IT Governance และ IT Strategy ระดับองค์กรและระดับประเทศ บางมุมมองที่ต้องบูรณาการในแต่ละกระบวนการเข้าด้วยกันแบบ GRC (ต่อ)

มีนาคม 22, 2011

ครั้งที่แล้ว ผมได้กล่าวถึงแนวทางการกำหนดนโยบายที่ชัดเจน ทางด้านการบริหารความมั่นคงข้อมูลสารสนเทศที่ดี รวมทั้งแนวทางการปฏิบัติที่ชัดเจน ไม่กำกวม ในภาพรวมระดับชาติที่อาจใช้เป็นกรอบในการกำกับ หรือขับเคลื่อนการบริหารการจัดการด้านสารสนเทศที่ดี ที่สามารถแลกเปลี่ยนข้อมูล หรือหลอมรวมข้อมูลกันภายในกระทรวง ทบวง กรม ที่เป็นหน่วยงานของรััฐต่าง ๆ โดยมีกลยุทธ์ที่ผสมผสานเป็นหนึ่งเดียวในการบริหารจัดการสารสนเทศ ซึ่งจะช่วยลดการใช้ทรัพยากรของชาติได้อย่างมหาศาลในอนาคต และสร้างความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมในทุกภาคส่วน ทั้งในและระหว่างประเทศนั้น

หากประเทศเรามีนโยบายการบริหารจัดการสารสนเทศตามแนวทางและหลักการของ IT Governance โดยใช้กรอบและกระบวนการของ CobiT และ ITIL รวมทั้งมาตรฐานอื่น ๆ ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ การบริหารความเสี่ยง และการจัดการด้านคุณภาพ รวมทั้งการจัดองค์กรและความสัมพันธ์ของหน่วยงานเทคโนโลยีสารสนเทศ ซึ่งจะเกี่ยวข้องกับการกำหนดทิศทางของเทคโนโลยีสารสนเทศ ทั้งในระดับองค์กรและในระดับประเทศนั้น +++

แนวทางและขอบเขตการบริหาร IT Governance ที่เกี่ยวกับ CobiT ในเรื่องหลัก ๆ 4 เรื่อง หรือ 4 องค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อนคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศนั้น จะประกอบด้วยเรื่องใหญ่ ๆ 4 เรื่องด้วยกัน คือ 1. การวางแผนและการจัดการองค์กร 2. การจัดการและการนำระบบออกใช้งานจริง 3. การส่งมอบและบำรุงรักษา 4. การติดตามและการสอบทาน

ครั้งนี้ ผมจะก้าวข้ามจากข้อ 1. คือการวางแผนและการจัดการองค์กร ไปสู่ข้อที่ 4 คือ การติดตามและการสอบทาน กระบวนการบริหารและการจัดการสารสนเทศที่ดี หรือ IT Governance ตามหลักการของ CobiT ที่อาจสร้างเป็นมาตรฐานให้กับหน่วยงานต่าง ๆ ปฏิบัติ โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับการสร้างมาตรฐานที่ใช้เป็นกรอบหลักในระดับชาติได้คือ 1. การสร้างมาตรฐานด้าน Common Data Structure เช่น การสร้างมาตรฐานข้อมูลทางด้าน e-Payment ของธนาคารแห่งประเทศไทย ซึ่งเป็นเรื่องการสร้าง Common Data เพียงตัวอย่างเดียวจากหลาย ๆ ตัวอย่าง 2. การสร้างมาตรฐานทางด้าน Common Technology Architecture และ 3. การสร้างมาตรฐานทางด้าน Common Risk & Control Processes ซึ่งเป็นกรอบใหญ่ ๆ 3 เรื่อง เพื่อเป็นทิศทางในการก้าวสู่การหลอมรวมการพัฒนาระบบเชื่อมโยงข้อมูล ในลักษณะ Collaborative e-Government หรืออาจเรียกย่อ ๆ ว่า TH e-GIF และต่อเนื่องด้วยวิธีการทำมาตรฐานรายการข้อมูล มาตรฐานที่เป็นข้อกำหนดทางเทคนิค เพื่อใช้เป็นกรอบมาตรฐานการเชื่อมโยงธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งมีรายละเอียดต่าง ๆ มากพอสมควร และผมจะขอพูดถึงในโอกาสต่อไป

Collaborative e-Governance กับ Common Data Technology and Risk

การที่ผมก้าวข้าม Domain 2 และ 3 ของ CobiT ก็เพราะเป็นกรอบแนวทางปฏิบัติที่อาจติดตามได้จากหลาย ๆ แหล่ง โดยเฉพาะจาก ISACA ผมจึงพาท่านมาสู่ Domain ที่ 4 ซึ่งเป็นเรื่องสำคัญที่ผสมผสานระหว่างการติดตามของผู้บริหารระดับสูงภายในองค์กร ซึ่งเรียกว่า การ Monitoring ที่สามารถดำเนินการควบคู่กันไปกับ การประเมินความเสี่ยงและการตรวจสอบภายในระดับองค์กร หรือระดับประเทศได้ ตามกรอบด้านล่างนี้ครับ

Control Objective CobiT 4.1_2

ในครั้งต่อไป ผมจะอธิบายในหัวข้อของ ME 1 Monitor and evaluate IT performance (การติดตามควบคุมกระบวนการทำงานขององค์กร), ME 2 Monitor and evaluate internal control (การประเมินความพอเพียงของระบบควบคุมความเสี่ยง), ME 3 Ensure compliance with external requirements (การติดตามและประเมินการปฏิบัติตามกฎหมาย และข้อกำหนดต่าง ๆ), ME 4 Provide IT Governance (การติดตามการจัดให้มี IT Governance ที่ดีมีคุณภาพ) ซึ่งในแต่ละหัวข้อมีรายละเอียดที่ต้องติดตามต่อไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 7

มีนาคม 16, 2011

ความเข้าใจและคำแนะำนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ในหลาย ๆ ตอนที่ผ่านมา ผมได้เล่าสู่กันฟังในเรื่องที่เกี่ยวข้องกับมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์ ซึ่งในครั้งที่แล้วได้เล่าถึงความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ โดยทิ้งท้ายไว้ในเรื่องของแนวทางการบริหารความเสี่ยงทางด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร ควรจะต้องพิจารณาในแง่มุมต่่าง ๆ ที่มีรายละเอียดที่ลึกลงไป ซึ่งผมขอนำมาเล่าสู่กันฟังต่อในครั้งนี้นะครับ

แนวทางการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่คณะกรรมการฯ และผู้บริหารระดับสูงขององค์กร ควรพิจารณามีดังนี้

1. การระบุและการวัดความเสี่ยง เป็นการตระหนักถึงความเสี่ยงที่องค์กรกำลังเผชิญอยู่และความเสี่ยงที่อาจเกิดขึ้นในอนาคต โดยองค์กรควรระบุและวัดความเสี่ยงอย่างต่อเนื่อง เพื่อติดตามผลกระทบที่เกิดขึ้นจากสถานการณ์ที่เปลี่ยนแปลงไป ซึ่งการระบุและการวัดความเสี่ยงด้านกลยุทธ์จะต้องพิจารณาถึง การวางแผน กลยุทธ์ กระบวนการวางแผนกลยุทธ์ และความสมเหตุสมผลของแผนกลยุทธ์

นอกจากนั้น ยังต้องพิจารณารวมถึงแผนดำเนินงานและกระบวนการจัดทำแผนดำเนินงานว่า สอดคล้องกับแผนกลยุทธ์ที่กำหนดไว้หรือไม่ เพียงใด ซึ่งทั้งแผนกลยุทธ์และแผนดำเนินงานจะต้องสอดคล้องกับขอบเขต ความซับซ้อนของธุรกิจ สภาวะแวดล้อมภายนอก และปัจจัยภายในขององค์กร เพื่อบรรลุเป้าหมายทางธุรกิจและจัดการปัญหาขององค์กรได้

ปัจจุบันการเปลี่ยนแปลงของโครงสร้างระบบองค์กร ขอบเขตการดำเนินธุรกิจขององค์กร เทคโนโลยี ความผันผวนของภาวะตลาด การแข่งขันที่เพิ่มขึ้นและนวัตกรรมใหม่ ๆ ก่อให้เกิดความเสี่ยงมากขึ้น ดังนั้น คณะกรรมการฯ คณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูงขององค์กร จำเป็นต้องมีการวางแผนที่ดีอย่างต่อเนื่อง พร้อมทั้งทบทวนแผนกลยุทธ์ เมื่อภาวะแวดล้อมเปลี่ยนไป อันได้แก่ การวางแผนกลยุทธ์ การจัดองค์กร การจัดอัตรากำลัง การสั่งการ และการควบคุมการปฏิบัติงาน เพื่อให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กำหนด

– การวางแผนกลยุทธ์ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับ มอบหมาย และผู้บริหารระดับสูง ต้องกำหนดทิศทางการดำเนินธุรกิจในอนาคตขององค์กร และวางแผนให้สอดคล้องกับสภาพแวดล้อมและสถานการณ์ที่เปลี่ยนแปลงไป นอกจากนี้ ต้องกำหนดแผนดำเนินงาน กลุ่มลูกค้าเป้าหมาย และวิธีประเมินผลการปฏิบัติตามแผน รวมทั้งระบบการบริหารความเสี่ยง ระบบเทคโนโลยีสารสนเทศ และระบบสนับสนุนอื่น เพื่อควบคุมความเสี่ยงด้านกลยุทธ์ด้วย

– การจัดองค์กร คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องจัดองค์กรและกำหนดวิธีการปฏิบัติงานที่เอื้อต่อการปฏิบัติตามแผนกลยุทธ์ และจัดให้มีการสอบยันและถ่วงดุลอำนาจ (Check and Balance) อย่างเหมาะสม

– การจัดอัตรากำลัง คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องดำเนินการให้มีการจัดสรรอัตรากำลังให้เหมาะสมกับคุณสมบัติ และหน้าที่ตำแหน่งงานที่รับผิดชอบ เพื่อให้การปฏิบัติตามแผนกลยุทธ์เป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับการเปลี่ยนแปลงรูปแบบการจัดองค์กร รวมทั้งกำหนดระบบการสรรหา การฝึกอบรม และการกำหนดผลตอบแทนที่สนับสนุนให้พนักงานปฏิบัติตามแผนกลยุทธ์ เพื่อบรรลุเป้าหมายขององค์กร

– การสั่งการ คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องสั่งการเพื่อให้การดำเนินการขององค์กรเป็นไปตามเป้าหมาย โดยกำหนดสายการบังคับบัญชาที่ชัดเจนและเปิดเผย ซึ่งจะช่วยให้มีการตัดสินใจ การตอบสนองการวัดและประเมินผลที่รวดเร็ว และมีประสิทธิภาพ

– การควบคุมและติดตามการปฏิบัติงาน คณะกรรมการฯ หรือคณะกรรมการที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องจัดให้มีกลไกการควบคุมการปฏิบัติตามแผนกลยุทธ์ที่มีประสิทธิผล ซึ่งสามารถตรวจพบกรณีที่มีการเบี่ยงเบนไปจากแผน และเสนอแนวทางแก้ไขได้ทันท่วงที โดยมีระบบการรายงานรายละเอียดความคืบหน้าในการปฏิบัติตามแผนและวัตถุประสงค์ พร้อมเปรียบเทียบผลการปฏิบัติจริงกับแผนดำเนินงานและงบประมาณ รวมทั้งควรมีแผนรองรับการดำเนินธุรกิจ (ฺBusiness Continuity Planning – BCP) สำหรับสถานการณ์ที่ไม่ปกติ เพื่อรองรับการเปลี่ยนแปลงสภาพแวดล้อมที่ไม่เป็นไปตามที่คาดไว้

ท่านผู้บริหาร และผู้ตรวจสอบทุกท่านสามารถติดตามความเข้าใจและคำแนะำนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบต่อได้ในตอนต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 6

มีนาคม 10, 2011

ความเข้าใจและคำแนะนำบางประการในการจัดการความเสี่ยงด้านกลยุทธ์ เพื่อการบริหารและการตรวจสอบ

ผมได้เล่าสู่กันฟังในเรื่องที่เกี่ยวข้องกับมุมมองของการติดตามการบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์มา 5 ตอนแล้วนะครับ ท่านผู้บริหารและท่านผู้ตรวจสอบอาจจะสนใจลึกลงไปมากกว่าที่ได้กล่าวมาแล้วในตอนต้น ๆ ว่า การจัดการบริหารความเสี่ยงด้านกลยุทธ์ที่ดี ที่ผู้บริหารพึงใช้ในการติดตาม (Monitor) และผู้ตรวจสอบที่จะประเมินผลการควบคุมความเสี่ยงทางด้านกลยุทธ์ที่มีอยู่โดยองค์กรนั้น เป็นการควบคุมที่เหมาะสมและพอเพียงหรือไม่ ควรจะพิจารณาในมุมมองใดบ้าง เพื่อที่ผู้บริหารและผู้ตรวจสอบอาจจะทำการประเมินตนเองเพื่อการควบคุมภายในว่า องค์กรมีการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสมในปัจจุบันแล้วหรือยัง

แนวคิดดังกล่าวข้างต้นอาจจะอธิบายได้เพิ่มเติมบางมุมมอง ซึ่งขึ้นกับลักษณะและขนาด รวมทั้งความซับซ้อนของธุรกิจ + โครงสร้างของธุรกิจที่สัมพันธ์กับวัฒนธรรม และความเชื่อในการบริหารความเสี่ยง รวมทั้งการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ที่ผู้บริหารและผู้ตรวจสอบควรจะทำความเข้าใจในสภาพแวดล้อมในองค์กรของท่านตามที่กล่าวไปแล้วผสมผสานกับคำแนะนำเกี่ยวกับการบริหารความเสี่ยงทางด้านกลยุทธ์และการควบคุมดังนี้

ความเสี่ยงด้านกลยุทธ์ ควรจะเข้าใจตรงกันว่า เป็นความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงาน และการนำไปปฏิบัติ ไม่เหมาะสมหรือสอดคล้องกับสภาพแวดล้อมภายนอกและปัจจัยภายใน ซึ่งอาจส่งผลกระทบต่อการกำหนดทิศทาง แผนการดำเนินงาน และแผนปฏิบัติการในแต่ละหน่วยธุรกิจขององค์กร

ดังนั้น จึงมีความจำเป็นที่คณะกรรมการฯ และผู้บริหารระดับสูงขององค์กร จะต้องมีการกำหนดแนวทางในการจัดการความเสี่ยงอย่างมีประสิทธิภาพ และเหมาะสมกับสภาพแวดล้อมในการดำเนินธุรกิจ เพื่อให้มั่นใจว่า ความเสี่ยงอยู่ในระดับที่ยอมรับได้ และมีระบบบริหารความเสี่ยงที่เพียงพอในการระบุ วัด ติดตาม และควบคุมความเสี่ยงได้

ทั้งนี้ คณะกรรมการองค์กร ผู้บริหารระดับสูง ซึ่งหมายถึง ผู้จัดการ รองผู้จัดการ ผู้ช่วยผู้จัดการ หรือผู้ที่มีตำแหน่งเทียบเท่าที่เรียกชื่อ เป็นอย่างอื่น ซึ่งมีอำนาจในการจัดการ 3 ลำดับแรก ขององค์กร และควรเข้าใจตรงกันว่า ผู้บริหาร หมายถึง ผู้มีอำนาจจัดการในลำดับถัดจาก 3 ลำดับแรก ตามที่กล่าวข้างต้น ทำหน้าที่ในการจัดการและสอดส่องดูแล การปฏิบัติงานให้เป็นไปตามกฎหมาย ข้อบังคับ และมติของที่ประชุมผู้ถือหุ้น

ดังนั้น คณะกรรมการฯ จึงต้องทำหน้าที่โดยซื่อสัตย์สุจริต และระมัดระวังในระดับที่พึงคาดหมายได้จากผู้มีผลประโยชน์ร่วม ในสถานภาพและสภาวการณ์เช่นเดียวกัน และผู้บริหารระดับสูงควรมีความรับผิดชอบในการบริหารเยี่ยงผู้ประกอบอาชีพ เพื่อประโยชน์สูงสุดขององค์กร ผู้ถือหุ้น และพนักงาน แม้ว่าหน้าที่และความรับผิดชอบของคณะกรรมการฯ และผู้บริหารระดับสูง อาจแตกต่างกันตามโครงสร้างองค์กร และอำนาจหน้าที่ที่กำหนดไว้

ในกรณีที่เกิดความเสียหาย คณะกรรมการฯ และผู้บริหารระดับสูงอาจต้องมีการรับผิดชอบเป็นการส่วนตัวทั้งทางแพ่งและทางอาญา รวมทั้งไม่อาจยกเอาการที่ตนมิได้มีหน้าที่เป็นกรรมการหรือผู้บริหาร และขาดข้อมูลเกี่ยวกับองค์กรขึ้นอ้าง เพื่อให้พ้นความรับผิดจากการไม่ปฏิบัติหน้าที่ดังกล่าว และ

ในทางปฏิบัติคณะกรรมการฯ อาจมอบอำนาจการจัดการบางเรื่อง ให้คณะกรรมการย่อยชุดต่าง ๆ หรือผู้บริหารบางรายพิจารณาและตัดสินใจ เพื่อความคล่องตัวในการดำเนินธุรกิจขององค์กร แต่อย่างไรก็ตาม คณะกรรมการฯ ที่ได้รับมอบหมาย และผู้บริหารระดับสูง ต้องติดตามและสอดส่องให้มีการปฏิบัติตามกฎหมาย ระเบียบ และหลักเกณฑ์ของทางการที่เกี่ยวข้อง เช่น หน่วยงานที่กำกับดูแล เพื่อส่งเสริมให้มีการกำกับดูแลกิจการตามหลักธรรมาภิบาล (Corporate Governance) เป็นต้น

ทั้งนี้ แนวการบริหารความเสี่ยงทางด้านกลยุทธ์ที่ดี ที่องค์กรควรจะพิจารณาในแง่มุมต่าง ๆ ที่แยกย่อยลงไปยังมีรายละเอียด ที่คณะกรรมการ และผู้บริหาร ต้องทำความเข้าใจในเรื่องต่าง ๆ ซึ่งผมจะได้นำมาเล่าสู่กันฟังในตอนต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

itgthailand.com ย้าย host ใหม่

มีนาคม 3, 2011

สวัสดีครับ ทุกท่าน ผมต้องขออภัยในความไม่สะดวก หลังจากที่ http://www.itgthailand.com แห่งนี้ ไม่สามารถเข้าใช้งานได้หลายวัน เพราะมีปัญหาในเรื่องของ host ทำให้ทุกท่านไม่สามารถติดตามเนื้อหา สาระ ข่าวสารความเคลื่อนไหวจากทางเว็บได้ ผมจึงขอแจ้งให้ทุกท่านทราบว่า ตอนนี้ http://www.itgthailand.com ได้ดำเนินการย้าย host ไปที่แห่งใหม่เรียบร้อย และสามารถใช้งานได้ตามปกติแล้วครับ โดยเราได้รับการเอื้อเฟื้อ และให้การช่วยเหลือเป็นอย่างดีจาก ดร. ปริญญา หอมอเนก และคุณนิพนธ์ จาก เอซิส โปรเฟสชั่นแนล เซ็นเตอร์ (ACIS Professional Center) สถาบันที่ให้ความรู้ที่หลากหลายทางด้าน Information Security/Technology+++ ผมต้องขอขอบคุณทั้ง 2 ท่าน เป็นอย่างยิ่ง รวมถึงคุณกฤษณีย์ เกียรติไพบูลย์ แห่ง วินท์คอม เทคโนโลยี (Vintcom Technology) ที่คอยอำนวยความสะดวกแก่เราเสมอมา ทำให้ http://www.itgthailand.com นี้ยังคงสามารถดำเนินงานเผยแพร่ข้อมูล ข่าวสาร และสาระประโยชน์ให้แก่สาธารณชนผู้สนใจทุกท่านได้ต่อไป

อย่างไรก็ตาม เพื่อมิให้ทุกท่านพลาดการติดตามเนื้อหา สาระประโยชน์ จาก itgthailand ผมจะ update ข้อมูลควบคู่ไปกับ www.itgthailand.wordpress.com อย่างสม่ำเสมอ เพื่อรองรับหากเกิดกรณีที่ไม่สามารถใช้งาน itgthailand.com ได้

ขอบคุณทุกท่านที่ติดตาม itgthailand ครับ

Leave a Comment » | คุยกับผู้เขียน, แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ, IT Audit, ITG และองค์ประกอบที่เกี่ยวข้อง, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 5

มีนาคม 3, 2011

ห่างหายกันไปเป็นสัปดาห์เลยเชียวครับทุกท่าน จากปัญหา host ทำให้เราไม่สามารถเข้าใช้งานเว็บได้ เป็นเหตุให้ itgthailand.com ต้องย้าย host ใหม่ ผมดีใจที่ได้กลับมาพูดคุยกับทุกท่านผ่านทางเว็บนี้เหมือนเช่นเคย จากที่เราได้พูดคุยกันในเรื่องของความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบด้านกลยุทธ์ในหลาย ๆ ตอนที่ผ่านมา
และผมได้พูดถึงการจัดระดับความเสี่ยงกันไปแล้ว เรามาติดตามกันต่อไปว่าเมื่อมีการจัดระดับความเสี่ยงทางด้านกลยุทธ์แล้วนั้น องค์กรมีการจัดการกับความเสี่ยงที่เกิดขึ้นในแต่ละรูปแบบได้อย่างไร

การจัดการความเสี่ยงที่อยู่ในเกณฑ์ดี จะมีการบริหารกิจการตามหลักธรรมาภิบาลเป็นไปอย่างมีประสิทธิภาพ และมีความโปร่งใสในการเปิดเผยข้อมูล มีนโยบายและขั้นตอนการปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรไว้อย่างชัดเจน เพื่อป้องกันปัญหาการปฏิบัติเพื่อผลประโยชน์ส่วนตน แทนที่จะคํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การตัดสินใจทางกลยุทธ์สามารถปรับเปลี่ยนได้ โดยเกิดค่าใช้จ่ายเพียงเล็กน้อย และไม่มีอุปสรรค มีการจัดทําแผนฉุกเฉินสําหรับภาวะวิกฤติ โดยครอบคลุมเรื่องที่สําคัญและสื่อสารแผนให้ทราบทั่วทั้งองค์กร และมีการทดสอบแผนฉุกเฉินอย่างสม่ำเสมอ

องค์กรมีแผนฝึกอบรม และสร้างผู้บริหารทดแทนอย่างเป็นทางการ เพื่อให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศสามารถสนับสนุนการดําเนินการตามกลยุทธ์อย่างมีประสิทธิภาพ ผู้บริหารมีความสามารถสูงในการพัฒนาทิศทางกลยุทธ์ และเพิ่มประสิทธิภาพในการปฏิบัติตามกลยุทธ์และในการดําเนินงานขององค์กร จนประสบความสําเร็จตามเป้าหมายที่กําหนดไว้

คณะกรรมการองค์กรมีคุณสมบัติครบถ้วน มีประสบการณ์หลากหลาย และเข้าร่วมประชุมโดยสม่ำเสมอ ไม่มีผู้ใดมีอํานาจครอบงําผู้อื่น มีคณะกรรมการที่รับผิดชอบดูแลความเสี่ยงทั้งหมด

การจัดการความเสี่ยงที่อยู่ในเกณฑ์พอใช้ จะมีการบริหารกิจการตามหลักธรรมาภิบาล และมีความโปร่งใสในการเปิดเผยข้อมูล มีนโยบายและขั้นตอนการปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรอย่างเพียงพอที่จะป้องกันปัญหาการปฏิบัติหน้าที่ โดยไม่ได้คํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การตัดสินใจทางกลยุทธ์สามารถปรับเปลี่ยนได้ โดยไม่มีอุปสรรคหรือค่าใช้จ่ายที่มีนัยสําคัญ มีการจัดทําแผนฉุกเฉินสําหรับภาวะวิกฤติ ซึ่งครอบคลุมเรื่องที่สําคัญอย่างเพียงพอ แผนฉุกเฉินได้รับการทดสอบอย่างสม่ำเสมอและสื่อสารให้พนักงานได้รับทราบ

องค์กรมีแผนฝึกอบรม และสร้างผู้บริหารทดแทนอย่างเพียงพอ เพื่อให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศสามารถสนับสนุนการดําเนินการตามกลยุทธ์อย่างเพียงพอ ผู้บริหารแสดงให้เห็นถึงความสามารถในการดําเนินงาน ให้บรรลุตามเป้าหมายและวัตถุประสงค์ขององค์กร มีการตัดสินใจและการควบคุมที่ดีและสมเหตุผล

คณะกรรมการองค์กร มีคุณสมบัติเหมาะสมและมีประสบการณ์หลากหลาย โดยอาจไม่เข้าร่วมประชุมในบางครั้ง แตไม่มีผลกระทบที่มีนัยสําคัญ ไม่มีผู้ใดมีอํานาจครอบงําผู้อื่น ขอบเขตความรับผิดชอบของคณะกรรมการครอบคลุมการดูแลความเสี่ยงที่สําคัญ

การจัดการความเสี่ยงที่อยู่ในเกณฑ์อ่อน การบริหารงานจะไม่เป็นไปตามหลักธรรมาภิบาล การเปิดเผยข้อมูลไม้โปร่งใส ไม่มีนโยบายและขั้นตอนปฏิบัติงานสําหรับธุรกรรมที่ทําโดย หรือทําเพื่อบุคคลภายในองค์กรอย่างเพียงพอ ที่จะป้องกันปัญหาการปฏิบัติหน้าที่โดยไม่ได้คํานึงถึงผลประโยชน์ขององค์กรเป็นหลัก

การปรับเปลี่ยนการตัดสินใจทางกลยุทธ์ก่อให้เกิดอุปสรรคและค่าใช้จ่ายที่มีนัยสําคัญ ไม่ได้จัดทําแผนฉุกเฉินอย่างเพียงพอสําหรับภาวะวิกฤติ และไม่มีการทดสอบแผนฉุกเฉินเป็นระยะ ตลอดจนไม่ได้สื่อสารให้พนักงานทราบ

องค์กรไม่มีแผนการสร้างผู้บริหารทดแทน หรือมีแต่ขาดประสิทธิภาพ และไม่มีการฝึกอบรมอย่างเพียงพอที่จะช่วยให้การบริหารงานเป็นไปอย่างต่อเนื่อง ระบบสารสนเทศเพื่อการบริหารไม่ได้สนับสนุนการดําเนินการตามกลยุทธ์อย่างเพียงพอ ผู้บริหารไม่มีความสามารถในการดําเนินงานให้บรรลุเป้าหมายและวัตถุประสงค์ขององค์กร และไม่ประสบความสําเร็จในการตัดสินใจและ ควบคุมดูแลกิจการ

คณะกรรมการองค์กรมีคุณสมบัติที่ไม่เหมาะสม และมีประสบการณ์ไม่หลากหลาย ไม่เข้าร่วมประชุมบ่อยครั้ง และมีผู้มีอํานาจครอบงําผู้อื่น ขอบเขตความรับผิดชอบของคณะกรรมการไม่ครอบคลุมความเสี่ยงที่สําคัญ

เรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบด้านกลยุทธ์ยังไม่จบเพียงเท่านี้ ไปติดตามกันต่อในครั้งหน้านะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขออภัยในความไม่สะดวก

กุมภาพันธ์ 26, 2011

สวัสดีครับ ทุกท่าน ไม่ได้พูดคุยกันใน http://www.itgthailand.wordpress.com แห่งนี้กันซะนาน ตั้งแต่ที่เราได้ย้ายไปที่ http://www.itgthailand.com

ก่อนอื่นผมต้องขออภัยในความไม่สะดวก เนื่องจาก 3-4 วันที่ผ่านมา ทาง http://www.itgthailand.com มีปัญหาในเรื่องของ host ทำให้ทุกท่านไม่สามารถติดตามเนื้อหา สาระ ข่าวสารความเคลื่อนไหวจากทางเว็บได้ ผมจึงขอแจ้งให้ทราบผ่านทาง http://www.itgthailand.wordpress.com แห่งนี้แทน ในระหว่างการแก้ไขระบบอยู่ และเพื่อป้องกันเหตุการณ์ที่จะเกิดขึ้นในกรณีเช่นนี้อีก ผมจะพยายาม update ข้อมูลควบคู่ไปกับ http://www.itgthailand.com อย่างสม่ำเสมอ เพื่อทุกท่านจะได้ไม่พลาดสาระประโยชน์ที่ผมจะได้นำเสนออย่างต่อเนื่องต่อไปครับ

 

Leave a Comment » | คุยกับผู้เขียน | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 4

กุมภาพันธ์ 17, 2011

ในการจัดระดับความเสี่ยงจะต้องปฏิบัติทั้งก่อนและหลังการตรวจสอบ โดยวัตถุประสงค์ของการจัดระดับก่อนการตรวจสอบนั้น ก็เพื่อระบุประเด็นที่มีความเสี่ยงตามข้อมูลที่มีอยู่ และเพื่อจัดสรรทรัพยากรและเวลาในการออกตรวจสอบให้สอดคล้องกัน ส่วนการจัดระดับภายหลังการตรวจสอบนั้น เพื่อระบุระดับความเสี่ยงขององค์กรที่บ่งชี้ถึง ระดับความสําคัญที่ผู้กํากับดูแลต้องให้ความเอาใจใส่ ติดตามและดําเนินมาตรการแก้ไข

การจัดระดับความเสี่ยงด้านกลยุทธ์

การจัดระดับความเสี่ยงด้านกลยุทธ์
ระดับความเสี่ยงอยู่ในเกณฑ์ต่ำ การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อน มีผลกระทบต่อองค์กรเพียงเล็กน้อย องค์กรต้องมีการวางแผนกลยุทธ์ที่จะช่วยให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิผล สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนกลยุทธ์ มีความสมเหตุสมผล และแผนสะท้อนให้เห็นถึงจุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรเป็นอย่างดี

การวางแผนกลยุทธ์มีความน่าเชื่อถือ มีส่วนของผู้ถือหุ้นหรือมีเงินกองทุนที่มั่นคง บุคลากร ระบบงาน และการจัดการรองรับเพียงพอสําหรับอนาคต มีระบบการบริหารความเสี่ยงและแผนการดําเนินงานที่มีประสิทธิภาพ เป้าหมายกลยุทธ์มีความชัดเจน และสอดคล้องกับทิศทางการดําเนินธุรกิจและสภาพแวดล้อมที่เปลี่ยนแปลงไป มีการสื่อสารเป้าหมายกลยุทธ์และวัฒนธรรมองค์กรอย่างทั่วถึง และมีการปฏิบัติตามอย่างสม่ำเสมอ

การตัดสินใจทางกลยุทธ์ หรือการเปลี่ยนแปลงของปัจจัยภายนอก จะมีผลกระทบต่อองค์กรเพียงเล็กน้อย

ระดับความเสี่ยงอยู่ในเกณฑ์ปานกลาง การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อนมีผลกระทบต่อองค์กรพอสมควร โดยไม่มีนัยสําคัญ

องค์กรควรมีการวางแผนกลยุทธ์ที่จะช่วยให้มีการบริหารความเสี่ยงอย่างเพียงพอ สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนมีความสมเหตุสมผล และแผนสะท้อนให้เห็นถึงจุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรอย่างเพียงพอ

การวางแผน และกําหนดกลยุทธ์ มีส่วนของผู้ถือหุ้นหรือมีเงินกองทุนที่มั่นคง บุคลากร ระบบงาน และการจัดการรองรับอย่างเพียงพอสําหรับอนาคต ระบบการบริหารความเสี่ยงและแผนการดําเนินงานมีความสอดคล้องกับกลยุทธ์ เป้าหมายกลยุทธ์อาจอยู่ในลักษณะเชิงรุก แต่สอดคล้องกับทิศทางการดําเนินธุรกิจ และตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไป มีการสื่อสารเป้าหมายกลยุทธ์และวัฒนธรรมองค์กรอย่างเหมาะสม และมีการนําไปปฏิบัติอย่างมีประสิทธิผลทั่วทั้งองค์กร

ผลกระทบจากการตัดสินใจทางกลยุทธ์ หรือการเปลี่ยนแปลงของปัจจัยภายนอก ไม่มีนัยสําคัญต่อองค์กร

ระดับความเสี่ยงอยู่ในเกณฑ์สูง การเปลี่ยนแปลงโครงสร้างองค์กร หรือผู้ที่อยู่ในตําแหน่งงานที่สําคัญ หลังจากการตรวจสอบครั้งก่อน มีผลกระทบที่มีนัยสําคัญต่อองค์กรเป็นอย่างมาก

การวางแผนกลยุทธ์ไม่ช่วยสนับสนุนให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิผล สมมติฐานหรือปัจจัยต่าง ๆ ที่ใช้ในการวางแผนกลยุทธ์ไม่สมเหตุสมผล และแผนงานไม่ได้สะท้อนให้เห็นถึง จุดแข็ง จุดอ่อน โอกาส อุปสรรค และตําแหน่งในตลาดขององค์กรอย่างเพียงพอ

หุ้นส่วนหรือผู้ถือหุ้น บุคลากร ระบบงาน การจัดการ ระบบการบริหารความเสี่ยง และแผนการดําเนินงานไม่สามารถรองรับการปฏิบัติตามกลยุทธ์อย่างเพียงพอ เนื่องจากการเติบโตหรือการขยายตัวของธุรกิจที่มากเกินไป การขยายตัวนี้ หากเกิดขึ้นอย่างต่อเนื่องจะส่งผลกระทบต่อรายได้และเครดิตขององค์กร กลยุทธ์อาจไม่สอดคล้องกับทิศทางการดําเนินธุรกิจ หรือไม่สามารถตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไป ไม่มีการสื่อสารเป้าหมายกลยุทธ์ และวัฒนธรรมขององค์กรอย่างชัดเจนทั่วทั้งองค์กร ไม่ได้นํากลยุทธ์ไปปฏิบัติอย่างเพียงพอหรือนําไปปฏิบัติแต่ไม่มีประสิทธิผล

การตัดสินใจทางกลยุทธ์หรือการเปลี่ยนแปลงของปัจจัยภายนอก อาจก่อให้เกิดผลกระทบในทางลบอย่างมากต่อองค์กรอย่างมีนัยสำคัญ

ตัวอย่างการจัดระดับความเสี่ยงด้านกลยุทธ์

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 3

กุมภาพันธ์ 11, 2011

ครั้งที่แล้วผมได้เกริ่นนำถึงมุมมองของการติดตามของผู้บริหารกับความเสี่ยง รวมทั้งวัตถุประสงค์ในการกำกับและติดตามการบริหารความเสี่ยงด้านกลยุทธ์ ซึ่งในสองสามตอนแรกนี้จะเป็นช่วงของการเกริ่นนำทั่ว ๆ ไป โดยรวม ๆ เพื่อก้าวไปสู่การบริหารความเสี่ยง และการตรวจสอบด้านกลยุทธ์

เมื่อกล่าวถึงการบริหารความเสี่ยง และการตรวจสอบขององค์กรนั้น เราต้องไม่ลืมว่าการตรวจสอบโดยผู้ตรวจสอบภายในกับการติดตามการบริหารความเสี่ยงในแง่มุมต่าง ๆ ซึ่งในที่นี้จะเน้นที่เกี่ยวข้องกับกลยุทธ์นั้น ก็เป็นหน้าที่ของผู้บริหารเช่นเดียวกัน ซึ่งเรียกกันโดยทั่วไปว่า การติดตาม (Monitoring) นั่นเอง

การประเมิน ติดตาม และตรวจสอบการบริหารความเสี่ยงมีหลาย ๆ ด้านด้วยกัน แต่ในที่นี้ผมจะขอกล่าวถึงเฉพาะในมุมมองของความเสี่ยงด้านกลยุทธ์ ซึ่งในคำจำกัดความของความเสี่ยงด้านกลยุทธจะหมายถึง ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนดำเนินงานและการนำไปปฏิบัติไม่เหมาะสม หรือไม่สอดคล้องกับปัจจัยภายในและสภาพแวดล้อมภายนอก อันส่งผลกระทบต่อรายได้ หรือมุมมองอื่นของเป้าประสงค์ขององค์กร ไม่ว่าจะมองในมุมมองของ S – O – F – C ตามหลักการของ COSO หรือความเสี่ยง 5 – 7 ด้านของ ธปท. ที่มีผลกระทบต่อความสามารถในการดำรงอยู่ของกิจการ

โดยปกติแนวโน้มของความเสี่ยงถ้าเป็นสถาบันการเงิน หรือแม้กระทั่งองค์กรทั่วไป ก็จะมีผลมาจากปัจจัย 3 ประการ คือ การเปลี่ยนแปลงของปัจจัยภายนอก การเปลี่ยนแปลงปริมาณและความซับซ้อนของธุรกรรม และประสิทธิภาพของระบบบริหารความเสี่ยงที่มีอยู่มากกว่าจะมาจากปัจจัยภายในองค์กร

การมีแนวโน้มที่เพิ่มขึ้นอาจเกิดจากการที่ปัจจัยภายนอกเปลี่ยนแปลงไป เช่น การแข่งขันที่สูงขึ้นทำให้มีความเสี่ยงด้านกลยุทธ์ หรือความเสี่ยงด้านอื่น ๆ เพิ่มขึ้น แม้ว่าจะไม่มีการเปลี่ยนแปลงของปัจจัยภายในองค์กร ในกรณีดังกล่าว องค์กรจะต้องทำงานหนักและรัดกุมมากขึ้น เพื่อที่จะรักษาสถานภาพในการแข่งขันของตน ในขณะเดียวกันความผันผวนของตลาดที่เพิ่มขึ้น ทำให้เกิดความเสี่ยงด้านตลาดและความเสี่ยงด้านสภาพคล่องขององค์กร

แม้ว่าระบบที่มีอยู่ในปัจจุบันอาจเพียงพอที่จะจัดการกับความเสี่ยงในสถานการณ์ปกติ แต่อาจไม่เพียงพอเมื่อตลาดมีความผันผวนมากขึ้น ทำให้มีโอกาสที่จะเกิดความสูญเสียมากขึ้น ผู้ตรวจสอบต้องอาศัยข้อมูลภายนอก เช่น ข่าว รายงาน แนวโน้มอุตสาหกรรม และธุรกรรมขององค์กรเพื่อพิจารณาถึงความเสี่ยงที่อาจมีเพิ่มขึ้น

ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากการเปลี่ยนแปลงกลยุทธ์ หรือแผนงานธุรกิจขององค์กร ซึ่งอาจจะเกิดจากปัจจัยภายในก็ได้ในบางสถานการณ์ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่เปลี่ยนแปลงไป และเทคโนโลยีที่เปลี่ยนแปลงไป ตัวบ่งชี้ถึงความเสี่ยงที่เพิ่มขึ้น ได้แก่ การขยายตัวอย่างรวดเร็วของสินทรัพย์โดยรวม หรือสินทรัพย์ประเภทใดประเภทหนึ่ง โดยเฉพาะการเพิ่มขึ้นของการกระจุกตัวของเครดิตที่ให้กับลูกค้าที่อาจไม่สัมพันธ์กับสภาพคล่องขององค์กรเอง รวมทั้งแหล่งเงินทุน หรือมีการทำธุรกรรมใหม่ ๆ

โดยปกติผู้ตรวจสอบจะอาศัยกระบวนการวิเคราะห์ติดตาม (Monitoring) และระบบเตือนภัยล่วงหน้า (EWS – Early warning system) ในการระบุถึงการเพิ่มขึ้นของความเสี่ยงที่เกิดจากปัจจัยภายใน ซึ่งปกติจะพิจารณาได้จากอัตราส่วนทางการเงินที่มีแนวโน้มผิดปกติ หรือสัญญานเตือนภัยในระบบเตือนภัยล่วงหน้า

นอกจากนี้ ความเสี่ยงที่เพิ่มขึ้นอาจเกิดจากระบบการบริหารความเสี่ยงที่ไม่มีประสิทธิภาพ เช่น การพยายามลดต้นทุน โดยการลดงบประมาณการจัดการความเสี่ยง ในขณะที่การทำธุรกรรมยังคงเหมือนเดิม หรืออาจเกิดจากการที่ฝ่ายบริหาร ไม่ได้มีการกำหนดแผนในการฝึกอบรมหรือบุคคลที่จะมารับช่วงต่อ ในกรณีเกิดเหตุการณ์ที่ทำให้ตำแหน่งผู้บริหารระดับสูงว่างลง หรือการที่ไม่สามารถหาบุคลากรที่มีคุณสมบัติเหมาะสมมาดำรงตำแหน่งงานด้านบริหารความเสี่ยงได้

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์คงที่ เกิดจากการที่ปัจจัยต่าง ๆ ที่เกี่ยวข้องทั้งหมดไม่มีการเปลี่ยนแปลงหรือมีแต่น้อยมาก โดยที่ปัจจัยภายนอกไม่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ เช่น ภาวะการแข่งขันของตลาด โดยเฉพาะอย่างยิ่งไม่มีคู่แข่งใหม่เข้ามาในตลาด โครงสร้างการถือหุ้นไม่เปลี่ยนแปลง และมีผลิตภัณฑ์ใหม่ ๆ หรือการริเริ่มอะไรใหม่ ๆ ในตลาดไม่มากนัก

สำหรับปัจจัยภายใน รายงานการวิเคราะห์ติดตามและระบบเตือนภัยล่วงหน้า ไม่ได้แสดงให้เห็นว่ามีการเปลี่ยนแปลงที่สำคัญใด ๆ ในปริมาณการกระจุกตัว หรือโครงสร้างของสินทรัพย์ งบประมาณไม่เปลี่ยนแปลงมากนัก มีการเปลี่ยนแปลงจำนวนพนักงานและทรัพยากรเพียงเล็กน้อย

แนวโน้มความเสี่ยงที่อยู่ในสถานการณ์ลดลง เกิดจากการลดลงของอิทธิพลจากปัจจัยภายนอก หรือการที่องค์กรมีระบบการปฏิบัติงานที่ไม่ซับซ้อน เช่น มีจำนวนคู่แข่งน้อยลง หรือคู่แข่งมีความสามารถในการแข่งขันหรือทรงอิทธิพลน้อยลง การเคลื่อนไหวทางเศรษฐกิจเป็นไปอย่างช้า ๆ ซึ่งอาจจะทำให้ความเสี่ยงลดลงได้

สำหรับปัจจัยภายใน องค์กรสามารถลดความเสี่ยงได้ โดยการลดการใช้กลยุทธ์การทำธุรกิจไม่ว่าจะเป็นผลิตภัณฑ์หรือการให้บริการที่มีความซับซ้อนลง โดยปกติองค์กรที่เน้นผลิตภัณฑ์และบริการที่ไม่ซับซ้อน จะมีความเสี่ยงต่ำกว่าองค์กรที่เน้นทำธุรกรรมเพื่อค้า นอกจากนี้องค์กรสามารถลดความเสี่ยงลงได้ ด้วยการจัดให้มีระบบการบริหารความเสี่ยงที่มีประสิทธิภาพ

ความรู้ของผู้ตรวจสอบเพียงอย่างเดียวอาจไม่เพียงพอ การตรวจสอบซึ่งเน้นในเรื่องความเสี่ยงจะประสบผลสำเร็จได้ก็ต่อเมื่อ ผู้ตรวจสอบมีความรู้ความเข้าใจในธุรกิจขององค์กรเป็นอย่างดีในลักษณะของภาพโดยรวมของความเสี่ยงทั้งองค์กร ซึ่งจะช่วยให้สามารถชี้ความเสี่ยงที่มีอยู่และวางแผนการตรวจสอบอย่างเหมาะสมได้

สำหรับครั้งหน้าเราจะไปติดตามเรื่องของการจัดระดับความเสี่ยงด้านกลยุทธ์กันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 2

กุมภาพันธ์ 6, 2011

ในตอนที่ 1 ผมได้เล่าถึงมุมมองของการติดตามของผู้บริหารกับความเสี่ยง รวมทั้งการตรวจสอบด้านกลยุทธ์ที่เกี่ยวข้องกับความเสี่ยง ซึ่งเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งและเกี่ยวข้องกับศักยภาพของการแข่งขัน และการเติบโตอย่างยั่งยืนของธุรกิจ และในบางกรณีจะเกี่ยวข้องกับการอยู่รอดของธุรกิจอย่างสำคัญ

วัตถุประสงค์ในการกำกับและติดตามการบริหารความเสี่ยงด้านกลยุทธ์ รวมทั้งบางมุมมองของการตรวจสอบนั้น ก็เพื่อให้องค์กรทั้งระบบมีความมั่นคงเข้มแข็ง โดยในการกำกับและการตรวจสอบภายในขององค์กร ซึ่งอาจจะรวมถึงบางมุมมองจากผู้กำกับของหน่วยงานภายนอก ก็อาจจะใช้แนวทางต่อไปนี้ในการประเมินความเข้มแข็งในการบริหารองค์กร ด้านต่าง ๆ ดังต่อไปนี้
1. ฐานะการเงิน และผลการดำเนินงาน
2. ประเภทและระดับของความเสี่ยง และผลกระทบที่มีต่อผลการดำเนินงาน
3. บทบาทของผู้บริหาร ความรู้ความเข้าใจ การติดตาม และควบคุมความเสี่ยง
4. ความเพียงพอของระบบบริหารความเสี่ยงที่จะรองรับความเสี่ยงที่มีอยู่

Strategic Risk

การติดตามและการกำกับ รวมทั้งมุมมองในการตรวจสอบยุคใหม่ขององค์กรต่าง ๆ ในปัจจุบันนั้น เป็นการติดตามกระบวนการบริหารความเสี่ยง และการตรวจสอบอย่างต่อเนื่อง กล่าวคือ เมื่อมีการติดตามและกำกับโดยฝ่ายบริหาร ซึ่งเป็นเรื่องปกติแล้ว สายงานตรวจสอบก็ยังต้องติดตามตรวจสอบคุณภาพการบริหารความเสี่ยงของฝ่ายบริหาร เพื่อประเมินผลสัมฤทธ์ในมุมมองต่าง ๆ ตามหลักการของ Business Balance Scorecard และในกรณีที่สายงานตรวจสอบพิจารณาว่า การบริหารความเสี่ยงในบางมุมมองขององค์กร โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยงทางด้านกลยุทธ์ ที่จะเชื่อมโยงไปยังทุกมุมมองของผลสัมฤทธ์ที่องค์กรต้องการนั้น ยังมีจุดอ่อนที่อาจปรับปรุงได้ ก็จำเป็นจะต้องเพิ่มความถี่และระยะเวลาในการตรวจสอบ

ตัวอย่างในเรื่องนี้ก็คือ ผู้บริหารและผู้ตรวจสอบไม่เข้าใจสาระความสำคัญของความเสี่ยงด้านกลยุทธ์ ที่มีผลกระทบต่อมูลค่าของกิจการในระยะยาว ไม่มีการวัด ติดตาม และควบคุมความเสี่ยงอย่างเพียงพอ และอย่างทันเวลา เครื่องมือและวิธีวัดความเสี่ยง ไม่เพียงพอและไม่เหมาะสมกับขนาดและความซับซ้อนของธุรกิจ ก็จะมีผลอย่างสำคัญต่อการวางแผนการตรวจสอบ โดยรวบรวมข้อมูลที่เกี่ยวข้องกับการตรวจสอบในภาพโดยรวม (Risk Universe) เพื่อการตรวจสอบการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสมมากยิ่งขึ้น

การติดตามกระบวนการบริหารความเสี่ยง และการปฏิบัติงานตรวจสอบโดยทั่วไปนั้น เป็นที่เข้าใจตรงกันแล้วว่า ผู้บริหารและผู้ตรวจสอบจะคำนึงถึงผลกระทบจากความเสี่ยง และความเหมาะสมของระบบบริหารความเสี่ยง ซึ่งแตกต่างจากการตรวจสอบเพียงฐานะการเงิน หรือผลการดำเนินงาน ณ ปัจจุบันเท่านั้น

ทั้งนี้ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงทีก่อนที่เกิดความเสียหายหรือความเสียหายลุกลามจนยากแก่การควบคุม

Strategic Risk Management

ในการประเมินความเสี่ยงและความเหมาะสมของระบบบริหารความเสี่ยง ผู้บริหารและผู้ตรวจสอบพึงตระหนักว่า กำไรเกิดจากความเสี่ยง กล่าวคือ หากองค์กรไม่ยอมรับความเสี่ยงก็จะไม่สามารถทำกำไรตามกลยุทธ์ที่กำหนดไว้ได้

ดังนั้น การมีความเสี่ยงสูงไม่ได้หมายถึงไม่ดี หรือการมีความเสี่ยงต่ำไม่ได้หมายความว่าดี ดีหรือไม่ดีนั้น ขึ้นอยู่กับว่าองค์กรมีระบบบริหารความเสี่ยงที่สามารถจัดการความเสี่ยงที่มีอยู่ได้หรือไม่ องค์กรไม่ควรทำธุรกรรมที่มีความเสี่ยงมากจนเกินกว่าที่จะจัดการได้ และควรระมัดระวังในการดำเนินธุรกรรมที่ไม่ชำนาญ หรือมีความรู้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องเพียงเล็กน้อย เพราะอาจเกิดผลกระทบต่อความสามารถหรือขาดทุนจำนวนมากในภายหลัง ในขณะเดียวกัน องค์กรควรพัฒนาหรือจัดให้มีระบบบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความ ซับซ้อน และประเภทของธุรกรรมที่เกี่ยวข้อง

ตอนต่อไปผมจะได้เล่าถึงกระบวนการติดตามการบริหารความเสี่ยง และการตรวจสอบในภาพโดยรวม ก่อนที่จะก้าวสู่การกำกับและการบริหาร รวมทั้งการตรวจสอบทางด้านกลยุทธ์ต่อไปตามลำดับนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Portfolio View of Risk กับการบริหารความเสี่ยงเชิงบูรณาการ (8)

มกราคม 31, 2011

ในการพิจารณาความเสี่ยงเชิงบูรณาการยังเป็นเรื่องใหม่อยู่มาก ที่องค์กรต้องพิจารณาภาพรวมของความเสี่ยง (Portfolio View of Risk) ของทั้งองค์กร ซึ่งอาจเกี่ยวพันไปถึงความรับผิดชอบ หน้าที่ กระบวนการปฏิบัติงาน

การกำหนดช่วงเบี่ยงเบนจากระดับความเสี่ยงที่ยอมรับได้ องค์กรควรพิจารณาแบบจำลองที่เหมาะสมสำหรับการกำหนดค่าเบี่ยงเบนความเสี่ยง เพื่อสะท้อนถึงช่วงเบี่ยงเบนที่ยังอยู่ในวิสัยที่องค์กรสามารถจัดการได้ โดยเฉพาะควรมีการวิเคราะห์เพิ่มเติม ในกรณีที่ปัจจัยเสี่ยงมากกว่า 1 ปัจจัยเสี่ยง เกิดขึ้นพร้อมกัน ดังนั้น ระดับความเสี่ยงสูงสุด และช่วงเบี่ยงเบนสูงสุดในภาพรวมขององค์กรยังอยู่ในวิสัยที่สามารถจัดการได้หรือไม่

Fin Corp Target

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »