ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

พ.ค. 24, 2010

วันนี้เราจะมาพูดคุยกันต่อในเรื่องของขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อ ๆ ซึ่งครั้งที่แล้วผมได้กล่าวถึงหลักการสอบทานของการควบคุมภายในที่มีความสำคัญและจำเป็นต่อกระบวนการตรวจสอบ IT ที่ผู้ตรวจสอบ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุม และที่ผมจะพูดถึงในวันนี้จะเป็นเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ซึ่งจะแบ่งออกได้เป็น 2 ลักษณะ คือ การควบคุมภายในทั่วไป (General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งมีความสัมพันธ์กับองค์ประกอบที่สำคัญในการประมวลผลข้อมูล คือการดำเนินงานของศูนย์คอมพิวเตอร์ การพัฒนาระบบงาน และระบบงานและโปรแกรมที่ใช้เฉพาะงาน ดังรูป

1. การควบคุมภายในทั่วไป (General Controls)
การควบคุมภายในทั่วไป เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของหน่วยงานคอมพิวเตอร์

1.1. การควบคุมการดำเนินงานของศูนย์คอมพิวเตอร์
การควบคุมศูนย์คอมพิวเตอร์ เป็นการควบคุมเกี่ยวกับเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์และพนักงานด้านปฏิบัติการของศูนย์คอมพิวเตอร์ มีขอบเขตดังนี้

1) การจัดตารางปฏิบัติงาน การควบคุมข้อมูลนำเข้า และการควบคุมข้อมูลที่ได้จากการประมวลผล ได้แก่ การจัดตารางกำหนดเวลาปฏิบัติงาน การควบคุมการปฏิบัติงานข้อมูลที่นำเข้าประมวลผลและการควบคุมการใช้ข้อมูล เพื่อให้การจัดทำข้อมูลขั้นตอนต่อเนื่องแล้วเสร็จทันเวลา มีความถูกต้องครบถ้วนทุกรายการ และป้องกันข้อมูลที่เป็นความลับรั่วไหลไปสู่ภายนอก

2) การควบคุมการจัดเก็บแฟ้มข้อมูลและโปรแกรม เช่น เทป และจานแม่เหล็ก เป็นต้น ให้ปลอดภัยและเพียงพอในการประมวลผล

3) การรายงานเหตุขัดข้องและการซ่อมบำรุงเพื่อป้องกันความเสียหาย จะช่วยให้ทราบถึงสภาพของเครื่องจักรและโปรแกรมจัดระบบการทำงานของเครื่องคอมพิวเตอร์ และการดำเนินการให้เครื่องจักรและโปรแกรมดังกล่าวอยู่ในสภาพสมบูรณ์ สามารถตรวจสอบข้อผิดพลาดหรือบกพร่องในระบบด้วยตนเอง ซึ่งอาจตรวจไม่พบ หากมีส่วนประกอบชำรุดเสียหายซุกซ่อนอยู่ ไม่ปรากฏอาการที่เห็นได้ชัดเจน

4) การควบคุมสภาพแวดล้อมและการรักษาความปลอดภัยทรัพย์สินของศูนย์คอมพิวเตอร์ ได้แก่ การควบคุมการใช้ทรัพย์สิน การป้องกันทรัพย์สินเสียหายและการจัดเตรียมระบบสำรอง ไว้ให้ทดแทน

5) การแบ่งแยกหน้าที่ ได้แก่ การแบ่งแยกหน้าที่ในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลเพื่อให้การปฏิบัติงานไม่ซ้ำซ้อนกัน และป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลเนื่องจากมีการปฏิบัติไม่ชอบ

6) การกำกับ ได้แก่ การควบคุมดูแลให้มีการปฏิบัติตามระเบียบหรือหน้าที่อย่างเคร่งครัด หากมีการปฏิบัติที่ผิดแตกต่างจากระเบียบแผนที่เคยถือปฏิบัติ จะต้องมีเอกสารหลักฐานรายงานให้ทราบทุกครั้ง

7) การวางแผนทรัพยากร เป็นการวางแผนและประเมินสถานะของทรัพยากรในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลทั้งปัจจุบันและอนาคต เพื่อให้มีทรัพยากรเพียงพอต่อการดำเนินงาน ทรัพยากรเหล่านี้ได้แก่ เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ โปรแกรมและบุคลากร

8) การคำนวณค่าบริการคอมพิวเตอร์จากผู้ใช้ข้อมูล เป็นการคำนวณเพื่อประโยชน์ในการควบคุมทางการบริหาร นอกจากนี้ กรณีกิจการไม่มีคอมพิวเตอร์เป็นของตนเอง ควรคำนึงถึงการจัดทำสัญญาใช้บริการและระเบียบปฏิบัติที่ใช้ควบคุมการชำระค่าบริการด้วย

9) การตระเตรียมวิธีการปรับปรุงแก้ไขระบบคอมพิวเตอร์ที่ได้รับความเสียหายให้ปฏิบัติงานได้ตามปกติ วิธีการที่นำมาใช้ต้องสามารถแก้ไขสถานการณ์ที่เลวร้ายได้รวดเร็ว และป้องกันธุรกิจหยุดชะงักได้แน่นอน

1.2. การควบคุมการพัฒนาระบบงาน
การควบคุมภายในเฉพาะงานที่สร้างไว้ภายในระบบงานคอมพิวเตอร์จะรัดกุมและเหมาะสมเพียงใด ขึ้นอยู่กับความรู้ความชำนาญหรือประสบการณ์ของการออกแบบระบบงานเป็นสำคัญ ในปัจจุบันการถ่ายทอดวิทยาการเกี่ยวกับการควบคุมเฉพาะงานค่อนข้างเชื่องช้า มีค่าใช้จ่ายสูง ต้องอาศัยความร่วมมือจากผู้ที่เกี่ยวข้องหลายฝ่าย และไม่สามารถนำวิธีการควบคุมภายในที่ใช้กับระบบงานใดระบบงานหนึ่งไปใช้กับระบบงานอื่นได้ จึงจำเป็นต้องอาศัยการควบคุมการพัฒนาระบบงานช่วยแก้ปัญหาที่กล่าวข้างต้น เพื่อ
– ควบคุมค่าใช้จ่ายและรายะเวลาที่ใช้ในการพัฒนาระบบงาน
– ช่วยให้แน่ใจว่าการควบคุมภายในเฉพาะงานที่สร้างไว้ในระบบ มีความรัดกุมและเหมาะสม
– ช่วยให้แน่ใจว่ามีการทดสอบการควบคุมภายในเฉพาะงาน ด้วยวิธีการที่เหมาะสมก่อนนำไปใช้ข้างหน้า

การควบคุมการพัฒนาระบบงานมีขอบเขตดังนี้
1) System Development Life Cycle (SDLC) ได้แก่ การแบ่งงานพัฒนาระบบออกเป็นขั้นตอนต่าง ๆ หลายขั้นตอน เพื่อความสะดวกในการกำหนดจุดที่จะจัดการควบคุม ซึ่งนอกจากจะช่วยให้ฝ่ายบริหารมีเครื่องมือในการควบคุมค่าใช้จ่ายและระยะเวลาในการพัฒนาระบบงานแล้ว ยังช่วยทำให้เกิดช่องทางในการติดต่อประสานงานกับผู้ใช้ข้อมูล ผู้ตรวจสอบ พนักงานวางแผนจัดหาเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์มาใช้งานพนักงานที่รับผิดชอบในการพัฒนาระบบและพนักงานชั้นบริหาร

2) การบริหารโครงการ ได้แก่ การใช้เทคนิคในการวัดความก้าวหน้าของโครงการในแต่ละขั้นตอน เป็นหลักในการควบคุมเพื่อ
– ให้ทราบว่าผู้ใช้ข้อมูลให้ความเห็นชอบผลงานที่อยู่ในระหว่างการพัฒนาถึงขั้นตอนใดแล้ว
– เปรียบเทียบค่าใช้จ่ายที่เกิดขึ้นจริงกับค่าใช้จ่ายตามงบประมาณ และเปรียบเทียบระยะเวลาที่ปฏิบัติงานจริง กับระยะเวลาที่กำหนดไว้ล่วงหน้า
– เสนอรายงานสถานะของโครงการให้ผู้บริหารระดับสูงได้ทราบทุกระยะ

3) การกำหนดมาตรฐานหรือระเบียบปฏิบัติในการเขียนโปรแกรม เพื่อเป็นแนวทางปฏิบัติงานของผู้เขียนโปรแกรม ปัจจุบันนิยมใช้เทคนิคการเขียนโปรแกรมโครงสร้าง ช่วยลดความซ้ำซ้อนของงานเขียนโปรแกรม และเพื่อให้ผู้อื่นที่จะมาใช้โปรแกรมในภายหลังหรือผู้ที่จะมาปฏิบัติงานแทนผู้เขียนโปรแกรม ตั้งแต่เริ่มแรกสามารถทำความเข้าใจ และทำงานต่อไปได้

4) การทดสอบเพื่อตรวจรับระบบงาน คือ การทดสอบระบบงานและโปรแกรมก่อนนำไปใช้งานจริง เพื่อให้แน่ใจว่าระบบงานและโปรแกรมสามารถทำงานได้ตามประสงค์ของผู้ใช้ข้อมูลและสอดคล้องกับระเบียบปฏิบัติในการประมวลข้อมูลของศูนย์คอมพิวเตอร์

5) การควบคุมการแก้ไขโปรแกรม ได้แก่ การกำหนดระเบียบปฏิบัติในการปรับปรุงแก้ไข Application Program และ Operating Systems โดยจัดให้มีเอกสารหลักฐานและการขอความเห็นชอบในการแก้ไขโปรแกรม เพื่อป้องกันการปฏิบัติไม่ชอบ

6) การจัดทำเอกสารสนับสนุนการปฏิบัติงาน ซึ่งได้แก่ เอกสารที่อธิบายลักษณะการทำงานของระบบงานโดยละเอียด เพื่อให้ผู้อื่นที่ไม่ได้มีส่วนเกี่ยวข้องกับการพัฒนาระบบงาน เช่น ผู้ใช้ข้อมูล ผู้ตรวจสอบและพนักงานปฏิบัติการประมวลผล เป็นต้น สามารถทำความเข้าใจและประเมินผลได้

7) การบริหารงานฐานข้อมูล กรณีที่มีการนำระบบฐานข้อมูลมาใช้เพื่อให้ระบบต่าง ๆ สามารถใช้ข้อมูลร่วมกันและช่วยลดความซ้ำซ้อนในการจัดเก็บข้อมูลจะมีผลกระทบต่อการจัดองค์กรของศูนย์คอมพิวเตอร์ และการพัฒนาระบบงาน ซึ่งจำเป็นต้องปรับปรุงการควบคุมให้เหมาะสมด้วย

เรื่องที่นำเสนอไปในข้างต้นนี้นั้น เป็นส่วนของการควบคุมภายในทั่วไป (General Controls) ที่กล่าวโดยย่อ ๆ ในภาพกว้าง ๆ เท่านั้น ส่วนในรายละเอียดไว้ผมจะนำเสนอในโอกาสต่อ ๆ ไปครับ ในครั้งหน้าผมจะพูดถึงการควบคุมภายใน ในอีกลักษณะหนึ่งที่เรียกว่าเป็นการควบคุมภายในเฉพาะงาน หรือ Application Controls โปรดติดตามกันต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

พ.ค. 21, 2010

สำหรับเรื่องการวางแผนงาน/โครงการ ในวันนี้ผมจะขอกล่าวถึงสาเหตุที่เป็นความเสี่ยง หรือเหตุของความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กร อาจไม่ประสบความสำเร็จ รวมทั้งข้อควรระวังในการวางแผนที่อาจเกิดจากความไม่แน่นอนขององค์กร ตามที่ได้กล่าวไว้ในครั้งที่แล้ว ไปติดตามกันเลยครับ

สาเหตุที่เป็นความเสี่ยง ความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กรทั่วไป อาจไม่ประสบความสำเร็จมีหลายประการ แต่ที่ผมจะได้กล่าวถึงก็เป็นสาเหตุบางประการเท่านั้น
1. เป้าหมายของแผนงานและ/หรือโครงการไม่ชัดเจนและสอดคล้องกับเป้าประสงค์ พันธกิจที่กำหนดไว้ตามหลักการบริหารความเสี่ยง ซึ่งแผนงานต้องชี้เป้าหมายตามหลัก SMART (โปรดดูคำอธิบายการบริหารความเสี่ยงโดยย่อ)
2. แผนงานมีขอบเขตกว้างขวาง แต่กำหนดเวลาไม่เหมาะสม
3. การประมาณด้านการเงินและทรัพยากรที่เกี่ยวข้องไม่เหมาะสม
4. การทำแผนงานมาจากพื้นฐานของข้อมูลที่ไม่เพียงพอ และมักขาดการวิเคราะห์ถึงความเป็นไปได้ของแผนงาน
5. กระบวนการจัดทำแผนงาน/โครงการไม่เป็นระบบ
6. แผนงานจัดทำโดยกลุ่มผู้วางแผนเท่านั้น ไม่มีผู้เกี่ยวข้องอื่น เช่น ผู้ชำนาญการที่เกี่ยวข้องจากบุคคลภายในและภายนอกร่วมจัดทำ
7. ขาดความชัดเจนของจุดประสงค์ที่แท้จริงของแผนงาน
8. ไม่ได้กำหนดจุดตรวจสอบและจัดทำรายงานแสดงความคืบหน้าของแผนงาน/ โครงการ
9. ประมาณการโดยการคาดเดา ไม่ได้กำหนดวิธีการที่มาตรฐาน หรือใช้ข้อมูลจากอดีตและการวิเคราะห์สภาพแวดล้อมในอนาคต
10. บุคลากรที่เกี่ยวข้องไม่มีประสบการณ์เพียงพอ
11. ผู้มีส่วนเกี่ยวข้องในการปฏิบัติงานไม่ปฏิบัติตามข้อกำหนด
12. แผนงานที่จัดทำขึ้นกระทำการเพียงเพื่อประกอบงบประมาณ โดยไม่เน้นเป้าหมาย และมีการสำรองงบเงินงบประมาณในแผนงาน เพื่อใช้ในโครงการอื่นที่ไม่มีความชัดเจน เป็นต้น

ในการวางแผนงาน/โครงการนั้น อาจเกิดความไม่แน่นอนเนื่องจากสาเหตุของความเสี่ยงที่เกิดขึ้นได้เสมอ ฉะนั้นในการวางแผนงานทุกครั้ง ผู้บริหารหรือผู้ที่เกี่ยวข้องควรรู้ถึงข้อควรระวังเกี่ยวกับการวางแผนที่อาจเกิดความไม่แน่นอนขององค์กรทั่วไป ดังนี้
1. ขาดการประสานงานที่ดีในการวางแผนงาน รวมทั้งการประสานงานรหว่างหน่วยงานที่เกี่ยวข้อง
2. ขาดการวิเคราะห์ความเสี่ยงหรือการบริหารแผนงานในเชิงรุกเพื่อป้องกันปัญหาในภายหน้าอย่างมีระบบ เช่น ไม่มีการชี้ปัจจัยเสี่ยงจากกิจกรรมหลักที่มีผลกระทบต่อการบรรลุเป้าหมายหรือปัจจัยสำคัญที่นำไปสู่ความสำเร็จตามแผนงาน
3. ระยะเวลาของแผนงาน/โครงการสั้นหรือยาวเกินไปไม่สัมพันธ์กับทรัพยากรที่มีอยู่
4. ไม่มีการศึกษาความเป็นไปได้ก่อนจัดทำแผนงานอย่างจริงจัง
5. บุคลากรที่จำเป็นต้องเข้ามาร่วมในโครงการมีไม่เพียงพอ
6. ขอบข่ายงานมีการเปลี่ยนแปลงตามสภาพแวดล้อมที่ไม่คาดหมายมาก่อน ซึ่งอาจจะเกิดจากขาดการบริหารความเสี่ยงประกอบการวางแผนงานอย่างเหมาะสม
7. ไม่มีแผนงานฉุกเฉินรองรับ
8. การกำหนดตารางเวลาของการปฏิบัติงานตามกิจกรรมต่าง ๆ ไม่สอดคล้องกับภารกิจที่พึงต้องปฏิบัติเพื่อบรรลุแผนงานตามทรัพยากรที่กำหนด
9. ขาดการรายงาน และการติดตามแผนงานของผู้ที่เกี่ยวข้อง
10. มีแผนงานและโครงการใหม่ที่มีระดับความสำคัญเร่งด่วนมากกว่า

ในครั้งหน้าผมจะพูดถึงปัจจัยที่เกี่ยวข้องที่ทำให้การวางแผนงาน/โครงการประสบความสำเร็จตามเป้าหมายที่กำหนดไว้ โปรดติดตามต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เทคโนโลยี่การบัญชี การควบคุมภายในและการตรวจสอบกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส

พ.ค. 19, 2010

เทคโนโลยี่ในปัจจุบันได้เข้ามามีบทบาทอย่างสำคัญในกิจกรรมและกระบวนการทำงานต่างๆ รวมทั้งการบัญชี ผู้บริหารระดับสูงต้องเข้ามามีส่วนเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะตามหลักการบริหารตามแนว GRC หรือ Governance+Risk Management+ Compliance ผู้บริหารระดับสูงต้องใส่ใจกับเรื่องเทคโนโลยีมากขึ้น เพราะความล้มเหลวทางด้านเทคโนโลยี่ จะมีผลกระทบต่อการบริหารโดยรวม+++

คณะกรรมการวิชาชีพบัญชีด้านการศึกษาและเทคโนโลยี่การบัญชี พิจารณาว่าเป็นปัจจัยภายนอก ที่ส่งผลกระทบอย่างมากต่อการทำงานของนักบัญชี และผู้บริหารที่เกี่ยวข้อง รวมทั้งผู้กำกับฯ ความต้องการบุคคลากรด้านบัญชีที่มีความสามารถในการใช้เทคโนโลยี การบริหาร การตรวจสอบองค์กรที่ใช้เทคโนโลยี จึงมีความสำคัญมากขึ้นมาก ผู้ที่เกี่ยวข้องต้องมีความเข้าใจในคุณลักษณะ วิธีการทำงาน และสามารถเลือกใช้หรือจัดการเทคโนโลยี่ ควบคุมการใช้เทคโนโลยีให้เหมาะสมได้อย่างมั่นใจ

องค์กรของท่าน มีความพร้อมในการบริหาร การจัดการเทคโนโลยีที่เหมาะสมแล้วหรือยังครับ ความเสียหาย และผลกระทบจากการไม่เข้าใจในคุณลักษณะของเทคโนโลยีในมุมมองต่าง ๆของกระบวนการจัดการ เช่นในมุมมองของ Business Balance Scorecard และ Information Balance Scorecard นั้นอาจเกินจินตนาการของ Stakeholders นะครับ

ตัวอย่างในเรื่องนี้มีมากมาย แล้วผมจะค่อย ๆ ทยอยเล่าสู่กันฟังเพื่อเป็นกรณีศึกษาต่อไป มาตรฐานการบัญชีก็มีการปรับปรุงกันอยู่เสมอ ในขณะนี้นักบัญชีและนักบริหารก็ทราบกันดีนะครับว่า การบัญชีไทยกำลังอยู่ระหว่างการปรับปรุงเพื่อก้าวไปสู่ IFRS – International Financial Reporting Standards ซึ่งประเทศต่าง ๆ ทั่วโลกต่างก็ยอมรับที่จะนำมาตรฐาน IFRS ไปถือปฎิบัติ

แน่นอนว่าการทำความเข้าใจในมาตรฐานของบัญชีใหม่ และระบบงานที่เกี่ยวข้อง เช่นเทคโนโลยีคอมพิวเตอร์จะมาเกี่ยวข้องด้วยเสมอนะครับ ที่สำคัญก็คือ องค์กรของท่านพร้อมแล้วหรือยัง โดยเฉพาะการทำความเข้าใจในผลกระทบของเทคโนโลยีคอมพิวเตอร์ ที่เกี่ยวข้องกับการบัญชี การบริหาร การจัดการ ในเกือบทุกระดับของกระบวนการจัดการ โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยง ทั้งในระดับองค์กรและในระดับประเทศ การควบคุมภายใน การตรวจสอบภายในตามฐานความเสี่ยง ทั้งทางด้าน IT และ Non – IT ++

ขอยกตัวอย่าง กรณี บริษัท เลห์แมน บราเธอร์ส อดีตวาณิชธนกิจแถวหน้าของสหรัฐอเมริกา ต้องล้มละลาย กับการตรวจพบ เมื่อบริษัทฯ ได้ล้มละลายไปแล้ว ด้วยเหตุผลการใช้เครื่องมือทางบัญชี และวิธีการทางบัญชีมาตบแต่งข้อมูลทางเงิน ++ นี่เป็นตัวอย่างที่ชัดเจนของความสำคัญของการศึกษาเทคโนโลยีทางการบัญชี ทางการเงิน ทางการบริหาร การควบคุมและการตรวจสอบ

สรุปว่า เลห์แมน ใช้เครื่องมือทางการบัญชี โดยการปรับปรุงงบดุล และโยกย้ายตราสารจำนวนหนึ่งออกไปจากงบดุล ซึ่งเป็นงบแสดงทางการเงินเป็นการชั่วคราว เพื่อสร้างภาพที่ทำให้เข้าใจผิด ๆ ต่อผู้อ่านและผู้บริหารงบการเงิน เกี่ยวกับฐานะการเงินของบริษัทฯ ในช่วงปลายปี 2552 และ 2551 โดยวางโครงสร้างให้เหมือนเป็นการขาย เพื่อให้การขายตราสารการเงินเป็นการชั่วคราว เพื่อให้ดูเสมือนหนึ่งว่าความเสี่ยงจากการก่อหนี้ดังกล่าวจะหมดไป จากงบดุลหรือบัญชีทางการเงินของบริษัทแล้ว ซึ่งทำให้สถานะของบริษัท เลห์แมน บราเธอร์ส ในปี 2550 และ ปี 2551 จะแตกต่างจากความจริงเป็นอย่างมาก

นี่คือการเปลี่ยนแปลงงบทางการเงิน เพื่อตบแต่งทางการบัญชีตอนสิ้นงวด ซึ่งเรียกว่า Window Dressing ซึ่งนิยมใช้กันในหมู่ผู้บริหารเงินกองทุน ++ ซึ่งเป็นเรื่องปกติ แต่ต้องอยู่ในระดับภายใต้การควบคุมและยอมรับได้ขององค์กร และ Stakeholders ในมุมมองทางการเงินและการบัญชี และความผิดในเรื่องนี้ ควรจะเป็นของใคร? ท่านคิดอย่างไรครับในเรื่องนี้

โปรดติดตามตอนต่อไป ในเรื่องเกี่ยวกับการไขปริศนา ทำไมบริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย อันเนื่องจากเทคโนโลยีทางการบัญชี

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเห็นของ ดร. วรเจตน์ ภาคีรัตน์ กับรัฐธรรมนูญ คดียึดทรัพย์ฯ กับข้อคิดเพื่อการวิเคราะห์ฯ

พ.ค. 15, 2010

ความเห็นที่แตกต่างกัน โดยเฉพาะอย่างยิ่ง ไม่อิงขั้วการเมืองใด ซึ่งจะขึ้นกับความเชื่อหรือไม่เชื่อของผู้อ่านแต่ละท่านนั้น จะเป็นประโยชน์อย่างยิ่งต่อการสร้างความคิด สติปัญญา และมุมมองต่าง ๆ ที่อาจสร้างคุณค่าเพิ่มให้กับสังคมและส่วนรวมได้เป็นอย่างดี

ร่วมด้วยช่วยกันคิด เพื่อให้เกิดสังคมแห่งการเรียนรู้ในต่างมุมมองที่เป็นเรื่องสร้างสรร ที่อาจก่อให้เกิดคุณค่าของการมองต่างมุมโดยรวม

ข้อความต่อไปนี้ทั้งหมด ผมได้นำมาจาก หนังสือพิมพ์ประชาชาติธุรกิจ ฉบับวันจันทร์ที่ 22 – วันพุธที่ 24 มีนาคม 2553 ของ ดร. วรเจตน์ ภาคีรัตน์ ในหัวเรื่อง แกะปมรัฐธรรมนูญ – ไขรหัส “มั่ว” อุทธรณ์หรือฟื้นคดียึดทรัพย์ “ทักษิณ”

ผมได้อ่านการสัมภาษณ์พิเศษของผู้สื่อข่าวกับ ดร. วรเจตน์ ภาคีรัตน์ ที่ให้สัมภาษณ์แก่ผู้สื่อข่าว โดยนำข้อความทั้งหมดตามที่ได้กล่าวข้างต้นมาให้ท่านผู้อ่านได้ใช้ดุลยพินิจในมุมมองต่าง ๆ โดยไม่ได้ตัดทอนเพื่อการศึกษา และการพัฒนาแนวความคิดตามหัวข้อเรื่องข้างต้น ทั้งนี้ ขอให้ผู้อ่านใช้วิจารณญาณจากการอ่านบทสัมภาษณ์ดังต่อไปนี้นะครับ

หลังคำพิพากษาคดียึดทรัพย์ “ทักษิณ ชินวัตร” มีคนที่ต้องทำการบ้านเพิ่มไม่น้อยกว่า 5 ฝ่าย อย่างน้อยมีทนายฝ่าย “จำเลย” ที่ต้องหา “ข้อเท็จจริงใหม่” มาต่อสู้ในขั้นอุทธรณ์ อย่างน้อยก็มีองค์คณะในศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมือง อย่างน้อยก็มีผู้บริหารรัฐวิสาหกิจ – อดีตรัฐมนตรีที่ผูกพันตามคำพิพากษา

นอกจากนี้ยังมีสำนักงานอัยการสูงสุดที่ต้องเตรียมข้อมูลฟ้องร้องกับผู้ที่เกี่ยวข้องในการกระทำความผิด จนทำให้ “จำเลย” ร่ำรวยผิดปกติ 1 ใน 5 ฝ่ายที่ทำการบ้านเพิ่มคือ นักวิชาการด้านกฎหมายที่ชื่อ “ดร. วรเจตน์ ภาคีรัตน์”

บรรทัดต่อไปนี้คือ “คำตอบ” จากการคร่ำเคร่งค้นคว้า-ความจริง-ไม่อิงขั้วการเมือง

หลังจากเข้ากระบวนการ 30 วัน ที่ศาลเปิดโอกาสให้อุทธรณ์แล้ว อาจารย์คาดหวังจะเห็นอะไร?

เรื่องนี้เป็นเรื่องที่หลายคนไม่เข้าใจ และเป็นปัญหากลไกซ่อนรูปในรัฐธรรมนูญ และนักกฎหมายหลายคนก็มองไม่เห็น เราพูดเรื่องอุทธรณ์ ว่าพอศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมืองตัดสินแล้ว มีสิทธิอุทธรณ์ภายใน 30 วัน ไปยังที่ประชุมใหญ่ของศาลฎีกา อาจารย์หลายคนที่ร่างรัฐธรรมนูญ บางคนก็บอกว่า นี่ไงมีการประกันสิทธิเสรีภาพ เรื่องการอุทธรณ์กระบวนการนี้เป็นธรรม เพราะเปิดให้มีการอุทธรณ์ให้ถึงที่สุด แต่เรื่องนี้คนรู้น้อยมากว่าใช่การอุทธรณ์หรือไม่ ไปถามในทางสากลจากนักกฎหมายในโลกนี้ทั้งโลก จะรู้ว่าที่อยู่ในรัฐธรรมนูญ 2550 นี่มันไม่ใช่เรื่องการอุทธรณ์ แม้จะเขียนว่า “อุทธรณ์” ก็จริง แต่เนื้อหามันไม่ใช่ อันนี้มันซ่อนปมอีกอันหนึ่ง

เพราะสิ่งที่อยู่ในรัฐธรรมนูญนั้น เป็นลูกผสมระหว่างการอุทธรณ์กับการขอให้พิจารณาใหม่ หรือการรื้อฟื้นคดีขึ้นพิจารณาใหม่ มันเป็นหลักการสำคัญ ทั้ง 2 อย่างนี้ต่างกัน ยกตัวอย่างคดีอาญา มีบุคคลคนหนึ่งถูกกล่าวหาว่ากระทำความผิด ต่อมาพนักงานสอบสวนก็สอบสวนมีการส่งเรื่องไปที่อัยการ และอัยการฟ้องไปที่ศาล เมื่อมีการตัดสินคดีแล้วมีการอุทธรณ์ ฎีกาเมื่อศาลอุทธรณ์ ศาลฎีกายืน คดีถึงที่สุดที่ศาลฎีกา

ต่อมาเมื่อเขาอยู่ในคุก พบพยานหลักฐานว่าเขาไม่ใช่คนกระทำความผิด ระบบกฎหมายจะเปิดช่องให้เขา ขอให้พิจารณาใหม่ หรือว่ารื้อฟื้นคดีขึ้นพิจารณาใหม่ได้ ซึ่งการอุทธรณ์กับการพิจารณาใหม่มีความแตกต่างกัน เพราะการอุทธรณ์คือการที่คู่ความในคดี ซึ่งไม่เห็นด้วยกับคำพิพากษาของศาลในระดับล่าง โต้แย้งคำพิพากษาของศาลขึ้นไปยังศาลระดับสูง ซึ่งแน่นอนว่า สามารถอุทธรณ์ได้ในปัญหาข้อเท็จจริงและปัญหาข้อกฎหมาย หรืออาจให้อุทธรณ์เฉพาะปัญหาข้อกฎหมาย

และการอุทธรณ์คือ การเปิดโอกาสให้คู่ความได้โต้แย้งตัวคำพิพากษาของศาล โดยไม่จำเป็นต้องมีพยานหลักฐานใหม่ เพราะต้องใช้พยานหลักฐานอันเดิม แล้วอุทธรณ์ว่าศาลตีความกฎหมายไม่ถูก หรือถ้าเป็นการยอมให้อุทธรณ์ในข้อเท็จจริงได้ ในกรณีที่ศาลฟังข้อเท็จจริงผิด นี่คือการโต้แย้งทุกประเด็น หรือโต้แย้งประเด็นข้อกฎหมายทุกเรื่องขึ้นไป เรื่องว่าการอุทธรณ์

พอคดีจบแล้วถึงที่สุดแล้ว เมื่ออุทธรณ์ไม่ได้ เพราะมันจบ หลักก็คือ คำพิพากษาต้องเด็ดขาด ทีนี้เป็นไปได้ว่าคำพิพากษาอาจผิด ซึ่งระบบกฎหมายที่ยอมรับหลักความยุติธรรม เขาต้องยอมรับว่า มันเกิดความผิดพลาดได้เวลาที่ศาลมีคำพิพากษา เพราะฉะนั้นระบบกฎหมายอย่างนี้ได้รักษาไว้ซึ่งความมั่นคง แน่นอน ของคำพิพากษาของศาลซึ่งเป็นที่สุดแล้ว

แต่อีกด้านหนึ่งระบบกฎหมายก็ต้องรักษาความยุติธรรมด้วย เขาก็จะเปิดช่องเอาไว้ว่าในภายหลังที่ศาลพิพากษาถึงที่สุดแล้ว มีการพบพยานหลักฐานใหม่ว่าที่ศาลตัดสินไปนั้นไม่ถูก เขาก็จะเปิดโอกาสให้คนซึ่งต้องคำพิพากษาถึงที่สุดแล้วนั้น ยื่นคำร้องรื้อฟื้นคดีขึ้นพิจารณาใหม่ ซึ่งการรื้อฟื้นคดีขึ้นพิจารณาใหม่นี้ หลักในทางสากลคือ คดีอาจจบไปแล้วกี่ปีก็ได้ เพียงแต่ว่าถ้าคุณมีพยานหลักฐานใหม่ คุณต้องยื่นเสีย อาจจะภายใน 30 วัน เช่น คดีจบไปแล้ว 5 ปี แล้วคุณบังเอิญเห็นพยานหลักฐานอันนี้ซึ่งพิสูจน์ได้ว่าคุณไม่ผิด คุณก็นำไปยื่น ตรรกะจะเป็นแบบนี้

แต่รัฐธรรมนูญไทย 2550 ได้สร้างระบบประหลาดขึ้นมา ซึ่งผมไม่เคยเห็นมาก่อน ซึ่งอาจจะนับว่าเป็นการครีเอตของคนร่างรัฐธรรมนูญก็ได้ เขาบอกว่า คนที่ต้องคำพิพากษาของศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมือง สามารถอุทธรณ์คำพิพากษาของศาลฎีกาฯ ไปที่ประชุมใหญ่ของศาลฎีกาได้ภายใน 30 วัน แต่ต้องปรากฎพยานหลักฐานใหม่ เพราะฉะนั้นมันจึงไม่ใช่การอุทธรณ์ในความหมายแท้ ๆ ที่ใช้ในทางกฎหมาย และก็ไม่ใช่การขอให้พิจารณาใหม่ด้วย

ที่ผมบอกว่าไม่ใช่การอุทธรณ์ เพราะว่าคุณไปบีบเขาว่าเขาต้องมีพยานหลักฐานใหม่ภายใน 30 วันนี้ คุณต้องเจอพยานหลักฐานใหม่ มันก็เลยไม่ใช่เรื่องการอุทธรณ์ เพราะการอุทธรณ์ไม่ต้องเจอพยานหลักฐานใหม่ในระบบ ขณะเดียวกันมันก็ไม่ใช่การรื้อฟื้นพิจารณาคดีใหม่ด้วย เพราะคุณไปจำกัดเขาว่าเขาต้องทำภายใน 30 วัน นับแต่วันที่ศาลพิพากษา ไม่ใช่ 30 วันนับแต่วันที่พบพยานหลักฐานใหม่ ซึ่งอาจจะผ่านไป 5 ปี 10 ปีก็ได้

การอุทธรณ์จึงมั่ว ๆ ระหว่าง 2 หลัก?

ถูกต้อง มันมั่วเลย ไม่ใช่มั่ว ๆ กันอยู่ แต่มันไม่มีหลักอะไรเลยตรงนี้ เพราะฉะนั้นเรื่องนี้เป็นเรื่องประหลาดมากในทางระบบ อันนี้ต้องอธิบายให้สาธารณชนเข้าใจ เพราะที่พูด ๆ กันอยู่นี่ไม่เข้าใจ ไม่รู้เรื่อง นี่พูดจริง ๆ หลายคนทำให้ผมดูถูกมากในทางความรู้ เพราะไม่เข้าใจประเด็นเหล่านี้แล้วพูดไป ทำให้สังคมเข้าใจผิด หลักก็เสียหมด

ประเด็นคือ ถ้าเอาตามตัวบทลายลักษณ์อักษรนี่ ทนายความของทักษิณต้องเจอหลักฐานใหม่ จึงจะสามารถอุทธรณ์ เพราะฉะนั้นมันไม่เป็นธรรมกับคนที่ถูกลงโทษ ต้องให้มีการอุทธรณ์ได้ ครั้นจะสนับสนุนให้เขาอุทธรณ์เต็มที่ คุณก็เกรงอีก ก็เลยเอาเป็นระบบมั่ว ๆ อย่างนี้มาในรัฐธรรมนูญ มันเลยเป็นปัญหา

เป็นประเด็นขอให้พิจารณาในเนื้อหา?

ใช่ ๆ เพราะเรื่องแรกที่ต้องฝ่าด่าน คือว่าอีกไม่กี่วันข้างหน้า หากไปถึงที่ประชุมใหญ่ศาลฎีกา ถ้ามีการอุทธรณ์ เขาต้องดูว่ามีพยานหลักฐานใหม่หรือไม่ ตามถ้อยคำ ตามตัวบท ซึ่งการเขียนรัฐธรรมนูญอย่างนี้ก็น่าเห็นใจคนที่เป็นผู้พิพากษาตุลาการ ในการตีความอยู่เหมือนกัน อันนี้จะไปโทษเขาไม่ได้ อันนี้เป็นปัญหาที่ต้นทางของรัฐธรรมนูญที่ออกแบบมาแบบนี้ คือออกแบบมามั่ว ๆ แบบนี้

จากคำให้สัมภาษณ์ของ ดร. วรเจตน์ ภาคีรัตน์ ในข้างต้น ท่านผู้อ่านพอจะมีข้อคิดเห็น หรือได้ข้อคิดอะไรบ้างครับ ถ้ายัง ก็โปรดติดตามจนจบก็อาจจะพบแง่คิดอะไรที่แตกต่างจากการสัมภาษณ์นี้ได้ ซึ่งผมขออนุญาตตัดตอนคำสัมภาษณ์ที่เหลือไปต่อในตอนหน้านะครับ

ปิดความเห็น บน ความเห็นของ ดร. วรเจตน์ ภาคีรัตน์ กับรัฐธรรมนูญ คดียึดทรัพย์ฯ กับข้อคิดเพื่อการวิเคราะห์ฯ | คุยกับผู้เขียน | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองของ CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน (ต่อ)

พ.ค. 12, 2010

ตามแผนภาพต่าง ๆ ที่เกี่ยวกับมุมมองของ Corporate Governance หรือการกำกับดูแลกิจการที่ดี ที่แน่นอนว่าจะต้องเชื่อมโยงกับ IT Governance ซึ่งต้องการสร้างความเข้าใจให้กับผู้อ่านที่เกี่ยวข้องและที่สนใจในเรื่องนี้ นั่นก็คือ Risk IT และ IT Risk ต้องเชื่อมโยง และเน้นไปที่ Business Objectives มิใช่ IT Objectives

การเติบโตอย่างยั่งยืนตามหลัก CG ของทุกองค์กรในระบบเทคโนโลยีปัจจุบัน อาจกล่าวได้ว่า แทบจะไม่มีองค์กรใดเลยที่จะรักษาการเติบโตอย่างยั่งยืนได้ โดยปราศจากการบริหารความเสี่ยงที่เกิดจาก Risk IT และ IT Risk ที่มีผลต่อ People Risk ที่เชื่อมโยงไปยังProcess Risk และแน่นอนว่า Process Risk ส่วนใหญ่จะเกี่ยวข้องกับ Technology Risk ซึ่งท่านผู้อ่านอาจจะคุ้นเคยกับคำว่า ความเสี่ยงทางด้าน Operational ที่เน้นทางด้าน P + P + T นั่นเอง

ผมใคร่ขอเน้นอีกครั้งนึงนะครับว่า แผนภาพต่าง ๆ ที่เกี่ยวข้องกับ CG ในมุมมองอันหลากหลาย เพื่อก้าวไปสู่การเติบโตอย่างยั่งยืนขององค์กรนั้น ผู้บริหารและผู้ปฏิบัติการ ควรจะต้องพิจารณาในมุมมองของ Management ที่ต้องสื่อสารให้ทุกคนในองค์กรได้รับรู้ การบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM ซึ่งเชื่อมโยงกับ IT Risk ที่มีผลต่อ Business Risk ในระดับต่าง ๆ ตามที่ได้กล่าวมาแล้ว ที่ผู้บริหารและพนักงานทุกคนต้องปฏิบัติตามนโยบาย และข้อกำหนดต่าง ๆ ที่ต้องทำงานด้วยใจ หรือ Spiritual ซึ่งเป็นเรื่องของ Soft Controls นั่นคือ

ถึงแม้ไม่มีกฎหมาย กฎเกณฑ์ บัญญัติให้ปฏิบัติ และไม่มีบทลงโทษ หรือแม้กระทั่ง ไม่ถูกบังคับให้ต้องปฏิบัติ ซึ่งเป็นเรื่องของ Compliance หรือ Hard Controls นั้น ผู้บริหารและพนักงานที่มีศักยภาพก็จะต้องปฏิบัติหน้าที่ด้วยความทุ่มเท และพัฒนาตนเองให้มีศัยภาพในการเรียนรู้ เพื่อก้าวให้ทันกับเทคโนโลยีใหม่ ๆ ที่เกิดจาก IT Related Risk ที่มีผลต่อ Business Risk โดยท่านไม่จำเป็นจะต้องเกี่ยวข้องกับการปฏิบัติหน้าที่ทางด้าน IT เท่านั้น

จากแผนภาพหลายตอน รวมทั้งแผนภาพในตอนนี้ ท่านผู้อ่านหลายคนคงจะนึกในใจว่า ไม่มีเนื้อหาใดตามแผนภาพในทุกกรอบที่เชื่อมโยงเรื่อง CG ไปยัง ITG ดังกล่าว ดังนั้น ขอท่านผู้อ่านได้โปรดดูแผนภาพตามมุมมองต่าง ๆ ของ CG และนำมาเชื่อมเข้าด้วยกัน ท่านก็จะพบความโยงใยของ Risk IT และ Risk IT ที่มีผลต่อ IT Governance และ Corporate Governance และเชื่อมโยงกับหลักการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM และก้าวไปสู่หลักการบริหารเพื่อสร้างประสิทธิภาพและประสิทธิผลอย่างเป็นรูปธรรม โดย GRC – Governance + Risk Managment + Compliance ซึ่งเป็นการบริหารแบบขับเคลื่อนในลักษณะ Integrity – Driven Performance ซึ่งเป็นการบริหารโดยหลอมรวมหลักการบริหารที่ดีทางด้าน IT และ Non – IT แบบบูรณาการ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

พ.ค. 4, 2010

ในครั้งก่อน ท่านผู้อ่านก็ได้ทราบถึงประเภทของการตรวจสอบด้านคอมพิวเตอร์กันแล้วนะครับ ว่าได้มีการจัดแบ่งประเภทเป็นการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ หรือเรียกว่า General Control ซึ่งเป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ส่วนใหญ่เป็นการตรวจสอบเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง ส่วนอีกประเภทหนึ่งก็คือ Application Controls ซึ่งเป็นการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ในการประมวลผล

สำหรับวันนี้ผมจะขอนำเสนอแผนภาพการตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ (Application Audit) ซึ่งอาจจะเคยได้นำเสนอไปแล้ว ก็ถือเป็นการทบทวนเพื่อให้เกิดความเข้าใจที่ต่อเนื่องและเห็นภาพขั้นตอนของกระบวนการตรวจสอบ IT ในเบื้องต้นที่ชัดเจนยิ่งขึ้นนะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

หลักการสอบทานการควบคุมภายในที่สำคัญ
แม้ว่าในการนำคอมพิวเตอร์มาใช้ จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบแต่ลักษณะการประเมินการควบคุมภายในและวิธีการตรวจสอบจะเปลี่ยนแปลงไป

ในระบบที่ทำด้วยมือนั้น มักเน้นการทำ Substantive Test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คนในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ Substantive Test จะช่วยลดความเสี่ยงได้มาก

แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี ดังนั้นจึงควรเปลี่ยนจากการเน้นตรวจ Substantive Test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ

1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่าการประมวลผลจะมีความสม่ำเสมอด้วย

2. การตรวจสอบที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทำ Substantive Test นั้นทำได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน Audit Trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทำการตรวจสอบแบบ Manual ได้ด้วยวิธีการปกติ

3. ผู้ตรวจสอบถูกกำหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน

ดังนั้น จะเห็นว่าผู้ตรวจสอบจำเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์

ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายใน ควรมีการกำหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทำการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ที่ดีในการประเมินผลการตรวจสอบได้อีกด้วย

ผู้ตรวจสอบจำเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจที่มีการนำเอาคอมพิวเตอร์เข้ามาใช้อย่างมีประสิทธิผล ทักษะทาง IT ของผู้ตรวจสอบแต่ละคนอาจแตกต่างกันออกไป แต่สำหรับทั้งทีมงานแล้วต้องมีทักษะทาง IT ที่เหมาะสมและเพียงพอแก่การปฏิบัติหน้าที่ นอกจากนี้ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้

ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทำงานเหล่านี้ทั้งหมดได้ตามลำพัง จากความก้าวหน้าอันรวดเร็วจำเป็นต้องให้ผู้บริหารและผู้ใช้ได้รับการฝึกอบรมทางด้าน IT และผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT เอง ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมด้วย

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

เมษายน 30, 2010

จากความเข้าใจในคำจำกัดความของคำว่า แผนงาน/โครงการ ที่ถูกต้อง ชัดเจน รวมถึงความเข้าใจหน้าที่ในการจัดการ และวัตถุประสงค์ของการบริหารแผนงาน/โครงการ ตามที่ได้กล่าวไปในครั้งที่แล้ว เพื่อที่ผู้บริหารจะได้สามารถบริหารแผนงานและโครงการได้อย่างมีประสิทธิภาพ ประสิทธิผล เป็นไปตามวัตถุประสงค์หรือเป้าหมายของแผนงาน/โครงการที่วางไว้ ผู้ที่มีหน้าที่และ/หรือผู้เกี่ยวข้องจะต้องมีการวางแผนงาน ซึ่งเป็นการดำเนินการภายใต้กลยุทธ์ในแต่ละข้อขององค์กร โดยการวางแผนการดำเนินงานนั้นจะต้องระบุ

1. ขอบเขตงานโดยย่อ
2. ชนิดของงานต่าง ๆ
3. ระยะเวลาที่ต้องใช้ในการดำเนินงาน/โครงการ
4. ทรัพยากร อันได้แก่ ทรัพยากรทางด้านบุคลากร เครื่องคอมพิวเตอร์และอุปกรณ์ เงินทุน วิธีการและเทคนิคต่าง ๆ ที่ใช้

แผนงานสำคัญของโครงการที่ควรต้องมี
1. แผนงานดำเนินการ
2. แผนการใช้บุคลากร
3. แผนการควบคุมการเปลี่ยนแปลง
4. แผนการทำรายงานแสดงสถานภาพของโครงการ

การมีแผนงานทำให้ผู้ที่เกี่ยวข้องกับโครงการได้เห็นสิ่งที่จะเกิดขึ้น เพื่อบริหารและใช้ทรัพยากรให้เกิดประโยชน์สูงสุด และเพื่อเป็นแนวทางให้การทำงานอยู่ในรูปแบบ หรือเป็นไปในทิศทางที่กำหนดไว้

การเปลี่ยนแปลงแผนงาน/โครงการ
การเปลี่ยนแปลงแผนงาน ทรัพยากรต่าง ๆ ที่จำเป็นและระยะเวลาสามารถทบทวนใหม่เมื่อเกิดความไม่แน่นอน หรือความเสี่ยงที่ไม่อาจจะบรรลุเป้าหมายตามแผนงานนั้นได้ หรือวัตถุประสงค์ รวมทั้งนโยบายได้เปลี่ยนแปลง

ผู้วางแผนงาน
การวางแผนงานต้องอาศัยความรู้ความเข้าใจในระบบงานที่จะทำและประสบการณ์ของผู้เข้าร่วมในการทำแผนงาน ซึ่งมีผู้เกี่ยวข้องดังนี้

1. หัวหน้าแผนงาน/โครงการ ต้องมีแผนงานไว้เป็นแนวทางในการปฏิบัติงานเพื่อให้รู้ถึงสถานะของแผนงานและโครงการทุกขณะ และเพื่อให้ทราบปัญหาล่วงหน้าก่อนที่จะเกิดขึ้นและหาทางแก้ไข้ได้ทันท่วงที โดยใช้หลักการบริหารความเสี่ยงเข้ามาช่วยในการจัดการกับการบริหารแผนงานอย่างเหมาะสม

2. คณะทำงานหรือผู้ที่เกี่ยวข้องเป็นผู้ดำเนินงานให้เป็นไปตามแผนที่กำหนดไว้

3. เจ้าภาพหรือเจ้าของแผนงาน ต้องรับทราบแผนงานเพื่อติดตามความคืบหน้าของโครงการตามความรับผิดชอบได้อย่างเหมาะสม

4. ฝ่ายบริหารและคณะผู้บริหารโครงการต้องมีแผนงานไว้ดูว่าโครงการมีความคืบหน้าไปมากน้อยแค่ไหน เพื่อจะได้ดำเนินการได้ตรงตามที่ต้องการ

การจัดทำแผนงานประกอบด้วย
1. การกำหนดเป้าประสงค์ให้ตรงกับพันธกิจและวิสัยทัศน์ที่เกี่ยวข้อง
2. กำหนดกิจกรรมและขั้นตอนต่าง ๆ ในการดำเนินงานที่ชัดเจน
3. จัดลำดับความสำคัญของแผนงานตามทรัพยากรที่มี
4. กำหนดเวลาที่ต้องใช้ทรัพยากรและการทำงานต่าง ๆ
5. มีการตรวจสอบความคืบหน้าและรายงานความสำเร็จของแผนงานและโครงการ

ในขั้นตอนของการจัดทำแผนงาน นอกเหนือจากที่ได้กล่าวไว้ในข้างต้นแล้ว เรายังต้องคำนึงถึงสาเหตุที่เป็นความเสี่ยง หรือเหตุของความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กร อาจไม่ประสบความสำเร็จ รวมทั้งข้อควรระวังในการวางแผนที่อาจเกิดจากความไม่แน่นอนขององค์กร ซึ่งผมจะได้นำไปพูดคุยกันในครั้งต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง เพื่อยกระดับการจัดการ ในบางมุมมอง (ต่อ)

เมษายน 27, 2010

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเอง (CSA – Control Self Assessment) ในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่ในระดับ 2 แล้ว แต่สามารถเชื่อมโยงและบูรณาการในการบริหารความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีด้วยนั้น

ท่านลองมาประเมินตนเองต่อนะครับ ว่าในองค์กรของท่านมีการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่แล้วพอสมควรนั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ในบางมุมมองของการบริหารความเสี่ยง เพื่อยกระดับให้สูงขึ้นไปได้ดังนี้

1. องค์กรมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง Risk Appetite และกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการทบทวน Risk Appetite และ Risk Tolerance ที่ระบุเป็นเชิงปริมาณ และมีความสอดคล้องกับเป้าหมายที่สำคัญขององค์กรตามที่ระบุไว้ในแผนงาน หรือตามที่องค์กรต้องดำเนินการให้เป็นไปตามมาตรฐานที่เกี่ยวข้อง

– องค์กรไม่ได้กำหนด Risk Appetite ในภาพรวมของแต่ละประเภทความเสี่ยง เช่น ด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ด้านการเสียชื่อเสียงขององค์กร ด้านความพึงพอใจของลูกค้าและผู้มีผลประโยชน์ร่วม ด้านการพัฒนาองค์กรและกระบวนการทำงาน และด้านการเรียนรู้ของบุคลากรในเรื่องที่เกี่ยวข้องกับการบริหารและการจัดการ ในมุมมองต่าง ๆ เช่น การไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ และข้อตกลงร่วมกันในระดับองค์กร

2. การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร โดยองค์กรมีหน่วยงานที่รับผิดชอบการบริหารจัดการความเสี่ยงและมีการทำงานที่เป็นรูปธรรม หากองค์กรไม่ได้มีการดำเนินการตามกรณีตัวอย่างที่จะกล่าวต่อไปนี้ พิจารณาได้ว่า องค์กรของท่านไม่ผ่านการพิจารณาในเรื่องการเชื่อมโยงและบูรณาการความเสี่ยงในข้อหนึ่งข้อใดต่อไปนี้ เช่น

– องค์กรไม่มีการกำหนดหรือไม่มีการทบทวนโครงสร้าง บทบาทหน้าที่ กระบวนการ และผู้รับผิดชอบการบริหารความเสี่ยง ทั้งในระดับองค์กร และระดับฝ่ายงานอย่างชัดเจน เพื่อให้เกิดความเหมาะสมและมีประสิทธิภาพในการดำเนินงานยิ่งขึ้น

– ไม่มีการกำหนดผู้ทำหน้าที่กำกับดูแลและติดตามการบริหารความเสี่ยง ตามขั้นตอนต่าง ๆ และรายงานให้คณะกรรมการบริหารความเสี่ยงได้รับทราบและพิจารณา เพื่อกำหนด และหรือทบทวน Criteria, Risk Appetite และ Risk Tolerance รวมถึงนโยบายการควบคุมความเสี่ยงให้มีความเหมาะสม

– ไม่มีการกำหนดมาตรการควบคุมเพิ่มเติม หรือติดตามผลการดำเนินงาน รายงานคณะอนุกรรมการ และคณะกรรมการบริหารความเสี่ยง

– ในระดับสายงาน หรือฝ่ายงาน ไม่มีการมอบหมายให้มีการบริหารจัดการและการกำกับดูแลตามสายการบังคับบัญชา เพื่อรับผิดชอบด้านการบริหารความเสี่ยง และควบคุมภายในเป็นการเฉพาะ เพื่อมีหน้าที่ผลักดันงานด้านบริหารความเสี่ยง ให้เป็นไปตามทิศทางของแผนงานหลัก ในการบริหารความเสี่ยงระดับองค์กร

– ไม่ได้จัดทำกรอบ/มาตรฐานและถ่ายทอด สนับสนุน เครื่องมือ ข้อมูล หรือเทคนิค

– ไม่ได้มีการอบรมพัฒนา สร้างการรับรู้ ติดตามประเมินผลการดำเนินงานบริหารความเสี่ยง รวมถึงการรายงานผลการดำเนินงานให้ผู้ที่เกี่ยวข้องทราบ

3. การบริหารนโยบายและกลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงาน เพื่อให้การบริหารความเสี่ยงเป็นไปในระยะยาว หรือปลูกฝังอยู่ในองค์กร

– องค์กรไม่มีนโยบายและการปฏิบัติที่แสดงให้เห็นถึงการผลักดันให้มีการดำเนินงานบริหารความเสี่ยง เป็นไปในระยะยาว โดยการบรูณากระบวนการบริหารความเสี่ยงให้มีความสอดคล้องกับการบริหารงานหลักที่สำคัญ

– ไม่มีการแต่งตั้งเจ้าหน้าที่บริหารความเสี่ยงประจำสายงาน หรือฝ่ายงาน และไม่มีการมอบหมายให้เป็นบทบาทหน้าที่หลักให้กับผู้บริหารในแต่ละระดับ เพิ่มเติมจากการกำหนดงานที่ทำอยู่เป็นปกติ

4. องค์กรมีการบริหารความเสี่ยงแบบบูรณาการหรือไม่ โดยพิจารณาการบริหารความเสี่ยงทางด้านนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่าง ๆ ขององค์กร

– องค์กรไม่มีการบริหารความเสี่ยงที่พิจารณาถึงนโยบาย กลยุทธ์ เป้าหมาย แผนงาน/โครงการต่าง ๆ อย่างชัดเจน โดยเฉพาะการบริหารความเสี่ยงในระดับองค์กร เช่น ในการประชุมฯ คณะกรรมการไม่ได้แสดงความคิดเห็นเกี่ยวกับสถานการณ์ต่าง ๆ ที่อาจก่อให้เกิดผลกระทบต่อนโยบาย เป้าหมาย วิสัยทัศน์ พันธกิจ หรือแผนงาน/โครงการที่สำคัญขององค์กรเป็นประจำ เพื่อจัดให้มีการกำหนดมาตรการควบคุมความเสี่ยง หรือทบทวนมาตรการควบคุมที่มีอยู่ให้มีความเพียงพอและเหมาะสม

5. การพิจารณาว่าการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยง และผลกระทบที่มีต่อหน่วยงานต่าง ๆ ภายในองค์กร เช่น การบริหารผ่านต้นเหตุ และความสัมพันธ์ถึงผลกระทบที่ชัดเจน) โดยผ่านคณะกรรมการบริหารความเสี่ยงให้ความเห็นชอบ โดยในแผนการบริหารความเสี่ยงต้องแสดงให้เห็นถึงประโยชน์จาก Risk Map มากำหนดแผนการบริหารความเสี่ยงโดยรวมขององค์กร ตัวอย่างเช่น

– องค์กรไม่มีการจัดทำ Risk Map เพื่อใช้ประกอบการนำเสนอให้ผู้บริหารระดับสูง ตามโครงสร้างการบริหารความเสี่ยงและการควบคุมภายใน เพื่อการพิจารณาทบทวน การระบุ ประเมินความเสี่ยง รวมถึงเป้าหมายที่คาดหวังภายหลังการดำเนินการตามมาตรการควบคุมความเสี่ยงเพิ่มเติม

– องค์กรไม่ได้ใช้ Risk Map เป็นสื่ออีกรูปแบบหนึ่งในการสร้างความเข้าใจในการบริหารความเสี่ยงระดับองค์กร ซึ่งสามารถช่วยแสดงความสัมพันธ์ระหว่างปัจจัยเสี่ยงและผลกระทบซึ่งกันและกันของความเสี่ยงต่อเป้าประสงค์ต่าง ๆ ระดับองค์กร และระดับฝ่ายงาน เพื่อรับทราบภาพรวมของการบริหารความเสี่ยงได้อย่างสอดประสานกัน

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี โดยพิจารณาว่าฝ่ายบริหารได้จัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ IT Governance เช่น

– องค์กรไม่ได้มีการจัดโครงสร้างการบริหารจัดการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ที่ประกอบด้วยผู้บริหาร คณะกรรมการ ที่ปรึกษาและคณะทำงานสนับสนุน เข้ามาดำเนินการด้านเทคโนโลยีสารสนเทศ และการสื่อสาร และมีความสอดคล้องกับโครงสร้างขององค์กร

7. คณะกรรมการมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนด ในการสร้างมูลค่าเพิ่มทางด้านการเงิน และไม่ใช่ทางการเงิน เช่น การให้บริการที่รวดเร็วอย่าง One Stop Service เป็นต้น โดยพิจารณาว่า

– คณะกรรมการองค์กรมีส่วนในการพิจารณาอนุมัติกลยุทธ์ และแนวทางในการพัฒนาและการปรับปรุงการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรหรือไม่ โดยวิเคราะห์ความจำเป็นในการใช้ประโยชน์เทคโนโลยีสารสนเทศขององค์กร และได้บรรจุเป็นรายละเอียดของเรื่องดังกล่าวไว้ในแผนงาน/โครงการขององค์กร ประจำปี

8. คณะกรรมการตรวจสอบกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกัน ความเสียหาย การปรับปรุง และเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการ IT โดยพิจารณว่า

– คณะกรรมการตรวจสอบ มีการอนุมัติแผนการตรวจสอบประจำปี เพื่อทำการสอบทางการควบคุมทั่วไปทางด้านเทคโนโลยีสารสนเทศ และชี้แจงรายละเอียดให้ผู้เกี่ยวข้องได้ทราบถึงวัตถุประสงค์ ขอบเขต และแนวทางปฏิบัติ พร้อมรายละเอียดแผนการตรวจสอบประจำปี และได้ชี้แจงฝ่ายจัดการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อนำไปประยุกต์ใช้ในการดำเนินการด้านเทคโนโลยีสารสนเทศ หรือไม่

– คณะกรรมการตรวจสอบมีการกำกับดูแลและติดตามการจัดการกระบวนการป้องกัน ความเสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT (ITG) ในเรื่องของการเพิ่มประสิทธิภาพการปฏิบัติงาน และการใช้ประโยชน์จากระบบประมวลผลข้อมูลหรือไม่

9. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น และดีขึ้นจากอดีตทุกปัจจัยเสี่ยง โดยพิจารณาว่า

– ทุกปัจจัยเสี่ยงขององค์กร มีการระบุอย่างชัดเจนถึงระดับความรุนแรงของความเสี่ยง ทั้งก่อนและหลังการบริหารความเสี่ยง โดยที่ระดับความรุนแรงก่อนและหลักการบริหารความเสี่ยงแล้วนั้น องค์กรสามารถบริหารให้มีระดับความรุนแรงหลังจากการบริหารความเสี่ยงลดลง จากก่อนการบริหารความเสี่ยงหรือไม่

ขอให้ท่านลองประเมินตนเองในแง่มุมของการบริหารความเสี่ยง ที่เรียกว่า CSA – Control Self Assessment ว่าปัจจัยต่าง ๆ ตามที่กล่าวข้างต้นเพียงบางประการนั้น องค์กรของท่านได้ปฏิบัติอย่างมีคุณภาพเพียงใด และมีหลักฐานอะไรในการสนับสนุนการดำเนินการดังกล่าวที่เป็นรูปธรรม และพนักงานที่เกี่ยวข้องมีความเข้าใจในเรื่องดังกล่าวมากน้อยเพียงใด และมีการสื่อสารในเรื่องการบริหารความเสี่ยงทั่วทั้งองค์กรในมุมมองของ COSO – ERM ที่เชื่อมโยงกับ Risk IT และ IT Risk ที่มีผลกระทบต่อ Business Risk หรือไม่ เพราะโดยส่วนใหญ่แล้ว องค์กรโดยทั่วไป มักจะละเลยความเสี่ยงจาก IT Risk ที่มีผลกระทบต่อ Business Objective ในภาพโดยรวม ซึ่งประเด็นดังกล่าวนี้เป็นเรื่องสำคัญยิ่ง และน่าจะมีส่วนเกี่ยวข้องในการปรับปรุงยกระดับการบริหารความเสี่ยงที่ให้ครอบคลุม ด้าน Risk IT และ IT Risk ที่มีผลต่อ Business Risk และแน่นอนว่าจะต้องเกี่ยวข้องกับการควบคุมภายใน และการตรวจสอบภายใน ตามมุมมองของ Risk IT และ IT Risk ในอนาคตอันใกล้

ทั้งนี้เพราะ COSO – ERM ไม่ได้กล่าวถึงการบริหารความเสี่ยงในมุมมองของ Risk IT และ IT Risk ในปัจจุบันที่ชัดเจนนัก แต่ COSO – ERM ในมุมมองของเทคโนโลยีที่เกี่ยวข้องเป็นเรื่องน่าสนใจมาก ที่ผมจะได้นำมาเล่าสู่กันฟังเพื่อยกระดับการบริหารความเสี่ยงในมุมมองของ GRC ต่อไปนะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ประเทศของเราและองค์กรทุกแห่งจะต้องกำหนดระดับความเสียหายที่ยอมรับได้ (Risk Appetite) เพื่อการบริหารและการจัดการที่ดี

เมษายน 22, 2010

สังคมไทยกำลังเข้าขั้นวิกฎติ การป้องกันหรือการแก้ไขต้องค้นหาที่ต้นเหตุ(Root cause) และต้องไปจัดการที่นั่น อดีตที่ยังไม่ลงตัง นำมาสู่ปัจจุบันที่อาจไม่ลงตัว ก้าวต่อไปในอนาคตก็หาดุลยภาพและความพอดีไม่พบ จะเป็นวังวนที่น่ากลัวของสังคมไทยเป็นอย่างยิ่ง การกำหนดระดับความเสี่ยง หรือความเสียหายที่ประเทศไม่อาจยอมรับได้ หรือยอมรับได้ (Risk Appetite) เพื่อหากรอบและแนวทางที่เหมาะสม และยอมรับได้ในสังคมไทยโดยรวม ต้องมีกติกาที่สังคมไทยยอมรับได้จากความเชื่อที่ตรงกันหรือใกล้เคียงกัน เพื่อให้เกิดทัศนคติร่วม ก้าวไปสู่การพฤติกรรมและการกระทำตามกติกาของสังคม ที่มีการปฎิบัติที่เท่าเทียมกัน(Eqitable Treatment) เป็นก้าวสำคัญข้อหนึ่งของการเติบโตอย่างยั่งยืน

Sustainable Growth หรือการเติบโตอย่างยั่งยืน จะเป็นไปไม่ได้ ถ้าหากผู้บริหารขององค์กร หรือระดับประเทศ ไม่ได้กำหนดระดับความเสียหายที่ยอมรับได้ (Risk Appetite) หรือระดับความเบี่ยงเบนที่ยอมรับได้ (Risk Tolerance) อย่างเป็นรูปธรรม เพราะผลกระทบและแนวการบริหารในการบรรลุเป้าประสงค์ระดับองค์กร หรือแม้กระทั่งระดับประเทศจะมีแนวการจัดการที่แตกต่างกันเป็นอย่างมาก รวมทั้งการกำหนดกลยุทธ์ และแผนการปฏิบัติงานก็จะแตกต่างกันไปตามระดับความเสี่ยง ที่เป็นตัวเงินและไม่ใช่เป็นตัวเงิน เช่น ความเสียหายจากความไม่สงบภายในประเทศมีผลกระทบต่อการท่องเที่ยว การบิน เศรษฐกิจและการเงิน เป็นเงิน xxxxx ล้านบาท ที่พิจารณาว่าเป็นตัวเงิน และคำนวนเป็นตัวเงินได้ กับความเสียหายที่ไม่ใช่เป็นตัวเงิน ซึ่งหลาย ๆ กรณีมีความหมาย และมีความสำคัญมากยิ่งกว่าความเสียหายที่เป็นตัวเงินเป็นอย่างมาก เช่น ประเทศชาติขาดความไว้วางใจจากนักลงทุน และผู้มีผลประโยชน์ร่วมจากนานาประเทศ รวมทั้งในประเทศ ซึ่งจะมีผลต่อเนื่องนำความเสียหายมาสู่เป้าหมายในมุมมองต่าง ๆ ตามหลักการของ Business Balanced Scorecard ของธุรกิจ และเช่นเดียวกัน ในทุกมุมมองในระดับชาติอย่างประมาณค่าไม่ได้

ตามข่าวเมื่อเช้าวันก่อน แจ้งว่านักลงทุนจากญี่ปุ่น 2 ราย ชะลอการลงทุนซื้อที่ดิน เพื่อการลงทุนที่จังหวัดระยอง นอกจากนี้มีนักลงทุนจากต่างประเทศได้ขายที่ดินจากการนิคมอุตสาหกรรมแถวชานเมืองกรุงเทพฯ ไปแล้วหลายราย คงไม่ต้องพูดถึงนักลงทุนชาวต่างประเทศที่ตั้งใจจะมาลงทุนในอนาคตนะครับ เพราะว่าเมื่อประเทศไทยไม่ได้รับความน่าเชื่อถือในมุมมองต่าง ๆ โดยเฉพาะอย่างยิ่งความมั่นคงทางการเมือง และการพิจารณาในบางมุมมองของกฎหมาย ที่นักลงทุนต่างชาติไม่เข้าใจ เช่น กรณีมาบตาพุด เพราะ มาตรา 46 ตามรัฐธรรมนูญมิได้ดำเนินการโดยหน่วยงานภาครัฐ ในการกำหนดกฎเกณฑ์ เพื่อให้นักลงทุนปฏิบัติ ทางด้านสุขภาพและสิ่งแวดล้อม แล้วจะให้นักลงทุนต่างชาติปฏิบัติตามได้อย่างไร

แต่เมื่อมีการพิจารณาในมุมมองทางกฎหมาย นักลงทุนก็ปฏิเสธไม่ได้ว่า ตนเองได้ปฏิบัติตามกฎหมายที่เกี่ยวข้องที่กำหนดตามรัฐธรรมนูญแล้ว ดังนั้น ผู้ให้ความยุติธรรมจึงต้องตัดสินไปตามกฎหมายและกฎเกณฑ์เป็นสำคัญ ซึ่งสร้างปัญหาและความสับสนเป็นอย่างยิ่งให้กับนักลงทุน ทั้งชาวไทยและชาวต่างชาติ ซึ่งต้องใช้เวลาในการดำเนินการในเรื่องนี้อีกหลายเดือน

ในกรณีที่มีการเปลี่ยนแปลงรัฐธรรมนูญ และการเปลี่ยนแปลงทางการเมือง ก็จะทำให้นักลงทุนทั้งชาวไทยและชาวต่างประเทศ ต้องใจหายใจคว่ำกับการพิจารณาในเรื่องสุขอนามัยและสิ่งแวดล้อม ซึ่งอยู่ระหว่างการพิจารณาของทางการในปัจจุบันว่า จะแล้วเสร็จเมื่อใด หรือจะมีใครเป็นผู้ดูแลในความเป็นความตาย และความอยู่รอดของนักลงทุนเหล่านี้ได้

ผมขอสรุปเบื้องต้นสำหรับวันนี้ว่า ไม่ว่านักลงทุนหรือผู้บริหารในองค์กรใด และแน่นอนว่ารวมทั้งผู้บริหารระดับประเทศ หากใช้แนวทางการกำกับดูแลกิจการที่ดี ตามหลัก CG + ITG (IT Governance) และผสมผสานกับ Statement ใหม่ ที่เรียกว่า GRC (Governance + Risk Management + Compliance) ซึ่งเน้นเรื่องการบริหารแบบสอดประสาน และบูรณาการทั่วทั้งองค์กร หรือทั่วทั้งประเทศ ในการขับเคลื่อนพันธกิจระดับองค์กร และระดับประเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารระดับสูง และคณะกรรมการของทุกองค์กร และแน่นอนว่าควรจะต้องรวมผู้บริหารระดับประเทศ ที่ควรจะกำหนดความเสี่ยงในมุมมองต่าง ๆ ที่องค์กรหรือประเทศยอมรับได้ เช่น

– รัฐหรือประเทศยอมรับความสูญเสียจากนานาชาติ และประเทศในระดับใด จากเหตุการณ์ความไม่สงบในปัจจุบัน
– ประเทศเราควรจะยอมรับความสูญเสียด้านบุคลากรดังเหตุการณ์ที่เกิดขึ้นเมื่อวันที่ 10 เมษายน 2553 นี้เป็นจำนวนเท่าใด (ไม่ว่าบุคลากรนั้นจะเป็นฝ่ายใด)
– ภาพหรือเหตุการณ์จำลองต่าง ๆ ที่อาจเกิดขึ้นได้ เช่น เมื่อทางภาครัฐต้องดำเนินการอย่างเข้มงวดตามกฎหมาย โดยยึดหลัก 7 ขั้นตอนในการปฏิบัติการตามที่รัฐได้สื่อสารไปให้ทุกฝ่ายได้ทราบแล้วนั้น เป็นที่คาดคะเนได้ว่า รัฐน่าจะประสบความสำเร็จในการรักษากฎหมายได้ในที่สุด… อีกฝ่ายหนึ่งซึ่งอาจจะเรียกว่าเป็นฝ่ายที่พ่ายแพ้ หรือสู้ไม่ได้จะมีวิธีการเช่นใดที่อาจสร้างปัญหาให้กับรัฐได้มากเกินกว่าที่ประเทศน่าจะยอมรับได้… รัฐจะมีวิธีการเช่นใดในการแก้ปัญหาดังกล่าวนั้น +++

แนวคิดในลักษณะการมองเหตุการณ์ไปข้างหน้า และตั้งคำถามและคำตอบอย่างเป็นระบบ เป็นระเบียบและมีขั้นตอน รวมทั้งการกำหนดวิธีการดำเนินการที่เป็นรูปธรรมในแต่ละเหตุการณ์ หรือในแต่ละ Scenario ที่อาจเกิดขึ้น… จะขึ้นกับกลยุทธ์ที่เหมาะสม หากมีการกำหนดระดับความเสียหายที่ยอมรับได้ หรือยอมรับไม่ได้ ที่เป็นรูปธรรม ซึ่งแน่นอนว่าจะแตกต่างกันเป็นอย่างมาก และมีประสิทธิภาพและประสิทธิผลที่แตกต่างกันเป็นอย่างยิ่ง เมื่อเทียบกับการแก้ไขวิกฤตในลักษณะตามเหตุการณ์โดยเฉพาะหน้า… +++

ผมเองพยายามระมัดระวังเป็นอย่างยิ่ง ในการออกความเห็นในลักษณะเชิงวิชาการที่เป็นกลาง และเพื่อผลประโยชน์ของส่วนรวมอย่างแท้จริง แต่หากมีผู้ไม่เข้าใจในเจตนาดีนี้ ก็คงจะแปลหรือเชื่อในลักษณะที่เป็นตรงกันข้ามกับความปรารถนาดีนี้ ก็เป็นสิ่งที่น่าเสียใจเป็นอย่างยิ่ง

หากท่านผู้บริหารที่สนใจในเรื่องการบริหารความเสี่ยง ซึ่งเป็นการบริหารเชิงรุก โดยมองเหตุการณ์ไปทางข้างหน้า และพิจารณาแนวทางป้องกัน หรือจัดการอย่างเป็นระบบ ตามหลักการที่ผมได้เขียนเอาไว้ในการบริหารความเสี่ยงระดับองค์กร ตามหลักการ COSO – ERM ซึ่งเป็น Standard Framework และเป็นบทความหนึ่งของ http://www.itgthailand.com ก็คงพอเข้าใจนัยความหมาย และความสำคัญของการบริหารความเสี่ยง ซึ่งเป็นเครื่องมือสนับสนุนการกำกับดูแลกิจการที่ดี ตามหลักการ CG ที่เชื่อมกับ ITG และ GRC ที่จำเป็นอย่างยิ่งที่ผู้บริหารของทุกองค์กรและของทุกประเทศ จะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ ควบคู่กันไปเสมอกับหลักการของ CG ที่ได้กล่าวแล้วข้างต้นนะครับ

ส่วนรายละเอียดในทางปฏิบัติที่เป็นรูปธรรม หรือการนำไปใช้งานจริง จากหลักการดังกล่าวคงขึ้นกับความเชื่อในหลักการนี้ที่ได้มีการพิสูจน์กันแล้วทั่วโลก ซึ่งจะขึ้นกับ Responsibility ซึ่งหมายถึง การมีความรู้ความสามารถและประสบการณ์ในการปฏิบัติตามหน้าที่ที่ได้รับมอบหมาย และขึ้นกับ Accountability สำหรับผู้บริหารขององค์กร และของประเทศ ที่หมายถึง ความรับผิดและความรับชอบ ในการบริหารและการจัดการที่ตนเองเป็นผู้ดูแลอยู่ ถึงแม้จะไม่ได้เป็นผู้ปฏิบัติงาน เพราะเป็นผู้บริหารระดับสูงที่มีหน้าที่ใช้ดุลยพินิจ และสั่งการ ให้เป็นไปตามเป้าหมายและกลยุทธ์ในระดับองค์กร หรือในระดับประเทศ ตามที่แต่ละท่านมีหน้าที่และส่วนเกี่ยวข้องอยู่ ทั้งนี้เพื่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและนานาชาติตามหลักการบริหารและการจัดการที่ดีที่เป็นสากล

ครั้งต่อไปผมอาจจะยกตัวอย่างที่เป็นรายละเอียด เพื่อนำไปสู่การปฏิบัติที่มากขึ้น แต่ในขณะเดียวกันก็คงต้องบริหารความเสี่ยงของตนเอง ที่อาจมีผู้เข้าใจที่แตกต่างกันได้ เพราะมีความเชื่อที่เป็นต้นเหตุนำไปสู่ทัศนคติที่แตกต่างกัน และการปฏิบัติที่แตกต่างกัน ซึ่งเป็นวงจรที่เป็นความจริงและเป็นหลักสากลเช่นกัน…

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บางมุมมองของ CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง เพื่อการเติบโตอย่างยั่งยืน (ต่อ)

เมษายน 19, 2010

ในมุมมองของ Statement ใหม่ ที่ทั่วโลกใช้ในการบริหาร และการจัดการแบบหลอมรวมองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี แบบสอดประสานและบู
รณาการที่ใช้คำว่า GRC นั้น กำลังเป็นที่สนใจและพยายามนำไปปฏิบัติกันในองค์กรต่าง ๆ ทั่วโลก

แต่ในความเป็นจริง ผลการปฏิบัติที่จะก่อให้เกิดความเป็นรูปธรรมในมุมมองของ GRC เพื่อขับเคลื่อนองค์กรในลักษณะ Integrity – Driven Performance ที่เน้น PPT หรือ People + Process + Technology ซึ่งก็คือ การยกระดับการบริหารและการจัดการ Operational Risk ที่เชื่อมโยงกับหลักการ Governance (CG + ITG) ในองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง ทั้งด้านทั่วไปและทางด้าน IT (COSO – ERM + CobiT/ITIL) และเชื่อมโยงกับ Compliance หรือการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ จาก External Stakeholders และ Internal Stakeholders เป็นสำคัญนั้น ต้องการความเข้าใจอย่างลึกซึ้งของคณะกรรมการและผู้บริหารระดับสูง ที่จะสามารถถ่ายทอดมาสู่การปฏิบัติที่เป็นรูปธรรมอย่างแท้จริงได้

จากแผนภาพข้างต้น เป็นการสร้างความเข้าใจในภาพโดยรวมของผู้บริหารระดับสูง ที่ผมตั้งใจจะสื่อให้ทราบว่า องค์ประกอบของการกำกับดูแลกิจการที่ดี ตามหลัก CG นั้น มีปัจจัยใดบ้าง และแต่ละปัจจัยมีความสัมพันธ์กันอย่างไร แต่ในภาพนี้ ยังไม่มีการอธิบายการเชื่อมโยงระหว่าง CG กับ ITG ที่ชัดเจน ทั้งนี้เพราะ เป็นการสื่อและสร้างความเข้าใจในภาพใหญ่ ที่ยังไม่ได้ลงในรายละเอียดทั้ง CG และ ITG

โดยเฉพาะอย่างยิ่ง ยังไม่ได้อธิบาย CG ที่เกี่ยวพันกับ ITG ว่าเชื่อมโยงกับ GRC อย่างไรในขั้นตอนนี้ ทั้งนี้เพราะเป็นการอธิบายในมุมมองของ Bird Eye View สำหรับคณะกรรมการและผู้บริหารให้เข้าใจว่า ความสำเร็จของการเติบโตอย่างยั่งยืน ซึ่งเป็นหลักการบริหาร CG ที่สำคัญมากประการหนึ่งนั้น จะเกิดจากนโยบาย วัฒนธรรมขององค์กร กระบวนขั้นตอนการปฏิบัติงานที่ควรจะกำหนดออกมาให้ชัดเจน ในระดับคณะกรรมการ เพื่อให้เกิดการบริหารงานที่โปร่งใส ตรวจสอบได้ ซึ่งครอบคลุมถึง ความสัมพันธ์และบทบาทของผู้บริหารและของพนักงานทุกคนในองค์กร

ข้อความข้างต้น เป็นการเริ่มต้นที่จะกล่าวและอธิบายย่อ ๆ ของคำว่า Governance อีกครั้งหนึ่งเท่านั้นเองนะครับ และการเติบโตอย่างยั่งยืนจะเกิดขึ้นได้ก็ต่อเมื่อ คณะกรรมการและผู้บริหารระดับสูง และผู้ปฎิบัติทุกคนในองค์กร ควรจะได้เข้าใจถึง หลักการบริหารความเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายในมุมมองต่าง ๆ ตามหลัก Business Balaned Scorecard และ Information Balanced Scorecard หรือมีการกำหนด Risk Appetite และ Risk Tolerance ให้สัมพันธ์กับการบรรลุเป้าประสงค์ ทั้งทางด้านกลยุทธ์และการปฏิบัติงาน ที่สามารถวัดและประเมินผลได้อย่างชัดเจน

ที่ผมได้กล่าวในวรรคต้นหมายถึง Risk Management ซึ่งเป็นกลไกหรือเป็นเครื่องมือในการสนับสนุน Governance ให้บรรลุเป้าประสงค์ที่เป็นรูปธรรมได้ ถ้าหากขาดหลักการ Risk Management ซึ่งนิยมใช้ Framework ของ COSO – ERM แล้ว Governance ก็ไม่มีโอกาสที่จะประสบความสำเร็จตามที่ต้องการได้

ท่านผู้อ่านที่ได้อ่านมาถึงวรรค์นี้แล้ว และเมื่อเทียบกับแผนภาพ CG ข้างต้นจะได้นึกและจินตนาการ กระบวนการบริหารและจัดการ Governance ที่เชื่อมโยงกับ Risk Management ได้ในระดับหนึ่งนะครับ

เมื่อเรามีการบริหารและการจัดการเพื่อให้ได้ G – Governance โดยมี R – Risk Management เข้ามาเป็นเครื่องมือในการบริหาร Governance ให้สำเร็จข้างต้นแล้ว สิ่งที่องค์กรจะต้องปฏิบัติอย่างหลีกเลี่ยงไม่ได้อีกอย่างหนึ่งก็คือ การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ และการปฏิบัติตามนโยบายด้านสารสนเทศ และความมั่นคงปลอดภัยขององค์กรอย่างถูกต้อง ให้ได้มาตรฐานที่กำหนดไว้จาก Stakeholders ที่เกี่ยวข้องด้วย

จากแผนภาพข้างต้นที่เกี่ยวข้องกับ Corporate Governance ในมุมมองหนึ่งนั้น ท่านจะเข้าใจหลักการของ CG ได้ดีนะครับว่า CG จะเกิดขึ้นไม่ได้ หากขาดนโยบายที่ชัดเจน และ Tone at the top จากคณะกรรมการและผู้บริหารระดับสูง ที่ต้องมีความมุ่งมั่นหรือจิตวิญญาณ (Spiritual) ที่จะพาองค์กรมาสู่เป้าประสงค์หลักนี้ให้จงได้

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »