ข้อสังเกตในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยง (7)

มกราคม 25, 2011

วันนี้เราคงยังพูดคุยกันต่อถึงข้อสังเกตในการประเมินผลการบริหารความเสี่ยง หลังจากที่ผมได้นำเสนอเป็นหัวข้อ ๆ ไป ซึ่งข้อสังเกตในการประเมินผลการบริหารความเสี่ยง ที่องค์กรต้องมีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวมนั้น ควรมีการติดตามประเมินผลงานอย่างต่อเนื่อง โดยมีการถ่ายทอด (Deploy) เป้าหมายของตัวชี้วัดองค์กรลงสู่สายงานต่าง ๆ รวมถึงมีการถ่ายทอด Risk Appetite ระดับองค์กรลงสู่สายงานต่าง ๆ ด้วยเช่นกัน ดังตัวอย่างจากแผนภาพด้านล่างนี้

Cascade

ในครั้งหน้า สำหรับข้อสังเกตในการประเมินผลความเสี่ยง ก็คงจะพูดถึงเรื่องของ Portfolio View of Risk กับการบริหารความเสี่ยงเชิงบูรณาการ โปรดติดตามกันต่อนะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ – ด้านกลยุทธ์ ตอน 1

มกราคม 20, 2011

ผมไม่ได้เขียนคอลัมน์นี้มานาน วันนี้ผมจะมาเล่าเรื่องที่เกี่ยวข้องกับการบริหารความเสี่ยงในอีกมุมมองหนึ่งก็คือ การตรวจสอบความเสี่ยง ซึ่งมีหลายมุมมองที่เกี่ยวข้อง ไม่ว่าจะในมุมมองของ COSO – ERM หรือมุมมองของ ความเสี่ยง 5 – 7 ด้านของ ธปท. ทั้งนี้ไม่รวมหัวข้อที่เกี่ยวข้องกับ IT Audit และ Integrated Audit รวมทั้งมุมมองการตรวจสอบความเสี่ยงด้าน CobiT ซึ่งจะหนักไปทาง IT Audit นะครับ

ท่านผู้อ่านครับ มาถึงช่วงต้นเดือนมกราคม 2554 และนับต่อจากนี้เป็นต้นไป ท่านคงจะได้ยินและได้อ่านเรื่องเกี่ยวกับ GRC – Governance + Risk Management + Compliance มากขึ้น ในวงการบริหารและปฏิบัติงานยุคใหม่ กระบวนการบริหารต่าง ๆ มีความสัมพันธ์กันอย่างแยกกันไม่ได้ โดยเฉพาะอย่างยิ่งทางด้านเทคโนโลยีสารสนเทศ และการบริหารธุรกิจในระดับต่าง ๆ ของทุกองค์กร

วันนี้ผมจึงมาเล่าเรื่องมุมมองการตรวจสอบความเสี่ยงด้านกลยุทธ์ ซึ่งจะแบ่งได้เป็นหลายตอน ที่ผมเริ่มเรื่องนี้ก่อนก็เพราะความเสี่ยงด้านกลยุทธ์ มีความสำคัญอย่างยิ่งยวด และมีผลกระทบต่อกระบวนการบริหารด้านต่าง ๆ ขององค์กรเป็นอย่างยิ่ง

GRC และการจัดการ

การตรวจสอบความเสี่ยง คือการตรวจสอบ เพื่อประเมินฐานะ และผลการดำเนินงานขององค์กร โดยคำนึงถึงผลกระทบจากความเสี่ยงที่เกี่ยวข้องและมีนัยสำคัญ เพื่อที่จะสามารถแก้ไขปัญหาได้ทันท่วงที ก่อนที่จะเกิดความเสียหาย หรือก่อนที่ความเสียหายจะลุกลาม

การตรวจสอบความเสี่ยงไม่ใช่การตรวจสอบ เพื่อประเมินฐานะและผลการดำเนินงานที่เกิดขึ้นแล้วเพียง ณ วันตรวจสอบ และการบริหารความเสี่ยงขององค์กรเท่านั้น แต่ให้ความสำคัญกับการตรวจสอบ และประเมินฐานะและผลการดำเนินงานขององค์กรที่จะเป็นไปในอนาคต เท่าที่จะมีข้อมูลและหลักฐานสนับสนุนการประเมินอย่างเพียงพอ

นอกจากนี้ ยังเป็นการตรวจสอบโดยมุ่งเน้นใช้ทรัพยากร ได้แก่ ผู้ตรวจสอบและเวลาที่ใช้ในการตรวจสอบในเรื่องที่มีความเสี่ยงสำคัญ เพื่อให้การใช้ทรัพยากรที่มีจำกัดเป็นไปอย่างมีคุณค่า และเพื่อลดแรงจูงใจที่องค์กรจะยอมรับความเสี่ยงเกินกว่าระดับที่สามารถจะจัดการได้ (excessive risk / risk appetite)

แนวการตรวจสอบความเสี่ยงนั้น มีวัตถุประสงค์ เพื่อให้ผู้บริหารและผู้ตรวจสอบใช้เป็นข้อสังเกตเบื้องต้น และใช้เป็นแนวทางในการติดตาม (Monitoring) และตรวจสอบ (Audit – Assurance/Consoulting) และประเมินความเสี่ยงด้านกลยุทธ์ และด้านอื่น ๆ ที่เกี่ยวข้อง ตามเป้าประสงค์ของการบริหารความเสี่ยงในแต่ละองค์เป็นสำคัญ และ

เพื่อให้มั่นใจว่าองค์กรมีระบบการบริหารความเสี่ยงที่ใช้ในการระบุ วัด ติดตาม และควบคุมความเสี่ยงต่าง ๆ อย่างเพียงพอ ทั้งกำหนดหน้าที่และความรับผิดชอบ ในการจัดให้มีระบบการบริหารความเสี่ยงที่เหมาะสมกับปริมาณ ความซับซ้อนของระบบงาน โครงสร้างขององค์กร และสภาพแวดล้อมต่าง ๆ ที่เกี่ยวข้อง ทั้งนี้เพราะ ความเสี่ยงด้านกลยุทธ์จะมีผลกระทบอย่างกว้างขวางต่อผลสำเร็จของการบริหารในทุกมุมมองของการจัดการ โดยเฉพาะอย่างยิ่ง ความเสี่ยงทางด้านการดำเนินงาน (Operational Risk) ที่เกี่ยวข้องกับ P + P + T และการบริหารโครงการ / แผนงานต่าง ๆ ขององค์กร

ความสำเร็จในการติดตามและตรวจสอบ ต้องอาศัยความรู้เกี่ยวกับธุรกรรมขององค์กร และลักษณะที่แตกต่างของธุรกิจ สภาพแวดล้อม และวัฒนธรรมขององค์กรที่เกี่ยวข้องกับการดำเนินธุรกิจ แนวทางในการบริหารความเสี่ยง รวมทั้งพัฒนาการของวิธีการ / เครื่องมือบริหาร ความเสี่ยง และทักษะในการประเมินผลกระทบจากความเสี่ยงเหล่านั้นในลักษณะบูรณาการ (integrated) ภายใต้ร่มของ GRC

ผู้บริหารและผู้ตรวจสอบ ควรหมั่นฝึกฝนทักษะในการประเมินความเสี่ยง และการใช้ดุลยพินิจพิจารณาเรื่องต่าง ๆ โดยอาศัยหลักฐานตามกระบวนการจัดการที่ได้รับจากการตรวจสอบ ซึ่งรวบรวมไว้แล้วก่อนการตรวจสอบอย่างเพียงพอ แนวทางการบริหารและการตรวจสอบความเสี่ยงนี้ไม่ได้ครอบคลุมรายละเอียดกระบวนการ ขั้นตอนและวิธีการหาข้อมูลหลักฐานและการตรวจสอบข้อเท็จจริง (verify) ของข้อมูลหลักฐานเหล่านั้น เพื่อนำมาใช้ในการประเมินความเสี่ยง ดังนั้น ผู้บริหารและผู้ตรวจสอบใหม่จำเป็นต้องศึกษาจากแนวทางการจัดการ รวมทั้งแนวทางการตรวจสอบอื่น ๆ ที่เกี่ยวข้อง

สำหรับวันนี้ผมขออุ่นเครื่องในเรื่องความเสี่ยงกับมุมมองของการติดตามของผู้บริหาร และการตรวจสอบ ตอนที่ 1 เพียงเท่านี้ก่อน ซึ่งในตอนที่ 2 และในตอนต่อ ๆ ไป ผมจะได้อธิบายถึงเรื่องหลักการติดตามของผู้บริหาร (Monitoring) กับแนวทางการตรวจสอบความเสี่ยงของผู้ตรวจสอบภายในก่อนที่จะเน้นถึงเรื่องความเสี่ยงด้านกลยุทธ์ครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance และ IT Strategy ระดับองค์กรและระดับประเทศ บางมุมมองที่ต้องบูรณาการในแต่ละกระบวนการเข้าด้วยกันแบบ GRC

มกราคม 15, 2011

ร่ม

การกำหนดวิสัยทัศน์ระดับองค์กร และระดับประเทศ เป็นเรื่องที่มีความจำเป็นอย่างยิ่งยวด เพื่อกำหนดทิศทางและเป้าประสงค์ในอนาคตที่ชัดเจน เพื่อการเติบโตอย่างยั่งยืน โดยคำนึงถึงการบริหารทรัพยากรในแง่มุมต่าง ๆ เพื่อการขับเคลื่อนเป้าประสงค์ขององค์กรและของชาติ ไปสู่อนาคตที่ต้องการที่เป็นไปได้นั้น จำเป็นอย่างยิ่งที่ต้องสัมพันธ์กับการกำหนดพันธกิจ กลยุทธ์ ในแต่ละมุมมองที่ผสมผสานกันอย่างแยกกันไม่ได้ ในลักษณะของ Integrated Management และแนวความคิดของ Interdependency Approaches เพื่อก้าวสู่ Integrity – Driven Performance ตามหลักของ GRC ซึ่งเป็นธงใหม่ที่เป็นกรอบครอบแนวทางการกำกับดูแลกิจการที่ดี ตามหลักของ CG หรือหลักการของธรรมาภิบาล ที่ควบคู่กับ ITG – IT Governance หรือธรรมาภิบาลด้านสารสนเทศ อย่างแยกกันไม่ได้นั้น ต้องการความเป็นรูปธรรมในการจัดการ ทั้งในระดับองค์กรและในระดับประเทศ ที่ควรจะกำหนดกรอบในการพัฒนาการบริหารข้อมูลและสารสนเทศที่บูรณาการ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน และการบริหารจัดการทรัพยากรได้อย่างคุ้มค่ายิ่งในอนาคตที่ทุกองค์กร และหน่วยงานระดับประเทศต้องใช้เทคโนโลยีสารสนเทศ เข้าช่วยในการดำเนินการทั้งสิ้น

หากกำหนดนโยบายที่ชัดเจน ทางด้านการบริหารความมั่นคงข้อมูลสารสนเทศที่ดี รวมทั้งแนวทางการปฏิบัติที่ชัดเจน ไม่กำกวม ในภาพรวมระดับชาติที่อาจใช้เป็นกรอบในการกำกับ หรือขับเคลื่อนการบริหารการจัดการด้านสารสนเทศที่ดี ที่สามารถแลกเปลี่ยนข้อมูล หรือหลอมรวมข้อมูลกันภายในกระทรวง ทบวง กรม ที่เป็นหน่วยงานของรััฐต่าง ๆ โดยมีกลยุทธ์ที่ผสมผสานเป็นหนึ่งเดียวในการบริหารจัดการสารสนเทศ ซึ่งจะช่วยลดการใช้ทรัพยากรของชาติได้อย่างมหาศาลในอนาคต และสร้างความเชื่อมั่นให้กับผู้มีผลประโยชน์ร่วมในทุกภาคส่วน ทั้งในและระหว่างประเทศนั้น

หากประเทศเรามีนโยบายการบริหารจัดการสารสนเทศตามแนวทางและหลักการของ IT Governance โดยใช้กรอบและกระบวนการของ CobiT และ ITIL รวมทั้งมาตรฐานอื่น ๆ ที่เกี่ยวข้องกับการบริหารจัดการสารสนเทศ การบริหารความเสี่ยง และการจัดการด้านคุณภาพ รวมทั้งการจัดองค์กรและความสัมพันธ์ของหน่วยงานเทคโนโลยีสารสนเทศ ซึ่งจะเกี่ยวข้องกับการกำหนดทิศทางของเทคโนโลยีสารสนเทศ ทั้งในระดับองค์กรและในระดับประเทศนั้น +++

แนวทางและขอบเขตการบริหาร IT Governance ที่เกี่ยวกับ CobiT ในเรื่องหลัก ๆ 4 เรื่อง หรือ 4 องค์ประกอบที่เกี่ยวข้องกับการขับเคลื่อนคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศนั้น จะประกอบด้วยเรื่องใหญ่ ๆ 4 เรื่องด้วยกันดังนี้

1. การวางแผนและการจัดการองค์กร
2. การจัดการและการนำระบบออกใช้งานจริง
3. การส่งมอบและบำรุงรักษา
4. การติดตามและการสอบทาน

Control Objective CobiT 4.1

ในตอนแรกนี้ ผมจะขอนำเสนอกระบวนการบริหาร และการสร้างคุณค่าเพิ่มในเรื่องการวางแผนและการจัดการองค์กรก่อนที่จะก้าวไปสู่เรื่องอื่น ๆ ในตอนต่อไป ทั้งนี้ ผมมีข้อสังเกตในเบื้องต้นว่า กระบวนการบริหารในแต่ละเรื่องหลัก ๆ เช่น ในเรื่องการวางแผนและการจัดการองค์กรตามกระบวนการจาก PO1 – PO10 ตามที่นำเสนอข้างต้นนั้น จะมีการจัดลำดับความสำคัญของแต่ละเรื่อง และในแต่ละกระบวนการ ซึ่งจะมีความสัมพันธ์กันอย่างแยกกันไม่ได้ ตั้งแต่ PO1 – PO10 นี่คือหลักการของ Interdependency และหลักการของ GRC ที่ ITG อยู่ภายใต้กรอบนี้

นอกจากนั้น แต่ละองค์ประกอบหลัก ทั้ง 4 รวมทั้งกระบวนการประกอบเรื่องหลัก ๆ ทั้ง 4 นั้น ก็จะมีความเกี่ยวพันและสัมพันธ์กัน ซึ่งจะเชื่อมโยงไปสู่การบริหารการจัดการสารสนเทศที่ดีและน่าเชื่อถือได้ เพื่อสร้างคุณค่าเพิ่มจากการใช้ทรัพยากรด้านเทคโลโยีที่มีคุณค่าในระยะยาว เพื่อการเติบโตอย่างยั่งยืน ตามหลักการของ CG และ ITG ภายใต้ร่มของ GRC

Leave a Comment » | คุยกับผู้เขียน, CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การให้ความสำคัญกับการกำหนด/ทบทวนเป้าหมายในเชิงผลผลิตและผลลัพธ์ (6)

มกราคม 10, 2011

ข้อสังเกตในการประเมินผลการบริหารความเสี่ยงองค์กรในด้านการกำหนด หรือทบทวนเป้าหมายเชิงผลผลิตและผลลัพธ์ ซึ่งองค์กรควรให้ความสำคัญกับการกำหนดหรือทบทวน เป้าหมายในเชิงผลผลิต และผลลัพธ์ที่ชัดเจน ในแผนบริหารเทคโนโลยีสารสนเทศให้เหมาะสมกับทิศทางขององค์กร และควรมีการติดตามผลตามเป้าหมายที่กำหนดไว้อย่างต่อเนื่อง ซึ่งการวิเคราะห์ผลลัพธ์ของโครงการ เช่น ความพึงพอใจของประชาชนที่เพิ่มขึ้นจากการดำเนินโครงการต่าง ๆ และควรมีการกำหนดเป้าหมายที่ชัดเจนในแต่ละปีด้วย ดังแผนภาพด้านล่างนี้

การประเมินผลสัมฤทธิ์โครงการ

ครั้งหน้าไปติดตามข้อสังเกตข้อสังเกตในการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงกันครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Auditors and Management ตอน 2

มกราคม 5, 2011

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของ Integrated Auditors and Management ซึ่งยังพูดคุยกันค้างไว้อยู่ และในวันนี้เราจะมาคุยกันต่อ ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การบริหารความเสี่ยงในมุมมองของการพิจารณาผลตอบแทน/ความดีความชอบ (5)

ธันวาคม 30, 2010

ข้อสังเกตในการประเมินผลการบริหารความเสี่ยงในมุมมองของการพิจารณาผลตอบแทน หรือความดีความชอบ ซึ่งองค์กรจะต้องเน้นความสำคัญของกระบวนการบริหารความเสี่ยง โดยถือเป็นส่วนสำคัญของการพิจารณผลตอบแทนหรือความดีความชอบ โดยในแต่ละสายงานที่เกี่ยวข้องกับความเสี่ยงระดับองค์กร จะมีการถ่ายทอดตัวชี้วัดด้าน การบริหารความเสี่ยงลงสู่ระดับสายงาน

Photobucket

การเชื่อมโยงผลตอบแทนกับระดับความเสี่ยงที่สามารถลดลงได้ ในแต่ละปัจจัยเสี่ยงของแต่ละสายงานั้น ควรมีการกำหนดให้ชัดเจน และมีการประเมินผลด้านการบริหารความเสี่ยงที่ถือเป็นส่วนหนึ่งของตัวชี้วัดของสายงานนั้น ๆ โดยเฉพาะผลงานด้านการบริหารความเสี่ยงกับแรงจูงใจพิเศษ

Photobucket

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Integrated Auditors and Management ตอน 1

ธันวาคม 25, 2010

วันนี้ผมขอเล่าสู่กันฟังในเรื่องเกี่ยวกับ Integrated Audit และ CAE ว่าในอดีตที่ผ่านมาและจนกระทั่งถึงทุกวันนี้ อาจกล่าวได้ว่า องค์กรส่วนมากยังเข้าใจความหมายของ Integrated Audit และประโยชน์ของการตรวจสอบในลักษณะนี้ที่แตกต่างกันมาก จากการที่องค์กรไม่ได้มีการปฏิบัติที่เป็นรูปธรรมของการผสมผสานการตรวจสอบและใช้ประโยชน์จากแนวคิดที่เป็นลักษณะ Interdependent Approach ของกระบวนการตรวจสอบระหว่าง IT Audit และ Non – IT Audit เข้ามาใช้เป็นพลังร่วม (Synergy) ในการขับเคลื่อนกระบวนการตรวจสอบไปสู่การจัดทำรายงานการตรวจสอบที่มีคุณภาพสูงสุด จากการหลอมรวมกระบวนความคิด ซึ่งนำไปสู่ความเข้าใจในการวางแผนการตรวจสอบ ที่คำนึงถึง Audit Universe หรือเรื่องที่ควรได้รับการทดสอบในภาพโดยรวมที่เกี่ยวข้อง ซึ่งจะเชื่อมโยงหรือมีผลกระทบต่อกระบวนการจัดทำรายงาน ทั้งทางด้าน IT และ Non – IT ที่จะสัมพันธ์กับการควบคุมความเสี่ยงจาก Risk Universe ในแง่มุมต่าง ๆ ในมุมมองของ Business Balanced Scorecard และ Information Balanced Scorecard หรือแม้กระทั่งเป้าประสงค์หลักของการควบคุมความเสี่ยง ตามหลักการของ COSO – ERM ซึ่งก็ได้แก่ Strategic Risk – S, Operation Risk – O, Reporting Risk – R or F, Compliance Risk – C ที่ส่วนใหญ่จะเคยชินกับคำที่เรียกกันสั้น ๆ ว่า S – O – F – C

แนวทางการบริหารและการจัดการความเสี่ยงทั่วทั้งองค์กร ตามแนวทางของ COSO – ERM ที่นิยมใช้กันทั่วโลกและในประเทศไทยนั้น แทบจะไม่ได้กล่าวถึงผลกระทบ หรือ Impact จาก Risk IT และ IT Risk ที่มีผลต่อกระบวนการบริหารและการจัดการ รวมทั้งการจัดทำรายงานที่เป็นรูปธรรม

ดังนั้น ในทางปฏิบัติ ผู้กำกับ ในฐานะ Regulators และผู้ปฏิบัติ ในฐานะ Operators ส่วนใหญ่ได้มองข้ามความสำคัญของกระบวนการระบุปัจจัยเสี่ยงจาก IT Risk ที่มีผลกระทบต่อกระบวนการควบคุม กระบวนการบริหารและกระบวนการตัดสินใจ ซึ่งนำไปสู่ความเสี่ยงในการจัดการที่มีผลกระทบต่อประสิทธิภาพและประสิทธิผลในการดำเนินงาน การทุจริต รวมทั้งการลดโอกาสที่จะสร้างความเชื่อมั่น ความเชื่อถือ การสร้างคุณค่าเพิ่ม การสร้างความมั่นใจให้กับผู้มีผลประโยชน์ร่วม ทั้งภายในองค์กรและภายนอกองค์กรอย่างมีนัยสำคัญยิ่ง ที่นำไปสู่การบริหารและการจัดการ รวมทั้งการตรวจสอบในลักษณะ Integrated Thinking และ Integrated Audit ในทางปฏิบัติ

จากจุดอ่อนดังกล่าว ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

เรื่องของ Integrated Auditors and Management ที่ผมเล่าในวันนี้ ยังไม่จบเพียงเท่านี้ ครั้งหน้าไปติดตามกันต่อนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การบริหารความเสี่ยงในมุมมองของการพิจารณาโครงการลงทุน (4)

ธันวาคม 19, 2010

ข้อสังเกตในการประเมินผลการบริหารความเสี่ยง ในด้านของการพิจารณาโครงการลงทุนนั้น ควรมีกระบวนการวิเคราะห์ความเสี่ยง มีการประเมินความเสี่ยง การจัดการความเสี่ยง และระดับความเสี่ยงที่ยอมรับได้ รวมทั้งผลกระทบของโครงการลงทุนที่มีผลต่อเป้าหมายขององค์กร

กระบวนการบริหารความเสี่ยง ควรเป็นหนึ่งในเกณฑ์ที่ผู้บริหารองค์กร ใช้ในการตัดสินใจถึงความเป็นไปได้ในการดำเนินโครงการที่สำคัญ ๆ นอกเหนือจากเกณฑ์อื่นในการพิจารณาความเป็นไปได้ของโครงการ เช่น NPV, IRR, PB Period, ROI, Intangible Cost ฯลฯ ดังรูป

การบริหารความเสี่ยงในมุมมองของการพิจารณาการลงทุน

องค์กรควรแสดงให้เห็นถึง การมีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุน และการจัดการด้าน IT กับความเสี่ยงที่จะเกิดขึ้น โดยมีการศึกษาผลตอบแทนด้านการลงทุนด้าน IT ในมุมของผลประโยชน์ ทั้งที่เป็นตัวเงินและมิใช่ตัวเงิน รวมถึงการพิจารณาในเชิงของการระบุความเสี่ยง การประเมินความรุนแรงและการบริหารความเสี่ยง

COSO model for technology controls

ครั้งหน้าไปติดตามการบริหารความเสี่ยงในมุมมองของการพิจารณาผลตอบแทน หรือความดีความชอบกันครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเข้าใจในเรื่อง Risk Map เพื่อยกระดับการบริหารความเสี่ยงขององค์กร (3)

ธันวาคม 12, 2010

ความเข้าใจในเรื่องของ Risk Map เพื่อหาความสัมพันธ์ของ Root Cause จากปัจจัยหนึ่งที่มีผลกระทบต่อปัจจัยอื่น ๆ ทั้งในระดับองค์กร เช่น Stratigic Risk – S, Operational Risk – O, Financial Risk/Reporting Risk – F, Compliance Risk – C ตามแนวทางของ COSO – ERM รวมถึง Root Cause จากความเสี่ยงที่มีผลกระทบในระดับขั้นตอน + กระบวนการ + กิจกรรม ของจุดอ่อนในแต่ละกรอบข้างต้น ที่เกี่ยวข้องและมีผลกระทบกับกรอบการควบคุมด้านอื่น ๆ ในทุกมุมมอง ทั้งด้าน IT และ Non – IT นั้น จะมีประโยชน์ต่อการบริหารความเสี่ยงเป็นอย่างมาก ถ้าผู้ที่เกี่ยวข้องสามารถเข้าใจและควบคุมความเสี่ยงจากต้นเหตุที่แท้จริง ก็จะสามารถควบคุมความเสี่ยงที่มีผลต่อเนื่องจากความเสี่ยงที่มาจากต้นเหตุนั้นได้เป็นอย่างมาก และบางกรณีอาจได้ทั้งหมด +++

ลองพิจารณาและทำความเข้าใจในเกณฑ์การประเมิน Risk Map ของทาง Tris จะมีแนวทางบางประการดังนี้

1. การกำหนดสาเหตุของปัจจัยเสี่ยง และกำหนดระดับความรุนแรงของสาเหตุนั้น

2. การวิเคราะห์ความสัมพันธ์ระหว่างปัจจัยเสี่ยงในระดับองค์กร และความสัมพันธ์ของสาเหตุ (ต้นเหตุื –> ปลายเหตุ)

3. การวิเคราะห์ผลกระทบทั้งเชิงการเงิน และมิใช่เชิงการเงิน (กระทบมาก/น้อย) ระหว่าง
3.1. ปัจจัยเสี่ยงและปัจจัยเสี่ยง
3.2. สาเหตุกับสาเหตุ
3.3. ปัจจัยเสี่ยงและสาเหตุ

4. การนำ Risk Map ไปใช้ในการกำหนดแผนการบริหารความเสี่ยง ทุกกิจกรรมในแผนบริหารความเสี่ยง จะต้องมีความสอดคล้องกับสาเหตุและจัดลำดับตามระดับความรุนแรงของสาเหตุ รวมถึงความสัมพันธ์อื่นที่มากระทบต่อสาเหตุนั้น

5. การสร้างความเข้าใจในเรื่อง Risk Map ให้กับบุคลากรในองค์กร และวาระการประชุมร่วมกันระหว่างผู้บริหาร ฝ่ายบริหารความเสี่ยง และ Risk Owner ทุกปัจจัยเสี่ยง

เมื่อเทียบกับเกณฑ์ประเมินที่หน่วยงานภาครัฐยังต้องปรับปรุง เพราะพิจารณาได้ว่าหน่วยงานนั้นยังไม่ผ่านเกณฑ์การบริหาร Risk Map เนื่องจากพิจารณาความเสี่ยงเพียงระดับเดียว โดยยังไม่พิจารณาความเสี่ยงที่มีความสัมพันธ์กันอย่างครบถ้วน ซึ่งพิจารณาได้ดังนี้

Layer - Special Viewpoints in IAF

1. หน่วยงาน/องค์กร ทำการกำหนดสาเหตุเพียง Layer เดียว ทั้ง ๆ ที่่บางสาเหตุสามารถแตกออกเป็น Layer ที่สองได้ และ/หรือไม่ได้กำหนดระดับความรุนแรงของสาเหตุ

Risk Map and Layer of Controls

2. หน่วยงาน/องค์กรนั้น สามารถอธิบายความสัมพันธ์ได้ แต่ไม่สามารถแสดงความสัมพันธ์ได้ครบถ้วน

3. หน่วยงาน/องค์กร ส่วนใหญ่จะวิเคราะห์ผลกระทบระหว่างปัจัยเสี่ยงและปัจจัยเสี่ยงได้ แต่มีบางหน่วยงานที่วิเคราะห์ผลกระทบระหว่างสาเหตุกับสาเหตุไม่ได้ รวมถึงไม่สามารถอธิบายได้ถึงผลกระทบที่ไม่ใช่เชิงการเงินได้อย่างชัดเจน

Mapping and Layer - Strategic Alignment between

4. หน่วยงาน/องค์กร มีการจัดทำแผนการบริหารความเสี่ยง เกิดก่อนการทำ Risk Map หรือกิจกรรมในแผนบริหารความเสี่ยง ไม่สอดคล้องกับการบริหารที่สาเหตุที่เกิดปัจจัยเสี่ยง

5. หน่วยงาน/องค์กรส่วนใหญ่ขาดความเข้าใจและไม่มีส่วนร่วมในการจัดทำ Risk Map ขององค์กร

เกณฑ์การประเมิน Risk Map

นอกจากการอธิบาย Risk Map ตามแผนภาพข้างต้น ซึ่งเป็นการเชื่อมโยงความเสี่ยงตามแนวทางของ COSO – ERM ที่ไม่ได้กล่าวถึงความเสี่ยงทางด้าน IT Risk ที่มีผลกระทบต่อ Business Process และ Business Objectives จึงขออธิบาย Risk Map ในรูปแบบของการ Mapping ระหว่าง CobiT และ COSO เพียงบางโดเมน รวมทั้งการนำเสนอ Risk Map ที่เกี่ยวข้องกับ Operational Risk ซึ่งอธิบายด้วยแผนภาพได้ดังนี้

Operation Risk and Mapping

CobiT and COSO Mapping

ผมได้เพิ่มเติมภาพต่าง ๆ เพื่อใช้อธิบายประกอบความเข้าใจในเรื่อง Risk Map ในระดับต่าง ๆ และเสริมสร้างความเข้าใจในเรื่อง Layer of Risk and Controls เพื่อ Monitoring และ Auditing ที่มีความสัมพันธ์กันอย่างแยกไม่ได้

ขอให้ท่านผู้อ่านได้โปรดพิจารณาแผนภาพและใช้ดุลยพินิจไปพร้อม ๆ กับการดูแผนภาพข้างต้น ซึ่งอธิบายได้ดีกว่าการใช้ถ้อยคำในแต่ละภาพได้อย่างมากมาย ข้อสำคัญก็คือ ท่านควรได้เข้าใจถึงคำจำกัดความ และความหมายต่าง ๆ ที่เกี่ยวข้อง เช่น Risk Map และ Layer of Risk and Controls เป็นต้น ท่านที่เห็นภาพและเข้าใจคำจำกัดความจะสามารถทำความเข้าใจที่จะนำไปสู่การปฏิบัติ เพื่อยกระดับการบริหารความเสี่ยงในมุมมองต่าง ๆ เพื่อการจัดการที่ดีต่อไปอย่างได้ผลครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

พรฎ. เรื่องหลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553

ธันวาคม 5, 2010

วันนี้ ผมมีเรื่องใหม่ล่าสุดมาเล่าสู่กันฟังถึง 2 เรื่องเลยทีเดียวครับ เรื่องแรก เป็นประกาศของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ที่กล่าวถึง หลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 ซึ่งได้ประกาศในราชกิจจานุเบกษา เล่ม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หน้า ๔๗ เมื่อวันที่ ๒๖ ตุลาคม ๒๕๕๓

ในช่วงเวลา 3-4 เดือนที่ผ่านมานี้ มีพระราชกฤษฎีกาที่เกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์ออกมาก่อนหน้านี้อย่างน้อย 2 เรื่องตามที่ผมได้นำเสนอไปก่อนหน้านี้แล้วครับ และครั้งนี้ขอนำเสนออีก 2 เรื่องใหม่ ที่คณะกรรมการและผู้บริหารของหน่วยงานที่เกี่ยวข้องจะต้องติดตาม และปฏิบัติให้เป็นไปตามกฎหมายและกฎเกณฑ์ ซึ่งมีใจความโดยสรุปดังนี้

การจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ ให้เป็นไปตามหลักเกณฑ์และวิธีการ ตามประกาศของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ข้อ ๓ นั้นก็คือ

1) ข้อมูลอิเล็กทรอนิกส์ที่จัดทำหรือแปลง ต้องมีความหมายหรือรูปแบบเหมือนกับเอกสาร
และขอความเดิม ซึ่งนำมาจัดทำหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ โดยผู้จัดทำหรือแปลงจะต้องตรวจสอบและรับรองว่าข้อมูลอิเล็กทรอนิกส์นั้น มีความหมายหรือรูปแบบเหมือนกับเอกสารและข้อความเดิม

2) ข้อมูลอิเล็กทรอนิกส์ต้องจัดทำหรือแปลงขึ้นด้วยวิธีการที่เชื่อถือได้ในการระบุตัวตน
ผู้จัดทำหรือแปลงที่รับผิดชอบในการจัดทำหรือแปลงนั้น

3) ข้อมููลอิเล็กทรอนิกส์ต้องจัดทำหรือแปลง โดยมีเทคโนโลยีและมาตรการป้องกัน มิให้มีการเปลี่ยนแปลงหรือแก้ไขเกิดขึ้นกับข้อมูลนั้น เว้นแต่การรับรองหรือบันทึกเพิ่มเติม ซึ่งไม่มีผลต่อความหมายของข้อมูลอิเล็กทรอนิกส์

ส่วนรายละเอียดของวิธีการในการจัดทำ หรือแปลงเอกสาร และข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกสให้เป็นไปตามที่กำหนดไว้ในหัวข้อ ๔ ถึงหัวข้อ ๙ โดยสรุปดังนี้

๔. การจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์
ให้มีกระบวนการในการจัดทำหรือแปลงเอกสารและข้อความอย่างน้อย คือ

1) กระบวนการจัดทำหรือแปลงเอกสารและข้อความให้เป็นข้อมูลอิเล็กทรอนิกส์ด้วยวิธีการ
ทางอิเล็กทรอนิกส์

2) กระบวนการตรวจสอบและรับรองว่าข้อมูลอิเล็กทรอนิกส์ที่จัดทำหรือแปลงนั้น
มีความหมายเหมือนกับเอกสารและข้อความเดิม

3) กระบวนการบันทึกหลักฐานการดำเนินงานการจัดทำหรือแปลงเอกสารและข้อความ
ให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์

4) กระบวนการบันทึกเมตาดาตาในรูปแบบอิเล็กทรอนิกส์ที่เป็นข้อความบรรยายสาระสำคัญ
ของเอกสารและข้อความ ซึ่งต้องครอบคลุมให้สามารถสืบค้นเอกสารและข้อความนั้นได้ถูกต้อง

๕. การจัดทำหรือแปลงเอกสารและข้อความด้วยวิธีการทางอิเล็กทรอนิกส์ ให้มี
ผู้รับผิดชอบดำเนินงานในการจัดทำหรือแปลงในเรื่องของวิธีการดังนี้

1) จัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์

2) ตรวจสอบและรับรองความถูกต้องและครบถ้วนของข่้อมูลอิเล็กทรอนิกส์ที่ได้จากการ
จัดทำหรือแปลงเอกสารและข้อความให้อยูในรูปของข้อมูลอิเล็กทรอนิกส์ ว่าข้อมูลอิเล็กทรอนิกส์มีความหมายหรือรูปแบบเหมือนกับเอกสารและข้อความเดิม

3) ตรวจสอบกระบวนการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ให้เป็นไปตามที่กาหนดไว้

4) ตรวจสอบและรับรองความถูกต้องและครบถ้วนของเมตาดาตา ตามข้อ ๔ (4)

๖. การจัดทำหรือแปลงเอกสารและข้อความด้วยวิธีการทางอิเล็กทรอนิกส์ ให้มีการ
กำหนดมาตรการเกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูลอิเล็กทรอนิกส์ ซึ่งเป็นวิธีการที่เชื่อถือได้ อย่างน้อยต้องครอบคลุมหัวข้อต่อไปนี้

1) การระบุตัวตน (Identification)

2) การยืนยันตัวตน (Authentication)

3) อนุญาตเฉพาะผู้มีสิทธิเข้าถึง (Authorization)

4) ความรับผิดชอบต่อผลของการกระทำ (Accountability)

๗. การจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์นั้น ให้ข้อมูลอิเล็กทรอนิกส์มีความละเอียดและความชัดเจนของเอกสารและข้อความเดิม

๘. ให้ผู้จัดทำหรือแปลงมีหน้าที่รักษาและดำรงสภาพของระบบการจัดทำหรือแปลง
เอกสารไว้ให้สมบูรณ์ เพื่อให้มีการกำกับดูแลหรือการตรวจสอบได้ตลอดเวลาจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ หรือหน่วยงานอื่นที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์มอบหมาย

๙. การดำเนินการตามข้อ ๔ ถึง ข้อ ๘ ให้ผู้จัดทำหรือแปลง จัดทำวิธีปฏิบัติที่สอดคล้องกับลักษณะงานองค์กร และประเภทของการทำธุรกรรมอย่างเหมาะสม โดยให้ใช้ข้อกำหนดวิธีปฏิบัติทั่วไป หรือตามข้อกำหนดวิธีปฏิบัติเฉพาะธุรกรรมบางประเภท ในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ ตามข้อกำหนดแนบท้ายประกาศนี้เป็นมาตรฐานขั้นต่ำในการดำเนินงานแล้วแต่กรณี หรือหน่วยงานที่กำหนดไว้เป็นอย่างอื่นในประกาศฉบับนี้

สำหรับหลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 รวมถึงรายละเอียดอื่น ๆ และข้อกำหนดแนบท้ายนั้น สามารถติดตามได้ที่ http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/E/124/47.PDF ครับ

นอกจาก หลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 แล้ว ยังมีประกาศ เรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ.2553 ได้รับการประกาศลงราชกิจจานุเบกษา เมื่อวันจันทร์ที่ 1 พฤศจิกายน 2553 โดยมีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
download ได้ที่
http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/E/126/31.PDF

Leave a Comment » | คุยกับผู้เขียน | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »