประสงค์ในระยะยาว เช่น “ในปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” แต่ไปกำหนดนโยบายที่ตามด้วยกลยุทธ์ รวมทั้งแผนงานและโครงการต่าง ๆ ถึงจะมี KPI และ KRI เป็นตัวกำกับและตัวชี้วัดผลการปฎิบัติงานที่ดูเหมือนจะดี และเป็นไปตามกระบวนการบริหารจัดการที่ดีนั้น น่าจะมีปัญหาการบูรณาการของการหล่อหลอมนโยบาย กลยุทธ์ แผนงานและโครงการต่าง ๆ ที่ดีและเหมาะสม และมีคุณภาพ โดยการใช้ทรัพยากรของประเทศและองค์กรอย่างมีคุณค่าที่แท้จริง

ทั้งนี้ก็เพราะประเทศหรือองค์กรนั้น ยังขาดวิสัยทัศน์ ซึ่งเป็นธงหลักและจำเป็นอย่างยิ่งที่นาวาของรัฐ และองค์กรที่มีประชาชน หรือผู้ที่อยู่นาวาลำนั้น ต้องช่วยกันขับเคลื่อนเป้าประสงค์ต่าง ๆ ไปในทิศทางเดียวกัน สิ่งนั้นคือ “วิสัยทัศน์”

ในการบริหารจัดการองค์กรโดยทั่วไป มีการกล่าวกันไว้ว่า หากขาดวิสัยทัศน์และพันธกิจที่ชัดเจน ประเทศหรือองค์กรก็ไม่น่าจะบริหารงานที่มีประสิทธิภาพ ประสิทธิผลที่ดีได้ ตามหลักการบริหารจัดการที่ดี ทั้งในมุมมองของ CG และ ITG ที่ก้าวไปสู่ GRC ซึ่งเป็นการบริหารแบบบูรณาการ ในลักษณะที่เรียกว่า Integrity – Driven Performance ซึ่งผมเคยอธิบายไปแล้ว และหากมีโอกาสผมจะได้มาแบ่งปันข้อมูลในมุมมองอื่น ๆ ต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Audit and Management in practices ตอน 2

มิถุนายน 2, 2011

ท่านผู้อ่านครับ ใน http://www.itgthailand.com ผมมีเรื่องที่ตั้งเป็นหมวดหมู่ไว้แลกเปลี่ยนสารสนเทศกับผู้อ่าน รวม 8 หมวดหมู่ด้วยกันนั้น ในที่สุดหมวดหมู่เรื่องต่าง ๆ ตามที่ผมได้แบ่งเอาไว้ให้ท่านผู้อ่านสามารถเลือกติดตามได้ตามที่ท่านสนใจนั้น เมื่อท่านได้อ่านมาถึงในช่วงเวลานี้ ก็จะเริ่มมีข้อสังเกตว่า หมวดหมู่ต่าง ๆ ในแต่ละหัวข้อเริ่มมีความสัมพันธ์และเกี่ยวเนื่องกันมากยิ่งขึ้น +++

อย่างเช่น เรื่องที่เกี่ยวกับ IT Audit และ Non IT Audit เรื่องทั้ง 2 ได้แยกออกเป็น 2 หมวดหมู่อย่างชัดเจนตั้งแต่แรกนั้น แต่ก็ยังไม่ปรากฎว่าผมได้อธิบายแ่ต่ละหมวดหมู่ดังกล่าวที่เกี่ยวข้องกับการตรวจสอบภายในออกจากกันเลยดังที่ตั้งใจไว้แต่ต้น…

ทั้งนี้เพราะผมต้องการให้ท่านเห็นภาพการตรวจสอบภายในที่มีวัตถุประสงค์หลัก ๆ 2 ประการด้วยกันคือ การตรวจสอบเพื่อสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) และให้คำปรึกษา (Consultant) ที่เกี่ยวข้องกับความน่าเชื่อถือได้ของงบการเงิน และรายงานต่าง ๆ รวมทั้งการบริหารความเสี่ยง และการควบคุมภายในเกี่ยวกับความน่าเชื่อถือได้ต่อกระบวนการบริหารและการดำเนินงานขององค์กรว่า รายงานทางการเงินและรายงานที่มิใช่การเงิน มีความถูกต้อง และหากกระบวนการบริหารซึ่งส่วนใหญ่เกี่ยวข้องกับการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ซึ่งมีผลกระทบต่อธุรกิจ และเป้าหมายต่าง ๆ ขององค์กร ผู้ตรวจสอบภายในก็จะให้คำแนะนำ และให้คำปรึกษาต่อผู้มีผลประโยชน์ร่วมที่เกี่ยวข้อง

นอกจากนี้ ผู้ตรวจสอบภายในจะต้องปฏิบัติงานวิชาชีพการตรวจสอบภายในให้เป็นไปตามมาตรฐานสากลตามที่ปรากฎใน International Standards for The Professional Practice of Internal Auditing ซึ่งมีการปรับปรุงเพิ่มเติมและแก้ไขโดยคณะกรรมการวิชาการและวิจัยในระดับสากล ซึ่งประเทศไทยก็ได้ประยุกต์ในการนำหลักการดังกล่าวมาใช้เป็นมาตรฐานการตรวจสอบของผู้ตรวจสอบภายใน ซึ่้งสอดคล้องกับแนวทางการกำกับของสำนักงานคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546 ซึ่งท่านสามารถติดตามรายละเอียดได้จาก ระเบียบคณะกรรมการตรวจเงินแผ่นดิน ว่าด้วยการปฏิบัติหน้าที่ของผู้ตรวจสอบภายใน พ.ศ. 2546

จากแผนภาพ Control Framework ครั้งที่แล้ว ท่านผู้อ่านจะได้เห็นภาพที่มาของงบการเงิน และรายการทางบัญชีที่สำคัญที่ต้องผ่านกระบวนการปฏิบัติการของระบบงานต่าง ๆ อย่างเป็นลำดับ และผสมผสานกัน ซึ่งจะเกี่ยวข้องกับระบบการประมวลผลทางด้านเทคโนโลยีสารสนเทศ หรืออาจจะกล่าวได้อีกมุมหนึ่งว่า เกี่ยวข้องกับระบบข้อมูลและสารสนเทศที่ผ่านกระบวนการควบคุมในลักษณะอัตโนมัติ (Automated Application Controls) ซึ่งเกี่ยวข้องกับระบบงานต่าง ๆ ทางด้านความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นกระบวนการ ตั้งแต่ Input – Process – Output Control รวมทั้งผลกระทบของการเชื่อมโยงของการประมวลผลดังกล่าวข้างต้น ที่เชื่อมโยงข้ามระบบงานและข้ามสายงานทั่วทั้งองค์กร รวมทั้งบางส่วนจะเกี่ยวข้องกับการควบคุม โดยระบบ Manual หรือด้วยบุคคล (People) ซึ่งเชื่อมโยงและโยงใยไปยังขั้นตอนการประมวลผล ในการประมวลงานทางด้าน Input – Process – Output ในแต่ละระบงานทั่วทั้งองค์กร (Interface Controls)

Risk Map ด้าน Control and Integrated Audit

นอกจากนั้น การควบคุมระบบงานดังกล่าว ยังเชื่อมโยงและเกี่ยวข้องกับระบบ Infrastructure ด้านสารสนเทศ ที่เกี่ยวข้องกับ Database, Platform, Operating System และ Network (โปรดดูแผนภาพที่แสดงในข้อเขียนครั้งที่แล้วอีกครั้ง) ซึ่งในเรื่องนี้จะเกี่ยวข้องกับ IT General Controls โดยอธิบายสั้น ๆ ได้ว่า เป็นการติดตามและตรวจสอบการควบคุมทางด้าน Change Development Security, Computer Operations และ IT Governance +++

ท่านผู้บริหารและผู้ตรวจสอบครับ เมื่อท่านได้อ่านมาถึงช่วงนี้ และได้ดูภาพประกอบจากครั้งที่แล้ว ท่านคงจะเห็นด้วยกับผมนะครับว่า การตรวจสอบความน่าเชื่อถือของงบทางการเิงิน และรายงานทางการเงิน และรายงานอื่น ๆ ที่เกี่ยวข้องกับการบริหารธุรกิจและการจัดการองค์กรนั้น เป็นไปไม่ได้เลยที่ผู้ตรวจสอบภายในจะปฏิบัติงานตรวจสอบทั่วไป โดยไม่คำนึงถึงผลกระทบของความเสี่ยงทางด้าน IT Risk ที่ีมีต่อ Business Process ที่นำผลกระทบไปสู่ Business Objective ในทุกมุมมองของการบริหารจัดการ ตามหลักการของ Business Balance Score Card และ Information Balance Score Card

การเชื่อมโยงกระบวนการปฏิบัติงานการตรวจสอบ Integrated Audit

หากท่านพิจารณาว่า การตรวจสอบในลักษณะดั้งเดิม (Conventional Audit) เป็นการตรวจสอบในลักษณะ SILO – Based โดยการแยกการตรวจสอบด้าน IT และการตรวจสอบด้าน Non – IT โดยขาดความเข้าใจในความเสี่ยงโดยรวม โดยเฉพาะทางด้าน IT Risk ที่มีผลต่อ Financial Risk และ Business Risk นั้นจะเป็นการเหมาะสม

นั่นคือ การก้าวไปสู่การตรวจสอบในลักษณะ Integrated Audit และ Integrated Management ตามที่ได้กล่าวไว้ในข้อเขียนครั้งที่แล้ว ซึ่งผมจะอธิบายและขยายความในรายละเอียดต่อ ๆ ไป ในช่วงเวลานี้ อาจจะมีท่านผู้ตรวจสอบ และท่านผู้บริหารบางท่าน อาจมีมุมมองที่แตกต่างกันอย่างมีนัยสำคัญได้นั้น คงต้องขอความกรุณาได้โปรดติดตามข้อเขียนเกี่ยวกับเรื่องนี้ที่จะอธิบายรายละเอียดในหลายมุมมองต่อไปครับ

Integrated Audit และ Integrated Management เป็นส่วนหนึ่งของ Integrated GRC ครับ +++

1 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

วิสัยทัศน์ของประเทศและขององค์กร กับ GRC เพื่อการเติบโตอย่างยั่งยืน

พ.ค. 21, 2011

วันนี้ผมจะนำเสนอในเรื่องที่ค้างคาใจของผมมานานแล้วก็คือ ผมอยากจะเห็น อยากได้อ่าน การกำหนดวิสัยทัศน์ของประเทศไทยที่ชัดเจน และเป็นรูปธรรม เป็นลายลักษณ์อักษร เพื่อเป็นทิศทางที่จะกำหนดพันธกิจ นโยบายและกลยุทธ์ของประเทศ รวมทั้งการจัดทำแผนงาน / โครงการต่าง ๆ ที่จะมีความชัดเจนและใช้ทรัพยากรอย่างมีคุณภาพยิ่งขึ้น หากประเทศไทยเรากำหนดวิสัยทัศน์อย่างเหมาะสม

ตามความเห็นของผมจึงได้นำเสนอวิสัยทัศน์ที่น่าจะเป็นไปได้มากของประเทศไทยที่อาจจะเรียกว่าเป็นการฉลองครบรอบ 100 ปีของการบริหารประเทศแบบประชาธิปไตย คือเริ่มตั้งแต่ปี พ.ศ. 2475 – 2575 โดยกำหนดเป็นวิสัยทัศน์ที่น่าจะท้าทายพอสมควร และเป็นเข็มทิศของประเทศว่า “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว”

ท่านผู้อ่านคิดว่าน่าจะดีไหมครับ ท่านผู้อ่านเคยได้ยิน หรือเคยเห็นว่าประเทศไทยมีการกำหนดวิสัยทัศน์ของประเทศไทยไว้ไหมครับ และเคยแปลกใจไหมว่า เราบริหารประเทศมากว่า 75 ปี ในแบบประชาธิปไตยนั้น ทิศทางที่เราต้องการจะเป็นหรือต้องการจะเห็นในอนาคตของประเทศไทยนั้นคืออะไร

นโยบายและแผนงานต่าง ๆ ที่กำหนดขึ้นมาโดยไร้ทิศทางที่กำหนดวิสัยทัศน์อย่างชัดเจนนั้น จะกำหนดแผนงานและโครงการอย่างไรให้เป็นไปอย่างสอดคล้องกันทั่วทั้งประเทศ ทั้งทางด้านเศรษฐกิจ การเงิน รวมทั้งความมั่นคงของประเทศ ถ้าหากขาดเป้าหมายที่ต้องการในอนาคต ในระดับชาติหรือองค์กร

ดังนั้นประเทศไทยจะนำแนวทางการบริหารประเทศแบบหลอมรวมและบรูณาการตามหลักการ GRC มาใช้ เพื่อให้เกิดการสอดประสานในนโยบาย รวมทั้งแผนงาน / โครงการต่าง ๆ ไม่ได้ดีเท่าที่ควร ถ้าหากขาดวิสัยทัศน์ที่ชัดเจน…

ท่านลองนึกดูนะครับว่า หากตัวท่านเองหรือองค์กรที่ท่านบริหารขาดวิสัยทัศน์ที่ชัดเจน ท่านหรือองค์กรที่ท่านบริหารจะมีทิศทางในการบริหารความสำเร็จในชีวิตของท่าน องค์กรของท่าน หรือประเทศของเราอย่างไร…

จริงอยู่ตัวเราเอง องค์กร และประเทศของเรา ก็บริหารกันมาด้วยดีตามสมควรมาโดยตลอด แต่เมื่อเทียบกับประเทศอื่น ๆ ที่มีวิสัยทัศน์ที่ชัดเจน และรวมพลังกันในการขับเคลื่อนให้วิสัยทัศน์นั้นเป็นจริง โดยการกำหนดนโยบาย กลยุทธ์ และแผนงาน / โครงการต่าง ๆ อย่างสอดประสานกันทั่วทั้งประเทศอย่างประเทศเพื่อนบ้านของเราหลายประเทศที่กำหนดวิสัยทัศน์อย่างชัดเจน เช่น ประเทศมาเลเซีย ที่กำหนดว่า “ภายใน ปี ค.ศ. 2020 ประเทศมาเลยเซียจะเป็นประเทศที่พัฒนาแล้ว” เป็นต้น

ดังนั้น ผมจึงขอนำเสนอเรื่องวิสัยทัศน์กับการบริหารประเทศแบบหลอมรวมและบรูณาการ / GRC ซึ่งอาจอธิบายประกอบกับภาพโดยย่อ ๆ ดังนี้นะครับ

ความหมายของ GRC ก็คือ G = Governance, R = Risk Management, C = Compliance
หากกล่าวเพียงแค่นี้ หลายท่านก็จะพูดว่า องค์กรของเรามี GRC แล้ว แต่แท้จริงแล้ว GRC มีความหมายมากกว่า G + R + C วิธีการง่าย ๆ ในการประเมินตนเองในเรื่องนี้ก็คือ หากองค์กรของท่านมีนโยบายเรื่อง G R C แยกต่างหากจากกัน และมีสายงานที่รับผิดชอบในเรื่องนั้น ๆ โดยเฉพาะ องค์กรของท่านถือว่ายังไม่มีการบริหารในแบบ GRC ที่แท้จริง เพราะการบริหารแบบ GRC เป็นการบริหารแบบหลอมรวมและบูรณาการ G + R + C เป็นหนึ่งเดียวเท่านั้น ผมขออธิบายตามรูปภาพย่อ ๆ ดังนี้ จากภาพเลข 6 เป็นการบริหารแบบ GRC ที่สมบูรณ์ ส่วนภาพเลข 5 เป็นการบริหารแบบ GRC ในลักษณะหนึ่งที่ยังต้องการความหลอมรวมไปสู่ GRC ภาพเลข 6 ซึ่งต้องใช้ IT – Based เป็นตัวเชื่อมในลักษณะ Technology Convergence

GRC กับวิสัยทัศน์ของประเทศและองค์กร

ท่านผู้อ่านคงอาจจะสังเกตได้นะครับว่า เว็บนี้เริ่มนำเสนอความคิดที่เกี่ยวข้องกับ วิสัยทัศน์ของประเทศไทยที่น่าจะเป็น และท้าทายก็คือ “ภายใน ปี พ.ศ. 2575 ประเทศไทยจะเป็นประเทศที่พัฒนาแล้ว” นั่นคือ การบริหารประเทศหรือการบริหารองค์กร จำเป็นอย่างยิ่งที่ต้องกำหนดทิศทางของประเทศและองค์กรในอนาคตที่ชัดเจน เพื่อให้เกิดพันธกิจ นโยบาย กลยุทธ์ รวมทั้งแผนงาน / โครงการที่จะดำเนินการภายใต้กลยุทธ์และนโยบายตามพันธกิจ สู่วิสัยทัศน์อย่างเป็นระบบ ซึ่งจะก่อให้เกิดการบริหารแบบสอดประสานและบูรณาการของแผนงาน และโครงการต่าง ๆ ที่มีประสิทธิภาพและประสิทธิผล ในการบริหารทรัพยากรของประเทศและองค์กรอย่างเป็นรูปธรรม และจะก่อให้เกิดการบูรณาการ Integrated Management ในระดับต่าง ๆ เพื่อก้าวไปสู่ Integrity – Driven Performance ที่เป็นแนวทางการบริหารแบบหลอมรวม และบูรณาการที่เรียกว่า GRC อย่างแท้จริง

ความหมายของคำว่า Integrity – Driven Performance ที่น่าจะเข้าใจได้ง่าย ก็คือ การขับเคลื่อนการบริหาร และการจัดการขององค์กรไปสู่ความสมบูรณ์แบบ / Integrity โดยใช้ IT – Based ไปขับเคลื่อนกระบวนการปฏิบัติงาน ตั้งแต่ระดับบนไปสู่ระดับปฏิบัติการ อย่างเป็นระบบ และมีระเบียบ เป็นขั้นตอน เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรมีการบริหารในลักษณะบูรณาการ / Integrated ในทุกองค์ประกอบที่เกี่ยวข้องกับ Governance (CG + ITG +++), Risk Management (IT และ Non – IT ซึ่งประกอบด้วย CobiT / ITIL + COSO – ERM) และ Compliance (การปฏิบัติตามกฎหมาย กฎเกณฑ์ คำสั่ง ระเบียบ การปฏิบัติตามสัญญา +++ รวมทั้งการปฏิบัติตามมาตรฐาน / Good Practice / Lesson – Learned ต่าง ๆ ที่เกี่ยวข้อง) โดยมีการติดตามการบริหาร (Monitoring) และการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk Based Internal Audit Approach) อย่างเป็นระบบที่เน้นไปในลักษณะของ Continuous Monitoring / Auditing และการรายงาน รวมทั้ง การปฏิบัติงานที่มีประสิทธิภาพในระดับต่าง ๆ +++

ทั้งนี้ หลักการของ GRC จะสมบูรณ์ไม่ได้เลยหากประเทศหรือองค์กร ขาดหลักการและแนวทาง การมี การใช้ อย่างเป็นรูปธรรมของจรรยาบรรณ และจริยธรรม (Ethics) และการปรับเปลี่ยนวัฒนธรรม รวมทั้งสภาพแวดล้อมที่ไม่เหมาะสมและไม่สอดคล้องกับหลักการของ Governance เช่น ความโปร่งใสที่ตรวจสอบได้ (Transparency) ความรู้ความสามารถในการปฏิบัติหน้าที่ (Responsibility) ความรับผิดชอบในผลของการปฏิบัติงาน (Accountability) การปฏิบัติโดยเท่าเทียมกัน (Equitable Treatment) การมีวิสัยทัศน์เพื่อสร้างความเติบโตอย่างยั่งยืน (Creation of Long Term Value – Sustainable Growth) การดูแลสังคมและสภาพแวดล้อมที่ดี (Social and Environmental Awareness) และการส่งเสริมการปฏิบัติอันเป็นเลิศและการมีจรรยาบรรณาที่ดีในการประกอบธุรกิจ (Promotion of Best Practices)

An Integrated Approach To GRC

ทั้งนี้ การบริหารในแบบ GRC นี้จะต้องคำนึงถึง ผู้มีผลประโยชน์ร่วม และสังคม (Stakeholders) มากกว่าผู้ถือหุ้น (Shareholders) ที่ผู้บริหารประเทศและคณะกรรมการระดับสูงขององค์กรต้องเป็นผู้กำหนดวิสัยทัศน์ และนโยบายที่ชัดเจน ในลักษณะ Tone at the top ด้วยจิตวิญญาณของความรับผิดชอบต่อประเทศ / องค์กร เพื่อก้าวไปสู่พันธกิจและวิสัยทัศน์ที่กำหนดอย่างมุ่งมั่น และทุ่มเท

อย่างไรก็ดี การที่ประเทศหรือองค์กรจะบริหารได้ดีมีประสิทธิภาพในลักษณะการบริหารแบบบูรณาการและการหลอมรวมกระบวนการจัดการต่าง ๆ เป็นหนึ่งเดียว ที่มิใช่นำเพียง G + R + C มารวมกันเท่านั้น เป็นเรื่องท้าทายยิ่ง เพราะการประสานงานและกระบวนการจัดการต่าง ๆ ที่หลอมรวมแบบบูรณาการเป็นหนึ่งเดียวกันนั้น จะเกิดไม่ได้เลย ถ้าประเทศหรือองค์กร ไม่มีวิสัยทัศน์ที่ชัดเจน หรือไม่กำหนดวิสัยทัศน์ในการบริหารจัดการประเทศ หรือองค์กรอย่างเป็นรูปธรรม เพราะพันธกิจ นโยบาย และแผนงาน/โครงการต่าง ๆ ที่ตามมาจะขาดทิศทางที่ชัดเจน ที่จะก่อให้เกิดการบริหารแบบบูรณาการ (Integrated Management) เพื่อก้าวไปสู่การบริหารแบบหลอมรวมและบูรณาการ ตามแบบฉบับของ GRC ที่แท้จริงนะครับ

1 ความเห็น | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Audit and Management in practices

พ.ค. 9, 2011

เมื่อวันที่ 19 ก.พ. 2554 ผมได้ร่วมกับประธานสมาคม ISACA ซึ่งเป็นสมาคมที่สร้างความเชื่อมั่นและสร้างสรรค์คุณค่าจากระบบสารสนเทศของ Bangkok Chapter และผู้บริหารงานตรวจสอบภายในของ บริษัท AIS บรรยายเรื่อง “Integrated Audit in practices” ซึ่งยังเป็นเรื่องใหม่มากในประเทศไทย เพราะเป็นการหลอมรวมการตรวจสอบทางด้าน IT Audit และ Non – IT Audit เข้าด้วยกัน เพื่อผลประโยชน์ของ Stakeholders ที่สนใจในมุมมองนี้มากกว่าการตรวจสอบที่แยกกันระหว่าง IT Audit และ Non – IT Audit

ในส่วนของผมเอง ได้อธิบายถึง ความหมายของการตรวจสอบในลักษณะ Integrated Audit ซึ่งสรุปได้ ดังนี้

1. การหลอมรวม / บูรณาการ (Integrated) การตรวจสอบระหว่าง IT Audit/Non – IT Audit กับ Financial Audit และ Audit ประเภทอื่น ๆ ทุกประเภท

2. การหลอมรวม / บูรณาการ (Integrated) กระบวนการตรวจสอบ ตามเป้าประสงค์หลักของการตรวจสอบทางด้าน IT Audit ที่คำนึงถึงผลกระทบของ IT Risks ต่อ Business Risks

3. การหลอมรวม / บูรณาการ กระบวนการตรวจสอบตามเป้าประสงค์หลักของการตรวจสอบทางด้าน Financial Audit และ Audit อื่น ๆ ทุกประเภท โดยคำนึงถึงผลกระทบของ IT Risks ที่มีต่อ Business Risks เพื่อการบรรลุแผนงาน พันธกิจ กลยุทธ์ และวิสัยทัศน์ขององค์กร

4. การผสมผสานแนวความคิดของกระบวนการบริหาร การติดตามผลการดำเนินงาน และผลกระทบของการบริหารความเสี่ยง จากกลยุทธ์ต่าง ๆ ทั้งด้าน IT และ Non – IT ที่ควรสอดคล้อง และสัมพันธ์กับเป้าประสงค์ขององค์กร ตามหลักการ Business BSC. และ
Information Balanced Scorecard

5. การนำแนวความคิดการบริหารตามหลักการ GRC – Integrity Driven Performance ซึ่งใช้ฐาน IT – Based ในการติดตามผลการดำเนินงาน และการตรวจสอบ ตามมาตรฐานและองค์ประกอบที่เกี่ยวข้อง ++

6. การคำนึงถึงผู้มีผลประโยชน์ร่วม (Stakeholders) และ Sustainable Development (CSR) และกติกาของสังคมนานาชาติ และของประเทศ ในองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน

what is integrated audit

นอกจากนี้ยังอธิบายถึงว่า ทำไมผู้มีผลประโยชน์ร่วมและผู้บริหารจึงต้องการเห็น การตรวจสอบในลักษณะ Integrated Audit

1. เพื่อให้สอดคล้องกับหลักการบริหาร GRC ซึ่งเป็นแนวทางการบริหารยุคใหม่ในปัจจุบัน ที่ใช้หลักการบูรณาการการบริหาร (Integrated Management) เพื่อสร้างคุณค่าเพิ่ม / ประโยชน์ (Value) ให้กับองค์กรและประเทศชาติโดยรวม

2. เพื่อให้สอดคล้องกับหลักการ Interdependency และแนวความคิดที่ว่า องค์ประกอบของชีวิตและการบริหารการจัดการที่ไม่ควรพิจารณาตาม Silo – Based

3. Business Strategies เป็นผู้ขับเคลื่อน IT Strategies และนโยบายทางด้าน IT ต้องสัมพันธ์กับนโยบายทางด้าน Business ในทุกมุมมอง และในทุกระดับของกระบวนการจัดการที่ดี (CG + ITG / GRC)

4. IT Risks ก็คือ Business Risks ซึ่งองค์กรจะต้องมีนโยบาย กลยุทธ์ กระบวนการจัดการ วิธีการปฏิบัติ เพื่อนำไปสู่การขับเคลื่อนพันธกิจ และวิสัยทัศน์ขององค์กร และของประเทศที่สอดคล้องกัน และแยกกันพิจารณาไม่ได้

5. Monitoring โดยผู้บริหาร และการ Auditing โดยผู้ตรวจสอบทุกประเภท เป็นเรื่องเดียวกันแต่มีมุมมองในการจัดการและ Accountability / Responsibility ที่แตกต่างกัน แต่ต้องการการประสานงานที่ใกล้ชิด ตามมุมมองขององค์กรยุคใหม่ที่ใช้คอมพิวเตอร์ในการขับเคลื่อนเป็นหลัก

6. Continuous Management / Continuous Controls กับ Continuous Auditing ตามมาตรฐานของ IIA และ ISACA จะใช้กระบวนการทาง IT เป็นสำคัญ

7. เพื่อให้เกิดการ Assurance ของ Business โดยผู้ตรวจสอบ ต่อกระบวนการตัดสินใจจากรายงานที่ได้รับ

8. เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลต่อ Stakeholders ถึงข้อมูลและสารสนเทศ มีองค์ประกอบที่ดีและถูกต้อง เชื่อถือได้ และมีสารสนเทศใช้เพื่อการตัดสินใจได้ทุกเวลา และมั่นใจได้ว่า ธุรกิจสามารถขับเคลื่อนไปได้อย่างต่อเนื่อง จากการบริหารที่ได้มาตรฐาน

การตรวจสอบในลักษณะ Integrated Audit จะน่าสนใจยิ่งขึ้น หากจะอธิบายในมุมมองของการบริหารในลักษณะ GRC ซึ่งเป็นการบริหารยุคใหม่ ที่เป็นการหลอมรวมการบริหารจัดการที่ดีที่ทั่วโลกกำลังให้ความสนใจ ดังภาพด้านล่าง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสต่อไป

Integrated Audit and Integrated Mgmt Perspectives

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12

เมษายน 29, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

สวัสดีครับทุกท่าน ในครั้งก่อนผมได้กล่าวถึงประเด็นสำคัญที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย ผู้บริหารระดับสูงองค์กร ควรต้องพิจารณาในการควบคุมความเสี่ยง เช่น เรื่องของระบบการควบคุมความเสี่ยง นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง การสอบทานแผนงาน/โครงการใหม่ ซึ่งได้นำเสนอไปแล้วนั้น สำหรับตอนนี้จะขอนำเสนอประเด็นที่ควรพิจารณาต่อเลยนะครับ

4. มาตรฐานหรือเกณฑ์ขั้นต่ำในการพิจารณาแผนงาน/โครงการใหม่

องค์กรควรมีกระบวนการและหลักเกณฑ์ในการพิจารณาอนุมัติ การนำเสนอแผนงานหรือโครงการใหม่ ๆ อย่างรอบคอบและรัดกุม ซึ่งส่วนใหญแล้วจะเป็นการวิเคราะห์ความสำเร็จของงาน โดยเปรียบเทียบระหว่างผลสำเร็จ ตัวชี้วัด และความเสี่ยงที่ยอมรับได้ นอกจากนี้ องค์กรควรมีการจัดทํารายงาน ติดตามผลการดําเนินงานภายหลังการดำเนินงานตามแผนงาน เพื่อประเมินความสําเร็จว่าจะดําเนินกลยุทธ์อย่างไรต่อไป เช่น หากแผน
งาน/โครงการใหม่ดังกล่าวไม่ประสบผลสําเร็จ องค์กรอาจพิจารณาแนวทางแก้ไขหรือตัดสินใจยกเลิกแผนงาน/โครงการที่ต่อเนื่อง

ความเชื่อมโยงระหว่างยุทธศาสตร์ การบริหารความเสี่ยง

5. คุณภาพและประสิทธิผลของระบบการควบคุมภายใน

ระบบการควบคุมภายในจะช่วยให้องค์กรปฏิบัติงานได้อย่างมีประสิทธิผล มีรายงานที่เชื่อถือได้ มีการดูแลรักษาทรัพย์สิน และช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมาย กฎเกณฑ์ และนโยบายที่กําหนด องค์กรควรกําหนดให้มีผู้ตรวจสอบภายในที่เป็น อิสระ ทําหน้าที่รายงานผลการตรวจสอบภายใน หรือผลการสอบทานระบบโดยตรงต่อคณะกรรมการฯ หรือคณะกรรมการตรวจสอบอย่างเป็นลายลักษณ์อักษร เพื่อดําเนินการแก้ไขได้ ทันท่วงที โดยองค์กรควรดําเนินการหรือจัดให้มีรายการต่อไปนี้

(1) มีระบบการควบคุมภายในที่เหมาะสมสําหรับประเภท และระดับความเสี่ยงที่เกิดขึ้นจากลักษณะและขอบเขตของธุรกิจ

(2) มีสายการบังคับบัญชาและหน้าที่ความรับผิดชอบที่ชัดเจน และเป็นลายลักษณ์อักษร เพื่อการควบคุมและติดตามการปฏิบัติตามนโยบาย ขั้นตอนการบริหาร ความเสี่ยง และเพดานความเสี่ยง

(3) มีการแบ่งแยกหน้าที่และการรายงานระหว่างการปฏิบัติและการควบคุมอย่างชัดเจน

(4) มีขั้นตอนการตรวจสอบ และสอบทานการควบคุมภายในด้านต่าง ๆ อย่างอิสระและเป็นรูปธรรม ได้แก่ ขอบเขตและขั้นตอนการปฏิบัติงาน การรายงาน ข้อเท็จจริงที่พบ และการแก้ไขตามผลการตรวจสอบ รวมทั้งระบบจัดการข้อมูลและระบบการรายงานต่าง ๆ

(5) มีการจัดทํารายงานผลการตรวจสอบและสอบทาน และรายงานการปฏิบัติที่ไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ต่าง ๆ รวมทั้งผลการสอบสวนและการดําเนินการแก้ไขที่เชื่อถือได้ ถูกต้อง ทันกาล และเป็นลายลักษณ์อักษร

(6) คณะกรรมการตรวจสอบหรือคณะกรรมการฯ ควรสอบทานประสิทธิผลของการตรวจสอบภายใน และการควบคุมอื่นอย่างสม่ำเสมอ เพื่อแก้ไขข้อบกพร่องที่มีนัยสําคัญได้อย่างเหมาะสมและทันกาล

6. แผนการสร้างผู้บริหารทดแทนและการฝึกอบรม

การบริหารบุคคลครอบคลุมการกําหนดโครงสร้างของฝ่ายงานที่รับผิดชอบในด้านการวางแผนคัดเลือกพนักงาน การกําหนดตําแหน่งงานและรายละเอียดลักษณะงาน การพัฒนาและฝึกอบรมที่เหมาะสม ระบบการประเมินผลการปฏิบัติงาน และผลตอบแทนการจัดการด้านโครงสร้างเงินเดือน และเครือข่ายการติดต่อสื่อสารที่มีประสิทธิผล

วัตถุประสงค์ของการบริหารบุคคล คือ
(1) เพื่อให้การดําเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับนโยบายองค์กร

(2) เพื่อให้มีบุคลากรที่มีคุณภาพเพียงพอที่จะปฏิบัติงานตามหน้าที่ความรับผิดชอบ และสามารถคัดเลือกพนักงานที่มีคุณภาพมาทดแทนได้อย่างเหมาะสม ดังนั้น ฝ่ายบริหารบุคคลจึงมีบทบาทสําคัญในการเตรียมความพร้อมด้านบุคลากรให้สอดคล้องหรือรองรับกับทิศทางกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรกําหนดรายละเอียดของลักษณะงาน (job description) ระบบการประเมินผลการปฏิบัติงาน โครงสร้างเงินเดือน ผลตอบแทน และบทลงโทษที่เหมาะสม เพื่อให้ผลการดําเนินงานและหน้าที่ความรับผิดชอบเหล่านั้น สอดคล้องกับกลยุทธ์และเป้าหมายที่กําหนดไว้ รวมทั้งควรจัดเตรียมแผนการสร้างผู้บริหารทดแทน เพื่อให้องค์กรสามารถดําเนินธุรกิจได้อย่างต่อเนื่อง

ซึ่งแนวทางหนึ่งคือ สนับสนุนผู้บริหารรุ่นใหม่ที่มีความสามารถให้มีความรู้และประสบการณ์ที่จําเป็นสําหรับการปฏิบัติงานในระดับสูงขึ้นต่อไป ทั้งนี้ ฝ่ายบริหารควรกําหนดรายละเอียดเกี่ยวกับคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่งระดับบริหาร โปรแกรมการฝึกอบรม และการฝึกงานที่จําเป็นไว้ด้วย เพื่อให้มั่นใจว่า องค์กรสามารถดํารงไว้ซึ่งผู้บริหารที่มีความสามารถ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมายควรกําหนดมาตรการ ดังนี้

(1) ทบทวนผลการปฏิบัติงานของผู้บริหารระดับสูง โดยเปรียบเทียบกับเป้าหมายที่กําหนดไว้อย่างน้อยปีละครั้ง เพื่อให้ทราบว่าผลการปฏิบัติงานอยู่ในระดับที่น่าพอใจเพียงใด สามารถดําเนินการให้บรรลุเป้าหมายที่กําหนดไว้ได้มากน้อยเพียงใด โดยอาจพิจารณาได้จากผลประกอบการทั้งในเชิงคุณภาพและเชิงปริมาณ เปรียบเทียบกับแผนดําเนินงานและงบประมาณ การลงทุน ส่วนแบ่งตลาด ความสามารถในการแข่งขัน และระดับความเสี่ยง เป็นต้น

(2) กําหนดนโยบายหรือแผนการเกี่ยวกับการสร้างตําแหน่งผู้บริหารทดแทน ควรมีการจัดทําและทบทวนนโยบายอย่างน้อยปีละครั้ง ให้เหมาะสมกับโครงสร้างองค์กรและลักษณะงาน โดยควรครอบคลุมถึงกระบวนการในการฝึกอบรม การฝึกงานที่จําเป็น รายละเอียดคุณสมบัติขั้นต่ำของผู้ที่จะดํารงตําแหน่ง เป็นต้น

(3) ทบทวนสัญญาว่าจ้างผู้บริหารภายนอกในสาระสําคัญ กรณีที่มีการว่าจ้างผู้บริหารมืออาชีพจากภายนอก ที่ปรึกษา หรือผู้เชี่ยวชาญ เพื่อปฏิบัติหน้าที่เป็นกรณีพิเศษ ควรมีการสอบทานความเหมาะสมของสัญญาว่าจ้าง เพื่อกําหนดบทบาทหน้าที่ และเกณฑ์การประเมินผลการปฏิบัติงาน และการจ่ายค่าตอบแทนที่ชัดเจน

ทั้งนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีสิทธิและอํานาจการตัดสินใจที่สําคัญ รวมทั้งสามารถสอบทานผลการปฏิบัติงานของบุคคลดังกล่าว คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรดําเนินการติดตามและควบคุมการปฏิบัติงานของบุคคลภายนอก เพื่อป้องกันไม่ให้มีการแสวงหาผลประโยชน์จากองค์กร เช่น
(3.1) กําหนดขอบเขต หน้าที่ ความรับผิดชอบในการปฏิบัติงานอย่างชัดเจน
(3.2) ร่างข้อกําหนดที่เป็นทางการ โดยให้ครอบคลุมถึงมาตรฐานขั้นต่ำของผลงานที่ยอมรับได้ และระยะเวลาในการปฏิบัติงานที่ชัดเจน
(3.3) มีการประเมินผลการปฏิบัติงานโดยเปรียบเทียบกับผลที่คาดไว้
(3.4) สัญญาว่าจ้างควรผ่านการพิจารณาจากฝ่ายกฎหมาย และได้รับความเห็นชอบโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย
(3.5) ควรกําหนดในสัญญาให้องค์กรมีสิทธิบอกเลิกสัญญาได้ หากไม่สามารถปฏิบัติได้ตามเป้าหมายที่ตกลงไว้

(4) กําหนดแนวทางและวิธีการในการให้ผลตอบแทนแก่ผู้บริหารระดับสูง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย ควรมีส่วนร่วมในการพิจารณาเกี่ยวกับ ผลตอบแทนที่ให้แก่ผู้บริหารระดับสูงเพื่อให้มีความเหมาะสม โดยอาจกําหนดเป็นในรูปตัวเงินหรือไม่ใช่ตัวเงินก็ได้ ทั้งนี้ ต้องคํานึงถึงความเหมาะสมและฐานะการเงินขององค์กรในขณะนั้นด้วย

(5) การกําหนดแผนการฝึกอบรม องค์กรควรจัดสรรงบประมาณสําหรับการฝึกอบรมให้เพียงพอ และจัดหาบุคลากรที่เหมาะสม มีความรู้ความเข้าใจเกี่ยวกับการบริหารบุคคล เพื่อรับผิดชอบการบริหารโครงการฝึกอบรมขององค์กร โดยสามารถดําเนินการได้ 2 ลักษณะ คือ จัดอบรมโดยวิทยากรภายใน หรือว่าจ้างสถาบันฝึกอบรมหรือเชิญวิทยากรจากภายนอก การฝึกอบรมเป็นปัจจัยสําคัญที่จะช่วยให้องค์กรสามารถพัฒนาคุณภาพของบุคลากร อันจะช่วยให้การดําเนินงานประสบผลสําเร็จได้ตามเป้าหมาย รวมทั้งยังเป็นช่องทางหนึ่งในการสื่อสารแผนงานและเป้าหมายขององค์กรให้ พนักงานทราบ โดยอาจเป็นการอบรมเรื่องทั่วไป เช่น นโยบายขององค์กรเกี่ยวกับกลยุทธ์ธุรกิจ ภาพรวมความเสี่ยง ลักษณะธุรกิจและแผนงาน/โครงการ แนวทางการปฏิบัติงาน และนโยบายการบริหารงานบุคคล เป็นต้น หรือเป็นการอบรมสําหรับการปฏิบัติงานเฉพาะด้าน เช่น การบริหารเงิน หรือการจัดอบรมพิเศษด้านเทคนิคเมื่อมีแผนงานหรือโครงการใหม่ ๆ เป็นต้น ทั้งนี้ ควรมีแผนการอบรมที่ต่อเนื่องและเนื้อหาสอดคล้องกับเป้าหมายการดําเนินงานและกลยุทธ์ขององค์กร

นอกจากนี้ องค์กรควรสนับสนุนให้พนักงานได้มีโอกาสศึกษาต่อเพื่อเพิ่มพูนความรู้ เสริมทักษะ และเป็นการเพิ่มศักยภาพของพนักงานให้ก้าวทันกับวิทยาการใหม่ ๆ ที่จําเป็นต่อการดําเนินงานในอนาคต

7. การวางแผนรองรับการดําเนินธุรกิจ (business continuity planning)

การจัดทําแผนรองรับการดําเนินธุรกิจ เป็นการเตรียมความพร้อมเพื่อให้มีการดําเนินธุรกิจอย่างต่อเนื่อง สําหรับกรณีเกิดเหตุการณ์ที่ไม่คาดคิด โดยอาจจัดทําแผนรองรับการดําเนินธุรกิจสําหรับสถานการณ์วิกฤตที่จําลองขึ้น ในหลาย ๆ กรณี เช่น กรณีวิกฤตจากการไม่สามารถปฏิบัติได้สําเร็จตามแผนกลยุทธ์ กรณีวิกฤตจากภาวะเศรษฐกิจถดถอยรุนแรง หรือกรณีวิกฤตจากอุบัติเหตุหรืออุบัติภัยทางธรรมชาติ เช่น น้ำท่วม หรือไฟไหม้อันกระทบต่อการปฏิบัติงานอย่างมาก นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และบริหารระดับสูง ควรกําหนดรายละเอียดการบริหารจัดการ และผู้มีอํานาจสั่งการและ/หรือ ลงลายมือชื่อแทนตามลําดับชั้น ในกรณีที่ผู้บริหารระดับสูงบางรายหรือส่วนใหญ่ไม่สามารถปฏิบัติหน้าที่ได้ ซึ่งแผนรองรับการดําเนินธุรกิจควรประกอบด้วย

(1) แผนรองรับด้านการปฏิบัติการ ได้แก่ แผนการกําหนดสถานที่ปฏิบัติงานและประมวลผลสํารอง และแผนป้องกันความเสียหายของระบบประมวลผลข้อมูล (electronic data processing – EDP)

(2) แผนรองรับด้านการบริหาร ได้แก่ แผนพัฒนาศักยภาพความสามารถด้านการแข่งขัน และแผนรองรับหากดําเนินการไม่สําเร็จตามแผนกลยุทธ์

สำหรับการวางแผนรองรับการดําเนินธุรกิจ (business continuity planning) เป็นเรื่องที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและให้ความสำคัญอย่างยิ่งยวด ในการเตรียมความพร้อมรับมือกรณีเกิดเหตุการณ์ไม่คาดคิดดังที่ผมได้กล่าวในข้างต้น และควรจัดให้มีการดำเนินงานตามแผนรองรับดังกล่าว ซึ่งในรายละเอียด ผมจะได้นำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไปครับ

ปิดความเห็น บน ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 12 | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 11

เมษายน 21, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในการติดตามและการตรวจสอบความเสี่ยงด้านกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งมีหน้าที่รับผิดชอบการดําเนินงานโดยรวมขององค์กร ต้องกําหนดแนวทางการควบคุมความเสี่ยง เช่น นโยบาย มาตรฐาน วิธีการปฏิบัติงาน ระบบการบริหารความเสี่ยง ระบบการควบคุมภายใน ระบบการติดตามและรายงานความเสี่ยง เช่น รายงานเปรียบเทียบผลปฏิบัติงานจริงกับประมาณการ รายงานตรวจสอบภายใน เป็นต้น ซึ่งในการควบคุมความเสี่ยง องค์กรควรจะพิจารณาในประเด็นที่ผมจะได้กล่าวถึงต่อไปนี้

1. ระบบการควบคุมความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรกําหนดระบบการควบคุมความเสี่ยงที่เป็นแนวทางปฏิบัติที่ดีตามแนวทางสากล หน่วยงานที่ทําหน้าที่ติดตามและควบคุมความเสี่ยงต้องเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง (risk taking function) เพื่อถ่วงดุลอํานาจในการบริหาร โดยมีการสอบยันกันเพื่อป้องกันช่องโหว่ในการควบคุมภายใน รวมทั้งต้องมีการทดสอบการควบคุมความเสี่ยงอย่างสม่ำเสมอ โดยหน่วยงานที่เป็นอิสระทั้งจากภายในและภายนอก เพื่อให้มั่นใจว่าองค์กรมีการบริหารงานตามหลักธรรมาภิบาล และมีระบบการควบคุมความเสี่ยงที่เหมาะสม

การกําหนดให้ระบบการควบคุมความเสี่ยง และหน่วยงานบริหารความเสี่ยงเป็นอิสระจากหน่วยงานที่ก่อให้เกิดความเสี่ยง อาจดําเนินการได้โดยแยกหน่วยงานบริหารความเสี่ยงออกไป เช่น การจัดตั้งหน่วยงานสอบทานหรือตรวจสอบภายใน และการจัดให้มีคณะกรรมการบริหารความเสี่ยง ซึ่งไม่มีหน้าที่เกี่ยวข้องโดยตรงกับการตัดสินใจทางธุรกิจหรือ การดำเนินธุรกิจประจําวัน รวมทั้งการมีบุคลากรที่มีความชํานาญ และมีคุณสมบัติที่เหมาะสมกับงานในด้านที่เกี่ยวข้อง สามารถเข้าใจลักษณะแผนงาน/โครงการ การดำเนินงานและผลกระทบจากระดับความเสี่ยงขององค์กรเกินเพดานที่กําหนดไว้ เป็นต้น

ขอบเขตหน้าที่ของคณะกรรมการบริหารความเสี่ยงมีมากกว่าการกําหนดนโยบาย และการจัดให้มีกระบวนการบริหารความเสี่ยง โดยจะครอบคลุมการสอบทานการปฏิบัติตามเพดานความเสี่ยง การกําหนดความถี่ในการสอบทาน และประเภทความเสี่ยงที่จะสอบทาน ความถี่ในการสอบทานจะขึ้นอยู่กับระดับความเสี่ยงของหน่วยงานที่รับความเสี่ยง เช่น กิจกรรมหรือการดำเนินงานทางการเงินของฝ่ายการเงินที่ควรได้รับการสอบทานทุกวัน กิจกรรมที่ไม่เกี่ยวข้องกับการเงินอาจได้รับการสอบทานเป็นรายสัปดาห์หรือรายเดือน

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรได้รับรายงานต่าง ๆ เพื่อประกอบการสอบทานและการติดตามความเสี่ยง ได้แก่ รายงานการบริหารหนี้สินและทรัพย์สิน รายงานสภาพคล่องของธุรกิจองค์กร รายงานเกี่ยวกับแผนงาน หรือโครงการที่มีระดับความเสี่ยงสูง รายงานเปรียบเทียบผลปฏิบัติงานจริงกับเป้าหมาย เป็นต้น

2. นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยง

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดนโยบายและขั้นตอนการบริหารความเสี่ยง ตามประเภทของความเสี่ยงอย่างละเอียด ถูกต้อง ชัดเจน และเป็นลายลักษณ์อักษร เพื่อใช้เป็นแนวทางการปฏิบัติงานประจําวัน รวมทั้งกําหนดเพดานความเสี่ยง เพื่อจํากัดขอบเขตความเสียหายให้อยู่ในระดับที่ยอมรับได้

นอกจากนี้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรทบทวนนโยบายและขั้นตอนการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อปรับปรุงให้เหมาะสมกับการเปลี่ยนแปลงของธุรกรรมขององค์กร หรือภาวะธุรกิจที่เปลี่ยนแปลงไปในประเด็นต่าง ๆ ดังนี้

(1) นโยบาย ขั้นตอนการบริหารความเสี่ยง และเพดานความเสี่ยงต้องครอบคลุมการระบุ การวัด การติดตามและรายงาน และการควบคุมความเสี่ยงของธุรกรรม แผนงาน/โครงการที่สําคัญ เช่น การลงทุน

(2) นโยบาย ขั้นตอนการบริหารความเสี่ยงและเพดานความเสี่ยง ควรสอดคล้องกับวัตถุประสงค์ เป้าหมาย และความสามารถโดยรวมขององค์กร ทั้งนี้ แผนงาน/โครงการที่ไม่ได้กําหนดไว้ในนโยบายหรือที่มิได้ระบุไว้ในแผนกลยุทธ์ ต้องผ่านความเห็นชอบจากคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงก่อนทุกครั้ง

(3) ควรกําหนดนโยบายให้มีการสอบทานแผนงานหรือโครงการใหม่ ๆ เพื่อให้มั่นใจว่าองค์กรมีเครื่องมือหรือระบบที่จําเป็นในการระบุ วัด ติดตาม และควบคุมความเสี่ยง ก่อนที่จะเริ่มแผนงาน/โครงการใหม่

(4) ต้องกําหนดแยกหน้าที่ความรับผิดชอบ และสายการบังคับบัญชา ในขั้นตอนการบริหารความเสี่ยงอย่างชัดเจน เพื่อประโยชน์ในการบริหารจัดการและมีผู้รับผิดชอบโดยตรงในแต่ละแผนก กิจกรรม หรือโครงการ

(5) ต้องกําหนดเพดานความเสี่ยงอย่างชัดเจน และสามารถวัดได้

3. การสอบทานแผนงาน/โครงการใหม่

ในการบริหารองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องติดตามการเปลี่ยนแปลงของตลาด ความก้าวหน้าทางเทคโนโลยี และพยายามเสนอแผนงาน/โครงการใหม่ ๆ เพื่อยกระดับความสามารถในการแข่งขัน และตอบสนองต่อความต้องการของลูกค้า หรือผู้ใช้บริการ อย่างไรก็ตาม การเสนอแผนงานหรือโครงการใหม่สามารถเพิ่มความเสี่ยงแก่องค์กรได้ หากไม่พิจารณาอย่างละเอียดรอบคอบ

ดังนั้น องค์กรจึงต้องระมัดระวังอย่างยิ่ง สําหรับการวางแผนกลยุทธ์ในการเสนอแผนงาน/โครงการใหม่ เพื่อลดปัญหาและ ข้อผิดพลาดให้เกิดขึ้นน้อยที่สุด และควรกําหนดให้มีระบบและกระบวนการสอบทานการเสนอแผนงาน/โครงการใหม่ โดยต้องประเมินว่าจะมีผลกระทบมากน้อยเพียงใดต่อความเสี่ยงหลักขององค์กร คือ ความเสี่ยงด้านกลยุทธ์ (Strategic Risk -S) ความเสี่ยงด้านปฏิบัติการ (Operational Risk – O) ความเสี่ยงด้านการเงิน (Financial Risk – F) ความเสี่ยงด้านการปฏิบัติตามระเบียบ กฎหมาย กฎเกณฑ์ (Compliance Risk – C)

นอกจากนี้ องค์กรอาจใช้แบบจําลองเพื่อศึกษาผลกระทบที่อาจเกิดขึ้นจากแผนงาน/โครงการใหม่ต่อฐานะ รายได้และเงินลงทุนในสถานการณ์ต่าง ๆ รวมทั้งการใช้วิจารณญาณและประสบการณ์ของบุคลากรที่มีความเชี่ยวชาญประกอบการตัดสินใจ อย่างไรก็ตาม แม้ว่าแบบจําลองจะมีข้อจํากัดและไม่สามารถครอบคลุมทุกสถานการณ์ที่อาจเกิดขึ้น แต่สามารถใช้เป็นเครื่องมือที่ช่วยสร้างความมั่นใจให้กับผู้วิเคราะห์ได้ระดับหนึ่ง ทั้งนี้ องค์กรควรกําหนดกระบวนการสอบทานแผนงาน/โครงการใหม่อย่างครบถ้วน และปรับปรุงระบบการดําเนินงานและระบบควบคุมต่าง ๆ ก่อนใช้งานจริง ซึ่งควรครอบคลุมประเด็นดังต่อไปนี้

(1) การกําหนดหน้าที่การสอบทานอย่างชัดเจน องค์กรควรจัดตั้งคณะทํางานหรือคณะกรรมการย่อย ซึ่งประกอบด้วยตัวแทนระดับเจ้าหน้าที่อาวุโสจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องในองค์กร เพื่อให้มั่นใจว่าองค์กรสามารถประเมินผลกระทบที่อาจเกิดขึ้นจากการเสนอแผนงาน/โครงการใหม่ได้ครบถ้วน นอกจากนี้ หน่วยงานหลัก ได้แก่ ฝ่ายบริหารเงิน และฝ่ายบริหารความเสี่ยง และหน่วยงานสนับสนุน เช่น ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายบริหารบุคคล และ ฝ่ายตรวจสอบภายใน เป็นต้น ควรเข้ามามีส่วนร่วมในการพิจารณาแผนงาน/โครงการใหม่ด้วย และควรมีการจัดทํารายงานเสนอความเห็นจากหน่วยงานต่าง ๆ ต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูงเป็นระยะ

(2) การวิเคราะห์และสอบทานแผนงาน/โครงการใหม่ หน่วยงานที่ทําหน้าที่ในการวิเคราะห์และสอบทาน จะต้องเข้าใจกระบวนการดำเนินงานของแผนงาน/โครงการใหม่อย่างชัดเจน เพื่อให้มั่นใจว่าการสอบทานครอบคลุมทุกประเด็นที่สําคัญ ได้แก่

(2.1) วัตถุประสงค์ของแผนงาน/โครงการ ระยะเวลาในการดำเนินงาน งบประมาณหรือการลงทุน

(2.2) ประโยชน์ที่คาดว่าจะได้รับ เมื่อเทียบระหว่างแผนงาน/โครงการใหม่กับแผนงาน/โครงการเดิมที่มีอยู่แล้ว

(2.3 ) ผลวิเคราะห์ความสําเร็จของแผนงาน/โครงการ

(2.4) ผลกระทบที่มีนัยสําคัญที่คาดว่าจะเกิดขึ้นต่อความเสี่ยงด้านต่าง ๆ และหน่วยงานที่เกี่ยวข้อง

(2.5) วิธีการระบุ วัด ติดตาม และควบคุมความเสี่ยงของแผนงาน/โครงการและผู้รับผิดชอบ

(2.6) ข้อจํากัดของทรัพยากรด้านต่าง ๆ ที่นำมาใช้ในระบบงาน และระบบเทคโนโลยีสารสนเทศปัจจุบัน และการเตรียมการปรับปรุงให้สามารถรองรับแผนงาน/โครงการใหม่ได้

(2.7 ) ความรู้ ความสามารถ และประสบการณ์ของพนักงานที่เกี่ยวข้อง

(2.8) การอนุมัติและความเห็นจากฝ่ายงานต่าง ๆ ที่เกี่ยวข้อง

ในการควบคุมความเสี่ยง ยังมีอีกหลายประเด็นที่คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรจะต้องพิจารณาในมุมมองของการติดตามและตรวจสอบด้านกลยุทธ์ ซึ่งผมจะขอนำเสนอต่อในครั้งหน้านะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 10

เมษายน 12, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

หลังจากที่พนักงาน หรือฝ่ายงานขององค์กรได้ปฏิบัติและดำเนินงานตามแผนกลยุทธ์ ดังที่ผมได้เล่าสู่กันฟังไปแล้วในครั้งที่ผ่านมา สิ่งสำคัญที่คณะกรรมการ และผู้บริหาร ต้องใส่ใจอย่างยิ่งยวดและจะขาดเสียมิได้ ก็คือ การติดตามและรายงานความเสี่ยง ที่ผู้บริหารต้องนำไปใช้ในการวิเคราะห์และตัดสินใจ ซึ่งผมจะขอแบ่งเป็น 2 ส่วน คือ ในส่วนแรกจะเป็นเรื่องของระบบสารสนเทศเพื่อใช้ในการบริหารจัดการ สำหรับส่วนที่ 2 จะเป็นเรื่องของรายงานการติดตาม

การติดตามและการรายงานความเสี่ยงนั้น ควรกระทำอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า ความเสี่ยงที่มีอยู่ในระดับที่ยอมรับได้ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรได้รับรายงานที่เกี่ยวข้องโดยมีความถูกต้อง ทันเวลา และมีความถี่ที่เหมาะสม เพื่อให้ข้อมูลสําคัญสําหรับการตัดสินใจของผู้บริหาร

ประสิทธิผลของการติดตามความเสี่ยง ขึ้นอยู่กับความสามารถในการระบุและวัดความเสี่ยงต่าง ๆ ซึ่งต้องอาศัยระบบข้อมูลสารสนเทศเพื่อการบริหาร หรือแบบจําลอง (model) ที่เหมาะสม ถูกต้อง และรวดเร็ว เพื่อช่วยในการวิเคราะห์และตัดสินใจ ดังนั้น คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงต้องจัดให้มีการพัฒนาและปรับปรุงระบบข้อมูลสารสนเทศ ให้สามารถระบุและวัดความเสี่ยงต่าง ๆ ได้อย่างแม่นยําและน่าเชื่อถืออยู่เสมอ เพื่อรองรับธุรกรรมหรืองานที่มีความซับซ้อนและหลากหลายขององค์กร เช่น องค์กรที่ประกอบธุรกรรมที่มีความซับซ้อนเป็นอย่างมาก ควรมีระบบการรายงานและระบบการติดตามความเสี่ยงที่สามารถวัดความเสี่ยงโดยรวมได้ นอกจากนี้ ระบบสารสนเทศขององค์กร ควรมีการรวบรวมข้อมูลทั้งจากภายใน เช่น ข้อมูลทางการเงิน การบัญชี และข้อมูลจากภายนอก เช่น สภาพเศรษฐกิจ ภาวะตลาด การแข่งขัน เทคโนโลยี และกฎเกณฑ์ของทางการ เป็นต้น

ระบบสารสนเทศเพื่อการบริหาร (MIS) ระบบสารสนเทศเป็นระบบหรือขั้นตอนที่ให้ข้อมูลสําคัญเพื่อการตัดสินใจและการบริหารที่มีประสิทธิผล ซึ่งจะช่วยสนับสนุนการดําเนินงานตามแผนกลยุทธ์ โดยทั่วไปมีวัตถุประสงค์เพื่อ
• จัดหา รวบรวม และประมวลผลข้อมูล
• สนับสนุนเป้าหมายกลยุทธ์และทิศทางขององค์กร
• ลดค่าใช้จ่ายในการดําเนินงาน
• ส่งเสริมการติดต่อสื่อสารของพนักงาน
• รายงานข้อมูลที่ซับซ้อนได้อย่างทั่วถึง

ระบบสารสนเทศที่มีประสิทธิผล จะต้องสนับสนุนการดําเนินงานตามวัตถุประสงค์ เป้าหมาย และการให้บริการต่าง ๆ ขององค์กรอย่างเพียงพอ สามารถเสนอรายงานในรูปแบบที่ต้องการได้ทันเวลา และกําหนดระดับชั้นการเข้าถึงข้อมูลที่เหมาะสม ซึ่งอาจเป็นได้ทั้งระบบอัตโนมัติและระบบประมวลผลโดยพนักงาน หรือทั้งสองอย่าง ที่สําคัญคือ การกําหนดวิธีการควบคุมที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลนั้นถูกต้องตามที่ต้องการ และมีการป้องกันความผิดพลาดในการเรียกข้อมูลจากหลายระบบงาน ซึ่งอาจทําให้เกิดการรายงานและการตัดสินใจที่ผิดพลาดขึ้นได้

คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องให้ความสําคัญกับการพัฒนา การติดตั้ง และการทบทวนระบบสารสนเทศอย่างสม่ำเสมอ รวมทั้งควรกําหนดนโยบาย กรอบการปฏิบัติงาน และขั้นตอนการดําเนินงานเกี่ยวกับระบบสารสนเทศที่ครอบคลุมตั้งแต่การพัฒนา การบํารุงรักษา การรักษาความปลอดภัย จนถึงการปรับปรุงหรือเปลี่ยนแปลงระบบงานให้เป็นมาตรฐาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องจัดให้มีระบบสารสนเทศเพื่อการบริหารที่ประกอบด้วย คุณสมบัติที่สําคัญ 5 ประการ ดังนี้

1) ทันกาล (timeliness) องค์กรควรมีระบบการรายงานที่สามารถจัดหา และส่งข้อมูลที่เป็นปัจจุบันไปยังผู้ใช้อย่างรวดเร็ว ทันต่อการตัดสินใจ ระบบดังกล่าวควรเก็บข้อมูล สรุปผล หรือปรับแก้ไขข้อผิดพลาดที่เกิดขึ้นได้อย่างรวดเร็ว

(2) ความถูกต้อง (accuracy) ควรมีการตรวจสอบข้อมูลนําเข้า ระบบ สารสนเทศ และผลลัพธ์ เพื่อให้มั่นใจว่ามีการประมวลผลข้อมูลอย่างถูกต้อง โดยกําหนดให้มีระบบการควบคุมภายใน การตรวจสอบและประเมินโดยผู้ตรวจสอบภายในและภายนอก และมีการสอบทาน อย่างต่อเนื่อง

(3) ความสม่ำเสมอ (consistency) การรวบรวมและประมวลผลข้อมูลควรมีความสม่ำเสมอและเป็นรูปแบบเดียวกัน เพื่อประโยชน์ในการเปรียบเทียบผลการดําเนินงานระหว่าง ฝ่ายงาน การวิเคราะห์ข้อมูลและแนวโน้มที่เปลี่ยนแปลงไป ทั้งนี้ ขั้นตอนการรายงานและรวบรวมข้อมูลอาจเปลี่ยนแปลงได้ตามความเหมาะสม คณะกรรมการฯ หรือคณะกรรมการ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดวิธีปฏิบัติและขั้นตอนการเปลี่ยนแปลงระบบดังกล่าว เป็นลายลักษณ์อักษร และสื่อสารให้เจ้าหน้าที่ที่เกี่ยวข้องรับทราบโดยทั่วถึง

(4) ความสมบูรณ์ของข้อมูล (completeness) รายงานควรมีลักษณะที่กระชับครบถ้วน เพื่อให้คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีข้อมูลที่ครบถ้วนและสอดคล้องกับประเด็นที่ต้องการตัดสินใจหรือแก้ปัญหา

(5) ความเกี่ยวข้อง (relevance) ข้อมูลที่เสนอคณะกรรมการฯ หรือ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสอดคล้องและเหมาะสมกับระดับชั้นของผู้รับข้อมูล และต้องมีข้อมูลสําคัญที่จําเป็นต่อการตัดสินใจรวมอยู่ด้วยเสมอ

รายงานการติดตาม ในการประเมินความเพียงพอ และความเหมาะสมของการติดตามความเสี่ยงและรายงานต่าง ๆ ที่เสนอต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และ ผู้บริหารระดับสูง รวมทั้งระบบข้อมูลสารสนเทศขององค์กร ฝ่ายงานต่าง ๆ ควรพิจารณาปัจจัยดังต่อไปนี้

1) วิธีการติดตามความเสี่ยงและรายงานความเสี่ยง ครอบคลุมความเสี่ยงทุกด้านและเป็นลายลักษณ์อักษร

2) ข้อมูลและวิธีปฏิบัติงานมีความเหมาะสม เป็นลายลักษณ์อักษร และมีการทดสอบความน่าเชื่อถืออย่างสม่ำเสมอ

3) รายงานผลการดําเนินงาน และการสื่อสารภายในองค์กร มีความเหมาะสมกับปริมาณและความซับซ้อนของธุรกรรมขององค์กร

4) มีการจัดทํารายงานที่เสนอต่อคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่ถูกต้อง ทันกาล และมีข้อมูลเพียงพอต่อการประเมินแนวโน้มและระดับความเสี่ยงขององค์กร

ครั้งหน้าเราไปติดตามการควบคุมความเสี่ยงกันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 9

เมษายน 5, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในครั้งก่อน ๆ ผมได้กล่าวถึงการทบทวนและการวางแผนกลยุทธ์ ซึ่งต้องมีกระบวนการวางแผนกลยุทธ์ที่ดีอย่างต่อเนื่อง ดังที่ได้เล่าสู่กันฟังในตอนที่แล้ว สำหรับครั้งนี้ผมจะขอเล่าถึงรายละเอียดที่เป็นเรื่องเกี่ยวกับการจัดทำแผนการดำเนินงานและงบประมาณ ซึ่งเป็นส่วนหนึ่งในการบริหารจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการติดตามของผู้บริหารและการตรวจสอบ โดยที่ผู้บริหารสามารถกำหนดวิธีการบริหารแผนการดำเนินงานและงบประมาณได้ 2 ลักษณะ หรือจะเป็นในลักษณะของการผสมผสาน เพือให้เหมาะสมและสอดคล้องกับแผนกลยุทธ์ ตามที่ผมจะได้กล่าวถึงต่อไปนี้

กระบวนการจัดทําแผนดําเนินงานและงบประมาณ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงมีหน้าที่รับผิดชอบในการจัดทําแผนดําเนินงานและงบประมาณรวม ขณะเดียวกันฝ่ายงานต่าง ๆ มีหน้าที่จัดทําแผนดําเนินงานและงบประมาณที่สอดคล้องกับแผนดําเนินงานและงบประมาณรวม แยกเป็นรายเดือน รายไตรมาส หรือรายปี โดยแผนดําเนินงานและงบประมาณอาจจัดทําโดยวิธีการบริหารแบบบนลงล่าง (top down approach) วิธีการบริหารแบบล่างขึ้นบน (bottom up approach) หรือ วิธีผสมของทั้ง 2 วิธี

โดย (1) วิธีการบริหารแบบบนลงล่าง เป็นกระบวนการจัดทําแผนกลยุทธ์ โดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มอบหมายและจัดสรรเป้าหมายการปฏิบัติงานให้ฝ่ายงานต่าง ๆ ตามความเหมาะสม ซึ่งมีข้อดี คือ สะดวกต่อการวางแผนและควบคุมงบประมาณ แต่ก็มีข้อเสีย คือ แผนกลยุทธ์ที่จัดสรรอาจไม่สะท้อน ความเป็นจริง หรือไม่สอดคล้องกับศักยภาพของแต่ละฝ่ายงาน หรือเป็นไปได้ยากที่จะปฏิบัติให้สําเร็จตามแผนกลยุทธ์

(2) วิธีการบริหารแบบล่างขึ้นบน เป็นกระบวนการจัดทําแผนดําเนินงานและงบประมาณจากแต่ละฝ่ายงานรวมเป็นแผนกลยุทธ์ ซึ่งมีข้อดี คือ ฝ่ายงานสามารถกําหนดเป้าหมายและจัดสรรทรัพยากร เพื่อมุ่งปฏิบัติให้บรรลุตามแผนกลยุทธ์ที่ตนกําหนดได้เต็มที่ ข้อเสีย คือ วิธีการบริหารแบบล่างขึ้นบน จะปฏิบัติได้ยากกว่าวิธีการบริหารแบบบนลงล่าง เนื่องจากอาจเกิดปัญหาทรัพยากรไม่เพียงพอสําหรับทุกหน่วยงาน และแผนดําเนินงานและงบประมาณของแต่ละฝ่ายไม่สอดคล้องกันทั้งในภาพรวมและระดับฝ่ายงาน

ตัวอย่างตารางแผนการดำเนินงาน

ในการประเมินความเหมาะสมของการวางแผนกลยุทธ์องค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงจะต้องสอบทานแผนดําเนินงานและงบประมาณควบคู่กันไป ซึ่งจะช่วยให้ทราบถึงแผนธุรกิจในอนาคตและสาระสําคัญอื่น ๆ เช่น ความเพียงพอของทรัพยากร สภาพคล่อง แหล่งได้มาและใช้ไปของเงินทุน ระดับและคุณภาพของรายได้ และประสิทธิภาพของการบริหารงาน โดยการประเมินความเหมาะสมของแผนดําเนินงานและงบประมาณควรคํานึงถึงประเด็นดังนี้

(1) แผนดําเนินงานและงบประมาณ องค์กรสามารถใช้งบประมาณเพื่อประมาณการและควบคุมการดําเนินงานทั้งหมดหรือบางส่วน รวมทั้งวัดประสิทธิภาพของผู้บริหารในการตัดสินใจ การจัดทําแผน และการปฏิบัติงาน โดยการเปรียบเทียบงบประมาณกับผลการดําเนินงานจริง เช่น การจัดทํา งบประมาณและประมาณการระยะยาว 4 หรือ 5 ปี ถ้าเปรียบเทียบผลการดําเนินงานที่เกิดขึ้นจริงกับประมาณการระยะยาว จะแตกต่างมากกว่าการเปรียบเทียบกับประมาณการระยะสั้น เนื่องจากสภาพแวดล้อมที่เปลี่ยนแปลง เช่น สภาพการแข่งขัน ปัจจัยทางเศรษฐกิจ และสภาพแวดล้อมอื่น ๆ เป็นต้น จึงควรมีการทบทวนประมาณการระยะยาวอย่างน้อยทุกปี เพื่อจะได้ปรับปรุงแผนตามการเปลี่ยนแปลงอย่างเหมาะสม และเพื่อให้สามารถติดตามการดําเนินงานอย่างใกล้ชิด และปรับตัวได้อย่างรวดเร็ว องค์กรควรทบทวนประมาณการระยะสั้น อย่างน้อยทุกเดือนหรือทุกไตรมาส เพื่อเสนอข้อมูลต่อคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง

ทั้งนี้ การวัดและประเมินผลสําเร็จเพื่อกําหนดผลตอบแทน ควรขึ้นอยู่กับงบประมาณ หรือประมาณการที่ได้รับอนุมัติจากคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงอย่างเป็นทางการในครั้งแรก ก่อนการทบทวนประมาณการเพื่อสะท้อนศักยภาพในการทํางานจริง นอกจากนี้ องค์กรควรจัดทําประมาณการภายใต้สมมติฐานที่แตกต่างกัน โดยใช้สถานการณ์ที่ไม่ปกติในระดับต่าง ๆ ตามการวิเคราะห์แนวโน้มทางเศรษฐกิจ และประสบการณ์ในการดําเนินธุรกิจ

(2) ความสอดคล้องของแผนดําเนินงานและงบประมาณกับแผนกลยุทธ์ แผนดําเนินงานและงบประมาณของแต่ละฝ่ายงาน ควรสอดคล้องกับแผนกลยุทธ์และงบประมาณรวมขององค์กร ทั้งนี้ เมื่อพบว่าเกิดความไม่สอดคล้องกันขึ้น ผู้บริหารในแต่ละฝ่ายงานควรชี้แจงปัญหาและอุปสรรคในการปฏิบัติตามแผนดังกล่าว พร้อมทั้งมาตรการรองรับให้คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้ริหารระดับสูงทราบ เพื่อจัดทําแผนรองรับการดําเนินธุรกิจโดยรวมต่อไป

(3) ความสมเหตุสมผลของสมมติฐานในการจัดทําแผนดําเนินงาน และ งบประมาณ การพิจารณาความสมเหตุสมผลของสมมติฐานที่ใช้ จะพิจารณาจากข้อมูลที่ใช้เป็นพื้นฐานในการกําหนดสมมติฐานว่า ต้องมีความน่าเชื่อถือ มีจํานวนมากเพียงพอ และไม่ล้าสมัย รวมทั้งสอดคล้องหรือเป็นไปในทิศทางเดียวกับข้อมูลที่ใช้จัดทําแผนกลยุทธ์

(4) ความเพียงพอของงบประมาณที่จัดสรรสําหรับงานด้านบริหารและสนับสนุน คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงควรให้ความสําคัญกับหน่วยงานสนับสนุน รวมทั้งจัดสรรงบประมาณให้อย่างเพียงพอเช่นเดียวกับสายงานหลัก และควรปรับปรุงระบบการบริหารความเสี่ยง ระบบสารสนเทศและการรายงานอย่างต่อเนื่อง

(5) การติดตามผลการดําเนินงานจริง เมื่อเปรียบเทียบกับแผนดําเนินงานและงบประมาณ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีหน้าที่ติดตามผลการดําเนินงานจริงเปรียบเทียบกับแผนดําเนินงานและงบประมาณอย่างสม่ำาเสมอ รวมทั้งวิเคราะห์สาเหตุที่เกิดผลแตกต่างอย่างมีนัยสําคัญ และกําหนดแนวทางแก้ไข การเปรียบเทียบดังกล่าว สามารถใช้ประเมินความสําเร็จโดยรวมขององค์กรและฝ่ายงานต่าง ๆ ได้เป็นอย่างดี

แผนงบประมาณ

(6) ความเหมาะสมของผลตอบแทน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรกําหนดนโยบายการให้ผลตอบแทนอย่างเหมาะสมและสอดคล้องกับผลการปฏิบัติงานจริง เมื่อเปรียบเทียบกับแผนดําเนินงานและงบประมาณที่กําหนดไว้ รวมทั้งมีการประกาศให้มีการปฏิบัติและทราบโดยทั่วกัน

เมื่อได้กำหนดกระบวนการจัดทำแผนการดำเนินงาน มีการวางแผนงบประมาณเพื่อให้สอดคล้องกับแผนกลยุทธ์และสามารถปฏิบัติงานตามแผนที่วางไว้ ยังมีสิ่งหนึ่งที่ผู้บริหารจำเป็นต้องติดตามและตรวจสอบ ที่จะขาดเสียมิได้นั่นก็คือ การติดตามและการรายงานความเสี่ยง ซึ่งผมจะขอนำไปเล่าสู่กันฟังในครั้งหน้านะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, ITG และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 8

มีนาคม 28, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในเรื่องของมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์ ได้นำเสนอมาถึงตอนที่ 8 นี้ ซึ่งผมจะขอเล่าต่อถึงความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ โดยได้เล่าถึงแนวทางการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร ควรจะต้องพิจารณาในแง่มุมต่่าง ๆ ที่แยกย่อยลึกลงไป

ทั้งนี้ ได้กล่าวถึงการระบุและวัดความเสี่ยงด้านกลยุทธ์ที่เป็นสิ่งสำคัญแรก ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องตระหนักและพิจารณา รวมถึงแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงาน ที่สอดคล้องกับแผนกลยุทธ์ตามที่กำหนดไว้ และนอกจากจะมีการวางแผนกลยุทธ์ที่ดีอย่างต่อเนื่อง และมีการทบทวนแผนกลยุทธ์หลัก ๆ 5 ด้าน ตามที่ได้กล่าวไว้ในครั้งที่แล้ว ยังต้องมีกระบวนการวางแผนกลยุทธ์ที่ดีดังที่จะได้กล่าวต่อไปนี้ครับ

การเชื่อมโยงการบริหารความเสี่ยงกับกระบวนการวางแผน

กระบวนการวางแผนกลยุทธ์ ซึ่งเป็นการกำหนดทิศทางการดำเนินธุรกิจในอนาคตก็เป็นอีกหนึ่งหน้าที่ความรับผิดชอบ ของคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง เพราะหากกระบวนการวางแผนไม่เหมาะสม สมมติฐานที่ใช้ไม่สมเหตุสมผล หรือแผนกลยุทธ์มีจุดอ่อน อาจทำให้องค์กรประสบความล้มเหลวได้ ดังนั้น องค์กรควรสนับสนุนให้มีกระบวนการวางแผนกลยุทธ์ และการนำไปปฏิบัติที่เหมาะสมในประเด็นต่าง ๆ ดังนี้

– การสนับสนุนหรือการมีส่วนร่วมของคณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ซึ่งคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง มีหน้าที่และความรับผิดชอบโดยตรงเกี่ยวกับกระบวนการวางแผนกลยุทธ์ และการนำแผนกลยุทธ์ไปปฏิบัติ จึงต้องมีส่วนร่วมอย่างเต็มที่ และตัดสินใจด้วยความระมัดระวัง บนพื้นฐานของข้อมูลที่ได้รับจากเจ้าหน้าที่ภายในองค์กรและผลการวิจัยตลาด เพื่อให้แน่ใจว่าแผนดังกล่าวมีความเป็นไปได้และเหมาะสม ทั้งนี้ แผนกลยุทธ์และวิธีการประเมินผลการปฏิบัติงาน ควรได้รับการอนุมัติและทบทวนโดยคณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงอย่างต่อเนื่อง เพื่อพิจารณาถึงความเหมาะสมและความสอดคล้องกันระหว่างแผนกลยุทธ์ แผนดำเนินงานและผลการวิเคราะห์ต่าง ๆ

– การมีส่วนร่วมของบุคลากรจากฝ่ายงานต่าง ๆ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงที่รับผิดชอบกระบวนการวางแผนกลยุทธ์ ควรประกอบด้วยสมาชิกจากหลายฝ่ายงาน ทั้งจากฝ่ายงานหลักและฝ่ายงานสนับสนุนอื่น เพื่อกำหนดกรอบ หรือแนวทาง ที่ฝ่ายงานหลักและฝ่ายงานสนับสนุนสามารถปฏิบัติงานร่วมกัน เพื่อบรรลุเป้าหมายรวมขององค์กร โดยมิให้บุคคลใด หรือฝ่ายงานใด ครอบงำการจัดทำแผนกลยุทธ์ ดังนั้น การประสานงานจึงเป็นสิ่งจำเป็น เนื่องจากฝ่ายงานต่าง ๆ จะต้องร่วมกันปฏิบัติตามแผน และที่สำคัญคือ พนักงานทุกคนต้องตระหนักถึงความสำคัญของแผนงาน ให้ความร่วมมือ หรือมีส่วนร่วมในการให้ความเห็น ซึ่งจะทำให้ผู้บริหารมีโอกาสที่จะให้ และรับข้อมูลสนับสนุนการกำหนดแผนกลยุทธ์ได้อย่างมีประสิทธิภาพยิ่งขึ้น

– ความเพียงพอของข้อมูลที่ใช้จัดทำสมมติฐาน ข้อมูลสนับสนุนที่ใช้จัดทำสมมติฐานต้องเชื่อถือได้ และเพียงพอต่อการตัดสินใจของผู้บริหาร เพื่อสนับสนุนการวิเคราะห์และกำหนดสมมติฐานที่สมเหตุสมผล โดยข้อมูลอาจได้มาจาก

การประเมินปัจจัยทางเศรษฐกิจ ซึ่งหากองค์กรไม่มีการรวบรวมและวิเคราะห์ข้อมูลทางการตลาด ปัจจัยภายในและปัจจัยภายนอกอื่น ๆ ที่ละเอียดรอบคอบ จะไม่สามารถกำหนดสมมติฐาน เพื่อใช้ในการวางแผนได้อย่างครอบคลุม และใกล้เคียงเหตุการณ์จริง ซึ่งอาจทำให้ไม่สามารถดำเนินการให้บรรลุเป้าหมายได้

สถานะขององค์กรเปรียบเทียบกับคู่แข่ง เพื่อระบุจุดแข็งและจุดอ่อน โอกาสและอุปสรรค โดยคำนึงถึงการเปลี่ยนแปลงสภาพแวดล้อมและแนวโน้มในอนาคต อันจะส่งผลกระทบต่อองค์กร

ภาวะการแข่งขันในปัจจุบันและแนวโน้มของตลาด ได้แก่ รายละเอียดของคู่แข่งในตลาด อาทิ ขนาดสินทรัพย์ โครงสร้าง รูปแบบการเติบโต ธุรกิจหลัก จุดแข็งและจุดอ่อนของคู่แข่ง รวมทั้งส่วนแบ่งตลาดจำแนกตามประเภทผลิตภัณฑ์และสายธุรกิจ องค์กรควรประเมินสภาวะตลาดอย่างต่อเนื่อง โดยเฉพาะเมื่อมีการเปลี่ยนแปลงที่สำคัญ

ความต้องการของลูกค้า โดยพิจารณาโครงสร้างประชากร รายได้ และพฤติกรรมของลูกค้า เพื่อให้ทราบลักษณะตลาดในปัจจุบันและกลุ่มลูกค้าเป้าหมาย ระยะเวลาความต้องการสินค้า และแนวโน้มตลาดในอนาคต ทั้งนี้ ควรมีการทำวิจัยอย่างต่อเนื่อง เพื่อให้ แน่ใจว่าองค์กรมีการเตรียมพร้อม และสามารถตอบสนองต่อการเปลี่ยนแปลงของคู่แข่งและตลาดได้ทันกาล ซึ่งการวิจัยอาจกระทำโดยองค์กรเองหรือบริษัทวิจัยภายนอก

– ความสอดคล้องระหว่างแผนดำเนินงานกับวัตถุประสงค์โดยรวมขององค์กร เป้าหมายการปฏิบัติการควรสอดคล้องกับแผนกลยุทธ์และวัตถุประสงค์โดยรวมขององค์กร รวมทั้งการจัดทำแผนดำเนินงาน ควรสอดคล้องกับการจัดสรร งบประมาณและแหล่งเงินทุนที่องค์กรมีอยู่ด้วย นอกจากนี้ ควรกำหนดเกณฑ์วัดที่ใช้เปรียบเทียบผลการดำเนินงานจริงกับแผนดำเนินงาน เพื่อช่วยประเมินความสำเร็จตามแผน และกำหนดกรอบระยะเวลาดำเนินการในแต่ละขั้นตอนอย่างชัดเจน รวมทั้ง หากผล การประเมินเบี่ยงเบนไปจากที่คาดการณ์ไว้ ควรปรับเปลี่ยนแผนดำเนินงานให้สอดคล้องกับสภาพแวดล้อมหรือสถานการณ์ที่เปลี่ยนไป

– ความเป็นไปได้ของแผนกลยุทธ์ องค์กรควรกำหนดเป้าหมายให้สอดคล้องกับความสามารถ ศักยภาพ ส่วนแบ่งตลาด และภาวะการแข่งขันในปัจจุบัน ทั้งนี้ แผนกลยุทธ์ที่มีเป้าหมายกว้างเกินไป หรือไม่มีทิศทางที่ชัดเจน อาจทำให้การกำหนดแผนดำเนินงาน และแผนปฏิบัติการเป็นไปได้ยาก และไม่สามารถกำหนดเกณฑ์วัดผลการดำเนินงานได้อย่างเหมาะสม

– การประเมินผลการดำเนินงานจริงเปรียบเทียบกับแผนกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ควรวัดและประเมินผลการดำเนินงานจริง เปรียบเทียบกับแผนกลยุทธ์เป็นระยะ เพื่อติดตามและปรับเปลี่ยนแผนดำเนินงานให้เหมาะสม และสอดคล้องกับการเปลี่ยนแปลง โดยควรกำหนดเกณฑ์การประเมินผลการปฏิบัติที่สามารถวัดได้ และความถี่ในการประเมินผลที่เหมาะสม พร้อมทั้งพิจารณาทางเลือกที่สอดคล้องกับสถานการณ์ในแต่ละช่วงเวลา เพื่อใช้เป็นข้อมูลในการปรับแผนดำเนินงานต่อไป

ครั้งหน้าเราจะไปติดตามแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงาน ที่สอดคล้องกับแผนกลยุทธ์ตามที่กำหนดไว้กันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »