องค์รวมของการบริหาร CG + ITG & GRC และองค์ประกอบที่เกี่ยวข้อง (ต่อ)

มิถุนายน 18, 2010

เมื่อครั้งที่แล้ว ผมได้นำผู้อ่านไปสู่แนวคิดและความเข้าใจในบางมุมมองของความหมาย ของคำว่า GRC ซึ่งเป็นเรื่องของการบริหารในลักษณะ Consolidated – Single Framework โดยนำมาตรฐานเกี่ยวกับการบริหารที่ส่วนใหญ่ยังเป็น Silo Management ไปสู่การหลอมรวมของ Silo ต่าง ๆ ที่ได้มาตรฐานในกรอบที่จำกัด ในมุมมองต่าง ๆ เข้ามาสู่การจัดการในแบบ Integrity – Driven Performance ภายใต้ร่มใหญ่ที่ครอบคลุมอยู่ นั่นคือ Governance – Single Framework

ท่านผู้อ่านที่ติดตามเรื่อง CG ITG และก้าวสู่ GRC อาจจะสับสนในถ้อยคำที่ผมใช้แตกต่างกันไปตามที่กล่าวข้างต้น แต่ทั้งหมดนั้น เป็นคำอธิบายเพื่อสร้างความเข้าใจในมุมมองต่าง ๆ เพื่อการจัดการที่ดี และยกระดับการบริหารที่ต้องคำนึงถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องในการจัดการที่แยกกันไม่ได้ ระหว่าง IT และ Non – IT

ทั้งนี้เพราะ ในธุรกิจยุคใหม่ ทุกองค์กรไม่อาจหลีกเลี่ยงการใช้คอมพิวเตอร์ได้ และนับวันคอมพิวเตอร์จะมีบทบาทมากยิ่งขึ้นในการบริหารจัดการ ในทุกมุมมองของ Information Balance Scorecard และ Business Scorecard ซึ่งผมจะนำเสนอในรายละเอียดของหลักการ GRC ที่มีคุณลักษณะของการจัดการที่ไม่แตกต่างกันกับ CobiT 5.0 ซึ่งกำลังเป็นร่างที่ต้องการความเห็นจากท่านผู้อ่านทั่วโลกในปัจจุบัน และอาจสรุปได้ว่า ถนนทุกสายในการบริหารและการจัดการกำลังมุ่งสู่ Consolidated – Single Framework ตามที่ผมได้กล่าวข้างต้น

วันนี้ผมได้นำกลับมาสู่การทำความเข้าใจต่อจากครั้งก่อน ๆ ที่นำเสนอมุมมองขององค์ประกอบหลักที่เกี่ยวข้องกับ Corporate Governance – CG ซึ่งเป็นหลักเชื่อมโยงกับ ITG และก้าวสู่ GRC ต่อไป

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

มิถุนายน 13, 2010

ยังพอจำกันได้ใช่ไหมครับ ในเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ที่แบ่งออกได้เป็น 2 ลักษณะ ก็คือ การควบคุมภายในทั่วไป(General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งครั้งที่แล้วผมได้กล่าวถึงการควบคุมภายในทั่วไป (General Controls) คงพอจะทำให้ท่านผู้อ่านมองเห็นภาพกว้างของการควบคุมภายในทั่วไปได้ชัดเจนและเข้าใจยิ่งขึ้น

สำหรับวันนี้ผมจะขอพูดถึงการควบคุมภายในเฉพาะงาน หรือ Application Controls ซึ่งเป็นการควบคุมภายในอีกลักษณะหนึ่งจากที่ได้กล่าวถึงในข้างต้น

2. การควบคุมภายในเฉพาะงาน (Application Controls)
การควบคุมภายในเฉพาะงาน คือ การควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดินของข้อมูลเป็นแนวทางในการกำหนดขอบเขตการควบคุม ซึ่งส่วนใหญ่มี 6 ขั้นตอน ดังนี้

1) การควบคุมแหล่งกำเนิดรายการ ได้แก่
การควบคุมเกี่ยวกับงานจัดทำข้อมูลก่อนป้อนเข้าสู่ระบบคอมพิวเตอร์ ซึ่งส่วนใหญ่เป็นงานด้าน Manual และอาจมีบุคคลหลายฝ่ายเข้ามาเกี่ยวข้อง เริ่มตั้งแต่จุดเริ่มต้นของแหล่งกำเนิดรายการ การจัดทำเอกสาขั้นต้นประกอบรายการ การขอความเห็นชอบในการจัดทำรายการ การเตรียมข้อมูลนำเข้า การป้องกันข้อผิดพลาด การค้นหาข้อผิดพลาด และการแก้ไขข้อผิดพลาด

2) การควบคุมการทำรายการป้อนเข้าสู่ระบบงาน ได้แก่
การควบคุมการทำรายการป้อนเข้าสู่ระบบ ซึ่งอาจทำได้ 2 วิธี คือแบบ Remote Terminal Data Entry และแบบ Batch Data Entry โดยข้อมูลที่ป้อนเข้าสู่ระบบจะต้องถูกหลักเกณฑ์ในการทำรายการ นอกจากนี้ยังรวมถึงเรื่องที่เกี่ยวกับการกระทบยอดข้อมูลนำเข้าเพื่อพิสูจน์ความถูกต้อง การชี้แนะให้เห็นข้อผิดพลาดการทำรายการแก้ไขข้อผิดพลาด และการนำข้อมูลที่มีการแก้ไขข้อผิดพลาดป้อนเข้าสู่ระบบใหม่อีกครั้ง

3) การควบคุมการสื่อสารข้อมูล
เป็นการควบคุมข้อมูลและข่าวสาร ที่ผ่านระบบสื่อสารให้มีความถูกต้องและครบถ้วน ซึ่งจะต้องคำนึงถึง Hardware และ Software ที่ใช้ในการสื่อสารข้อมูลการมอบอำนาจ

4) การควบคุมการประมวลผลด้วยคอมพิวเตอร์ ได้แก่
การควบคุมการประมวลผลข้อมูลให้มีความแม่นยำ ถูกต้อง และครบถ้วนเป็นไปตามหลักเกณฑ์การใช้แฟ้มข้อมูล การชี้แนะให้เห็นข้อผิดพลาด และการรายงาน

5) การควบคุมการจัดเก็บข้อมูลไว้ในระบบ และการนำข้อมูลที่เก็บไว้ในระบบไปใช้งาน
เป็นการควบคุมที่เกี่ยวกับแฟ้มข้อมูล การตัดตอนข้อมูลเพื่อจัดเก็บหรือเลิกเก็บไว้ในแฟ้มข้อมูล การกำหนดสิทธิการใช้ข้อมูล การรักษาความปลอดภัย การแก้ไขข้อผิดพลาด การตระเตรียมแฟ้มข้อมูลชุดสำรอง ไว้ใช้ทดแทนการแก้ไขสถานการณ์ที่เลวร้ายให้กลับคืนสู่สภาพปกติ และการกำหนดอายุการจัดเก็บแฟ้มข้อมูล

6) การควบคุมผลลัพธ์ ได้แก่
การกระทบยอดข้อมูลนำเข้าและผลลัพธ์ เพื่อพิสูจน์ความถูกต้องด้วยระบบ Manual ซึ่งเป็นหน้าที่โดยตรงของหน่วยงานควบคุมคุณภาพข้อมูล และหน่วยงานผู้ใช้ข้อมูล การจัดส่งข้อมูลจากศูนย์คอมพิวเตอร์ให้หน่วยงานอื่น ความปลอดภัยในการจัดเก็บเอกสารสำคัญในศูนย์คอมพิวเตอร์และหน่วยงานผู้ใช้ข้อมูล และการกำหนดอายุการจัดเก็บข้อมูลที่ได้จากการประมวลผล

ขอทิ้งท้ายสำหรับวันนี้ด้วยแผนภาพ แนวทางในการกำหนดขอบเขตการควบคุมภายในเฉพาะด้าน และในครั้งหน้าผมจะมาเล่าถึงการจัดทำรายงานการตรวจสอบ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป (ต่อ)

มิถุนายน 9, 2010

ในการวางแผนงาน/โครงการต่าง ๆ แน่นอนว่าองค์กรที่มีการจัดทำแผนงานก็เพื่อให้เป็นไปตามเป้าหมาย และคาดหวังว่าแผนงานหรือโครงการนั้นจะประสบความสำเร็จตามที่ได้กำหนดไว้ วันนี้ผมจะกล่าวถึงปัจจัยที่เกี่ยวข้องบางประการในการบริหารจัดการความเสี่ยง ที่ทำให้การวางแผนงาน/โครงการประสบความสำเร็จและเป็นไปตามเป้าประสงค์ของหน่วยงาน/องค์กร

ความสำเร็จของแผนงาน/โครงการขององค์กรทั่วไป และปัจจัยที่เกี่ยวข้อง
1. มีการกำหนดหน้าที่ ความรับผิดชอบการทำงานที่ชัดเจน
2. มีการมอบหมายหน้าที่ที่เหมาะสมกับบุคคลที่เข้ารับผิดชอบ
3. ผู้ปฏิบัติงานมีความรับผิดชอบต่องานที่ได้รับมอบหมาย
4. มีการจัดทำแผนงาน/โครงการ
5. เมื่อโครงการเกิดปัญหาให้มีการจัดทำรายงานด่วน
6. มีรายงานสถานภาพของแผนงาน/โครงการ เช่น รายงานประจำเดือน
7. มีระบบควบคุมการเปลี่ยนแปลงที่แน่ชัด
8. มีการบันทึกแผนงาน/โครงการที่เกิดขึ้นเป็นเอกสาร
9. ประเมินผลดำเนินการหลังจากที่ทำโครงการเสร็จสิ้น

การจัดองค์กรและการสรรหาบุคลากรจากแต่ละหน่วยงานทั้งภายในและภายนอกเข้ามาเสริมแผนงาน/โครงการ และกำหนดหน้าที่ ความรับผิดชอบของแต่ละส่วนให้ชัดเจน เป็นส่วนสำคัญที่จะทำให้แผนงานและโครงการประสบความสำเร็จได้สูง

หน้าที่และความรับผิดชอบของคณะผู้บริหารโครงการ
1. กำหนดผู้ทำหน้าที่หัวหน้าแผนงาน/โครงการและคณะทำงานที่เกี่ยวข้อง
1. กำหนดวัตถุประสงค์ ขอบข่ายงาน กลยุทธ์ และนโยบาย
2. กำหนดเงื่อนไขไปสู่ความสำเร็จของแผนงานและโครงการ
3. การอนุมัติแผนงานที่มีแผนปฏิบัติการและการบริหารความเสี่ยงที่ชัดเจน
4. ติดตามและทบทวนความคืบหน้าของแผนงาน/โครงการ
5. ให้การสนับสนุน หรือขออนุมัติจากฝ่ายบริหารในเรื่องที่เกินกว่าขอบเขตอำนาจ
6. แก้ข้อขัดแย้ง หรือปัญหาสำคัญ
7. ทบทวนหรืออนุมัติการเปลี่ยนแปลงที่สำคัญ
8. อนุมัติเรื่องที่ผู้บริหารแผนงานหรือคณะทำงานได้เสนอมา หรือให้นำไปทบทวนใหม่
9. เสนอรายงานของแผนงานและโครงการให้ฝ่ายบริหาร/คณะกรรมการบริหารอนุมัติ

การกำหนดเวลาของแผนงานและโครงการ
การกำหนดเวลาของงานที่เร่งรัด ทำให้ผู้ปฏิบัติต้องทำงานให้เสร็จตามกำหนดเวลา ทำให้ขาดความรอบคอบและเกิดความผิดพลาด มีผลกระทบต่อคุณภาพของงาน เกิดผลเสียในระยะยาวเพราะมีระบบงานที่ขาดคุณภาพ การกำหนดเวลาของโครงการเป็นเรื่องสำคัญที่ผู้บริหารโครงการ ต้องวางแผนและประมาณการให้เป็นไปตามเงื่อนไข วัตถุประสงค์ ตามเป้าหมายที่ต้องการ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เทคโนโลยีการบัญชี เครื่องมือทางการเงินกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส (ต่อ)

มิถุนายน 4, 2010

ต่อไปนี้คือตัวอย่าง และการไขปริศนาว่า ทำไม บริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย เพื่อใช้เป็น Lesson – Learned หรือกรณีศึกษาที่ดีสำหรับคณะกรรมการ ผู้บริหาร ผู้ตรวจสอบ และผู้กำกับหน่วยงานที่เกี่ยวข้องกับการเงินต่าง ๆ โดยเฉพาะอย่างยิ่ง การวิเคราะห์ความเสี่ยง และผลกระทบที่เกิดจากการบิดเบือนข้อมูลทางการเงิน รวมทั้งผลกระทบจาก Risk IT และ IT Risk ที่มีผลต่อ Business Risk ที่ผู้บริหารทุกระดับ และผู้ปฏิบัติควรเข้าใจและตระหนักถึงภัยจากกระบวนการจัดการเทคโนโลยีสารสนเทศที่มีปัญหา..

ขอให้ท่านผู้อ่านที่สนใจติดตามเรื่องนี้ได้อ่าน และใช้ดุลยพินิจในการวิเคราะห์ถึงความเสี่ยงตามที่ได้กล่าวข้างต้น เมื่อเทียบกับความเข้าใจที่ท่านมีอยู่ต่อ Technology Risk และ Process Risk ที่มีผลต่อ People Risk ซึ่งโดยรวม ๆ เรียกกันว่า Operational Risk ว่าท่านได้สนใจมุมมองที่จะกล่าวต่อไปนี้เมื่อเทียบกับกรณี การทุจริต ประมาณ 6 แสนล้านบาท เมื่อต้นปี 2551 ของธนาคาร Soc Gen ซึ่งเป็นธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ก็มีสาเหตุจากการตบแต่งข้อมูล และการบิดเบือนข้อมูล ที่ทำให้ผู้อ่านงบการเงิน และผู้วิเคราะห์งบการเงิน ที่เป็น Stakeholders ไม่อาจติดตามข้อเท็จจริงได้ จนกระทั่งความเสียหายครั้งมโหฬารได้เกิดขึ้นแล้ว

สาเหตุก็เกิดจากการใช้ความรู้ทางด้านเทคโนโลยีสารสนเทศไปบิดเบือนข้อมูลทางการเงิน และการบัญชี การรายงาน รวมทั้งการตรวจสอบที่ทำให้ผู้ที่เกี่ยวข้อง หรือมีความรู้ไม่เท่าทันกับผลกระทบจาก Technology Risk หรือ Risk IT และ IT Risk ต่อ Business Risk นั่นเอง

ท่านได้ศึกษากรณี Soc Gen และได้นำไปลดช่องว่างที่สถาบันการเงินของท่าน อาจมีจุดอ่อนจากกระบวนการทำงาน และระบบงานประมาณ 20 กิจกรรมของความเสี่ยงแล้วหรือยังครับ

สำหรับกรณีของบริษัท เลห์แมน บราเธอร์ส มีรายละเอียดจากการตรวจสอบ ปรากฏในรายงานของ นายแอนตัน วาลูกัส ผู้ตรวจสอบ ซึ่งได้รับคำแต่งตั้งจากศาลล้มละลาย ประเทศสหรัฐอเมริกา ให้ตรวจสอบพฤติกรรมที่ทำให้บริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย ดังนี้…

รายงานได้มีการเผยแพร่ผลการตรวจสอบการล้มละลายของ เลห์แมน บราเธอร์ส อดีตวาณิชธนกิจแถวหน้าของสหรัฐอเมริกา ซึ่งเรื่องนี้จะเกี่ยวข้องกับการใช้เทคโนโลยีทางการเงิน การบัญชี และเทคโนโลยีทางคอมพิวเตอร์ ผสมผสานกัน เพื่อตบแต่งงบการเงินให้บิดเบือนไปจากความเป็นจริง

รายงานการตรวจสอบมีความหนาประมาณ 2,200 หน้า โดยผู้ตรวจสอบและทีมงานของแอนตัน วาลูกัส ได้เปิดเผยถึงกรณี บริษัท เลห์แมน บราเธอร์ส เผชิญกับภาวะล้มละลาย เมื่อวันที่ 15 กันยายน 2551 จากพฤติกรรมที่น่าชวนสนเท่ห์ มีชื่อเรียกที่รับรู้กันเป็นการภายในว่า เรโป 105 (Repo 105) ได้ถูกตีแผ่ออกมา โดยกินเนื้อที่ในรายงานมากถึง 328

อะไรคือ เรโป 105 ที่ใช้ในการตบแต่งข้อมูลทางการบัญชี และการเงิน
ในเอกสารของนายวาลูกัสระบุว่า เลห์แมนฯ ใช้เครื่องมือที่เกี่ยวข้องกับเทคโนโลยี่ตบแต่งรายการบัญชีนอกงบดุล รู้จักกันภายในบริษัทว่า ธุรกรรม “เรโป 105” และ “เรโป 108” ซึ่งเป็นการโยกย้ายตราสารจำนวนหนึ่งออกไปจากงบดุลบัญชีชั่วคราว โดยปกติจะกินระยะเวลา ประมาณ 7 – 10 วัน และเครื่องมือดังกล่าวได้ถูกนำมาใช้เพื่อสร้างภาพที่ทำให้เข้าใจผิด ๆ เกี่ยวกับฐานะการเงินของบริษัท ในช่วงปลายปี 2550 และ 2551

โดยสรุป ข้อตกลงของ “เรโป” เป็นกลวิธีทางบัญชีที่ เลห์แมน บราเธอร์ส นำมาใช้ในรูปของข้อตกลงซื้อคืน เพื่อเปิดช่องให้สามารถแลกเปลี่ยนสินทรัพย์เป็นเงินสดได้ชั่วคราว โดยวางโครงสร้างให้เหมือนเป็นการขาย เพื่อให้ดูเหมือนว่าความเสี่ยงจากการก่อหนี้ดังกล่าวได้หมดไปจากงบดุลและบัญชีของบริษัท

จริง ๆ แล้ว เลห์แมน บราเธอร์ส เริ่มใช้เครื่องมือนี้มาตั้งแต่ปี 2544 แต่เพิ่งมาใช้บ่อยครั้งในช่วยสิ้นปี 2550 และ จำนวนการใช้ธุรกรรมเรโป 105 มีปริมาณมากที่สุดในช่วงไตรมาส 2 ของปี 2551 เพื่อช่วยผ่องถ่ายสินทรัพย์มูลค่าประมาณ 5 หมื่นล้านดอลลาร์ออกไปจากงบดุลบัญชีของบริษัทเป็นการชั่วคราว

กรณีศึกษานี้ยังมีรายละเอียดอีกพอสมควร ขอได้โปรดติดตามตอนต่อไปนะครับ

1 ความเห็น | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเห็นของ ดร. วรเจตน์ ภาคีรัตน์ กับรัฐธรรมนูญ คดียึดทรัพย์ฯ กับข้อคิดเพื่อการวิเคราะห์ฯ (ต่อ)

มิถุนายน 1, 2010

จากการสัมภาษณ์ต่อผู้สื่อข่าวของ ดร. วรเจตน์ ภาคีรัตน์ ในครั้งที่แล้ว ที่ผมได้นำมาจาก หนังสือพิมพ์ประชาชาติธุรกิจ ฉบับวันจันทร์ที่ 22 – วันพุธที่ 24 มีนาคม 2553 ให้ท่านผู้อ่านร่วมด้วยช่วยกันคิด เพื่อให้เกิดสังคมแห่งการเรียนรู้ในต่างมุมมองที่เป็นเรื่องสร้างสรร ที่อาจก่อให้เกิดคุณค่าของการมองต่างมุมโดยรวมที่เป็นวัตถุประสงค์หลักของ http://www.itgthailand.com ซึ่งได้นำข้อความทั้งหมดตามที่ได้กล่าวข้างต้นมาให้ท่านผู้อ่านได้ใช้ดุลยพินิจในมุมมองต่าง ๆ โดยไม่ได้ตัดทอนเพื่อการศึกษา และการพัฒนาแนวความคิดตามหัวข้อเรื่องข้างต้น ทั้งนี้ ขอให้ผู้อ่านใช้วิจารณญาณจากการอ่านบทสัมภาษณ์ดังต่อไปนี้ซึ่งเป็นตอนจบนะครับ

อาจารย์จะภูมิใจหรือเสียใจ ถ้าบทวิเคราะห์ 32 หน้าของอาจารย์ปรากฎอยู่ในคำอุทธรณ์ของคุณทักษิณ? (ถามโดยผู้สื่อข่าว)

ไม่เป็นปัญหาของผมเลย… ไม่เกี่ยวอะไรกับผม ผมไม่ได้ยุ่งกับคดีนี้ตั้งแต่แรก ไม่เคยเกี่ยวข้อง เหมือนกับเรื่องอื่น ๆ ที่ผมทำให้กับสังคม

ความมุ่งหมายของผมมีอย่างเดียวคือ ผมต้องการให้สังคมเห็นอีกมุมหนึ่ง ซึ่งไม่มีการพูดกัน เอาความรู้มาเถียงกัน ผมไม่อยากให้สังคมถูกพัดพาไปโดยกระแสในด้านเดียวเท่านั้นเอง และผมคิดว่าความจริงคือความจริง ความรู้คือความรู้ ไม่อยากให้ใช้ความเชื่อ ไม่อยากให้ใช้อคติมาก เพราะใช้มาเยอะแล้ว ซึ่งผมพูดในเชิงกฎหมาย ไม่ได้สนับสนุนความชอบธรรมอะไรให้คุณทักษิณ

เพราะเรื่องทางการเมืองต้องประเมินอีกอย่างหนึ่ง มีเกณฑ์อีกแบบหนึ่ง เป็นคนละเกณฑ์กัน แต่นี่เรากำลังจะเอา 2 เกณฑ์มาเป็นเรื่องเดียวกัน

ไม่ใช่เรื่องที่ผมภูมิใจหรือไม่ภูมิใจ และมีคนถามว่า นี่ผมช่วยคุณทักษิณหรือ? แล้วผมเกี่ยวอะไรกับคุณทักษิณ ผมขอบอกว่า ถ้าจะดูช่วยไปดูที่เนื้อหา สังเกตไหมว่าแถลงการณ์เที่ยวนี้ เราพูดเรื่องรัฐประหารน้อยนะ ทั้งที่เป็นประเด็นใหญ่สุด เพราะเป็นต้นสายของทุกอย่างที่ตามมันควรจะใช้ไม่ได้โดยนัย แต่ที่พูดตรงนี้น้อยเพราะเราต้องการให้ดูเรื่องเนื้อหา เพราะมีการพูดกันว่า อย่าไปเถียงเรื่องรัฐประหารและเอาเป็นว่า ถ้าเข้าสู่ระบบปกติมันผิดไหม คุณลืมเรื่องรัฐประหารไปเลยก็ได้ ผมไม่อยากให้ทุกคนคิดว่าเป็นเรื่องเทคนิค คิดว่ายุ่งยากซับซ้อนแล้วเชื่อ ๆ ตาม ๆ กันไป

ในตอนที่ทักษิณมีอำนาจก็อาจสั่งการโดยไม่ปรากฎหลักฐาน เป็นสิ่งที่อธิบายไม่ได้ เพราะทุกอย่างถูกควบคุมโดยทักษิณที่วางคนของตัวเองเอาไว้หมด แล้วอาจารย์อาจจะมองไม่เห็น?

ผมคิดว่าความคิดแบบนี้อันตราย ถ้าเราใช้ “ความเชื่อ” ลงโทษคน จะเกิดอะไรขึ้น เช่น เชื่อว่าคนขี้ยาฆ่าข่มขืนผู้หญิงคนหนึ่ง แต่ความจริงเขาอาจจะไม่ได้ทำ แต่คนเชื่อว่ามันฆ่าข่มขืนก็ให้ประหารชีวิตมันไป

ผมเชื่อในมุมนี้ ไม่ได้ไปสร้างความชอบธรรมให้คุณทักษิณ แต่อยากจะบอกแบบนี้ว่า ภายใต้การต่อสู้ทางการเมืองที่มีกลุ่มผลประโยชน์ทางการเมืองจำนวนมากเข้าร่วมวงต่อสู้ กลุ่มผลประโยชน์ทุกกลุ่มต่างต้องการช่วงชิงชัยชนะให้กับตัวเอง ซึ่งทำได้หลายวิธี เช่น การโฆษณาชวนเชื่อ การให้ข้อมูลด้านเดียว ต่าง ๆ เหล่านี้ทำกันมา คนคนหนึ่งอาจจะทำ 5 เปอร์เซ็นต์ แต่ผลของการโฆษณาชวนเชื่อ อาจจะทำให้คนเชื่อว่าไอ้หมอนี่ทำ 90 เปอร์เซ็นต์ แต่ความเชื่อนั้นใช้ไม่ได้ในทางกฎหมาย

ถ้าคุณจะเชื่ออย่างไรนั้นค่อยไปว่ากันทางการเมือง ถ้าคุณอยากจะยึดทรัพย์คุณทักษิณ คุณรัฐประหารล้มเขาแล้ว คุณออกประการยึดไปเลย แล้วจะเอาหลักฐานอะไรก็ทำไป ส่วนในอนาคต ถ้าคุณจะนิรโทษกรรมอะไรก็เป็นเรื่องในอนาคตข้างหน้า แต่ถ้าจะใช้กระบวนการทางกฎหมายก็ต้องเป็นเหตุผล

ผมกำลังจะบอกว่า เรากำลังเอา 2 เรื่องมาปนกัน เพราะการรัฐประหารมันเป็นเรื่องอำนาจ เป็นเรื่องปืน รถถัง มันเถื่อน เพราะมันไม่จำเป็นต้องให้เหตุผล แต่กระบวนการยุติธรรม กระบวนการตามกฎหมาย มันใช้เหตุผล มันมีหลัก ใช้ความเชื่อไม่ได้ ถ้าไม่อย่างงั้นก็ไม่ต้องเรียน ไม่อย่างงั้นผมก็ไปเรียนวิชายิงปืนสิ ผมจะมาเรียนกฎหมายทำไม และถ้าผมเชื่อว่าใครทำผิดผมก็ยิงมันเลย ถ้ามันชั่วนัก

ผมจะบอกว่าทั้ง 2 อย่างนี้ มันเหมือนน้ำกับน้ำมัน มันไปด้วยกันไม่ได้ และถ้าเอามาผสมกันมันจะสร้างความเสื่อมให้กับตัวระบบที่เราสร้างขึ้น เพราะฉะนั้นถ้าคุณจะทำอะไร คุณก็ทำไปสิ ตั้งแต่ตอนที่คุณมีปืน แล้วคุณก็ยอมรับว่ามันเป็นความเถื่อน ยอมรับว่า ทำด้วยความหวังดี เพราะว่าไอ้ระบบธรรมดามันใช้ไม่ได้ คุณก็ให้เหตุผลไป ผมจะเชื่อหรือไม่เชื่อมันเป็นเรื่องของผม แต่เมื่อเข้าสู่กลไกทางกฎหมาย เกิดระบบรัฐธรรมนูญ คุณต้องทำตามหลัก จะเอาความเชื่อมาใช้ไม่ได้ แล้วคุณรู้ได้ยังไงว่าที่เราเชื่อนั้นเป็นความเชื่อที่ถูก นี่เราอยู่ในยุคของการพิสูจน์นะครับ

ท่านผู้อ่านได้ติดตามบทสัมภาษณ์ในหนังสือพิมพ์ 2 ตอนจบของ ดร. วรเจตน์ ภาคีรัตน์ ท่านคงมีความเห็นที่อาจจะแตกต่างกัน ตามมุมมองของประสบการณ์และพื้นฐานที่แต่ละท่านมีอยู่ ซึ่งพิจารณาได้ว่าเป็นเรื่องปกติ อย่างไรก็ดี ดุลยพินิจของผู้ให้ความยุติธรรมขึ้นอยู่กับคณะผู้ตัดสินนั้นเราต้องเคารพเพราะเป็นกติกาของสังคมครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวคิดและความเข้าใจเกี่ยวกับ GRC ในมุมมองต่างๆ

พ.ค. 28, 2010

ครั้งก่อน ๆ ผมได้พูดถึงบางมุมมองของการก้าวไปสู่ CG หรือการกำกับดูแลกิจการที่ดีที่อธิบายโดยแผนภาพ เพื่อให้เห็นองค์ประกอบที่เกี่ยวข้องในการก้าวสู่การเติบโตอย่างยั่งยืน (Sustainable Growth) มาหลายครั้งแล้ว แต่ก็ยังไม่จบนะครับ เกรงว่าท่านผู้อ่านจะเบื่อในแนวทางการนำเสนอโดยใช้แผนภาพ ซึ่งความจริงเป็นเรื่องสำคัญอย่างยิ่งในหลักการบริหาร CG ที่มีผู้บริหารหลายท่านยังมีมุมมองที่แตกต่างกันไป ก่อนที่จะก้าวไปสู่การบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการของ COSO – ERM + การควบคุมภายในและการตรวจสอบภายใน และการติดตามผล

วันนี้ผมจะหักมุมในแนวการเสนอจากกรอบของ CG ที่เป็นแผนภาพมาสู่การอธิบาย GRC ที่เกี่ยวข้องกับ CG และ ITG ก่อนจะกลับไปสู่เรื่องของ CG ในลักษณะของแผนภาพต่อไป เนื่องจาก GRC ในปัจจุบันมีผู้สนใจเป็นจำนวนมาก และมีหลายท่านให้ข้อสังเกตว่า ยังเข้าใจในเรื่องความหมายของ GRC ที่แตกต่างกัน ซึ่งนำไปสู่การปฏิบัติที่เป็นรูปธรรมไม่ได้ง่ายนัก ผมจึงขออธิบาย GRC เพิ่มเติม จากที่เคยอธิบายสั้น ๆ มาแล้ว ดังนี้

GRC มีความหมายในแต่ละคำที่เกิดจาก G + R + C ที่ส่วนใหญ่เราเข้าใจตรงกันแล้วนะครับ แต่ความหมายโดยรวม ซึ่งนำทั้ง 3 คำมารวมกัน มีนัยและความหมาย แนวความคิด แนวการปฏิบัติ แนวการควบคุม และแนวการตรวจสอบ รวมทั้งการติดตามผลที่แตกต่างกันเป็นอย่างมาก ก่อนที่จะอธิบายในรายละเอียดของ GRC ในความหมายใหม่ตามที่กล่าวข้างต้น ซึ่งจะมีนัยทาง Integreted GRC มากกว่า G + R + C ที่มีลักษณะและแนวความคิดแบบ SILO หรือแยกความคิด ความเข้าใจ และการปฏิบัติออกเป็นส่วน ๆ ตาม G + R + C ดังเดิม โดย:

GRC เป็น
– ทิศทางใหม่สำหรับผู้บริหารระดับสูงทุกคน มิใช่ CIO หรือผู้บริหารระบบสารสนเทศ
– C-Levels ทุกคนจำเป็นต้องร่วมแรงร่วมใจในการผลักดันแนวความคิด GRC ให้เป็นผลการปฏิบัติงานจริง
– Leadership/ผู้นำ ที่มี Competencies ที่แท้จริง เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ
– องค์กรต้องมี นโยบาย + กลยุทธ์ รวมทั้งแผนงานในการใช้หรือบริหารทรัพยาการ ตามแนวคิด GRC
– Standard & Best Practice & เทคโนโลยีจำเป็นต้องนำมาใช้เพื่อให้เกิด Integrated – Driven Pefermance
– การหลอมรวมการบริหารในมุมมองของ GRC ทั้ง G + R + C ต้องเกิด Intergrated G + R + C ทั้งธุรกิจ (Holistic Framework) จะสามารถสร้าง
คุณค่าเพิ่ม และยกระดับการแข่งขันให้กับองค์กร + ระดับชาติได้อย่างสำคัญ

ยังมีตอนต่อไปเกี่ยวข้องกับเรื่องความเข้าใจในมุมมองต่าง ๆ ของ GRC, Integrated GRC วัตถุประสงค์และประโยชน์ของ GRC ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

พ.ค. 24, 2010

วันนี้เราจะมาพูดคุยกันต่อในเรื่องของขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อ ๆ ซึ่งครั้งที่แล้วผมได้กล่าวถึงหลักการสอบทานของการควบคุมภายในที่มีความสำคัญและจำเป็นต่อกระบวนการตรวจสอบ IT ที่ผู้ตรวจสอบ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย IT ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุม และที่ผมจะพูดถึงในวันนี้จะเป็นเรื่องของการควบคุมภายในด้านคอมพิวเตอร์ ซึ่งจะแบ่งออกได้เป็น 2 ลักษณะ คือ การควบคุมภายในทั่วไป (General Controls) และการควบคุมภายในเฉพาะงาน (Application Controls) ซึ่งมีความสัมพันธ์กับองค์ประกอบที่สำคัญในการประมวลผลข้อมูล คือการดำเนินงานของศูนย์คอมพิวเตอร์ การพัฒนาระบบงาน และระบบงานและโปรแกรมที่ใช้เฉพาะงาน ดังรูป

1. การควบคุมภายในทั่วไป (General Controls)
การควบคุมภายในทั่วไป เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของหน่วยงานคอมพิวเตอร์

1.1. การควบคุมการดำเนินงานของศูนย์คอมพิวเตอร์
การควบคุมศูนย์คอมพิวเตอร์ เป็นการควบคุมเกี่ยวกับเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์และพนักงานด้านปฏิบัติการของศูนย์คอมพิวเตอร์ มีขอบเขตดังนี้

1) การจัดตารางปฏิบัติงาน การควบคุมข้อมูลนำเข้า และการควบคุมข้อมูลที่ได้จากการประมวลผล ได้แก่ การจัดตารางกำหนดเวลาปฏิบัติงาน การควบคุมการปฏิบัติงานข้อมูลที่นำเข้าประมวลผลและการควบคุมการใช้ข้อมูล เพื่อให้การจัดทำข้อมูลขั้นตอนต่อเนื่องแล้วเสร็จทันเวลา มีความถูกต้องครบถ้วนทุกรายการ และป้องกันข้อมูลที่เป็นความลับรั่วไหลไปสู่ภายนอก

2) การควบคุมการจัดเก็บแฟ้มข้อมูลและโปรแกรม เช่น เทป และจานแม่เหล็ก เป็นต้น ให้ปลอดภัยและเพียงพอในการประมวลผล

3) การรายงานเหตุขัดข้องและการซ่อมบำรุงเพื่อป้องกันความเสียหาย จะช่วยให้ทราบถึงสภาพของเครื่องจักรและโปรแกรมจัดระบบการทำงานของเครื่องคอมพิวเตอร์ และการดำเนินการให้เครื่องจักรและโปรแกรมดังกล่าวอยู่ในสภาพสมบูรณ์ สามารถตรวจสอบข้อผิดพลาดหรือบกพร่องในระบบด้วยตนเอง ซึ่งอาจตรวจไม่พบ หากมีส่วนประกอบชำรุดเสียหายซุกซ่อนอยู่ ไม่ปรากฏอาการที่เห็นได้ชัดเจน

4) การควบคุมสภาพแวดล้อมและการรักษาความปลอดภัยทรัพย์สินของศูนย์คอมพิวเตอร์ ได้แก่ การควบคุมการใช้ทรัพย์สิน การป้องกันทรัพย์สินเสียหายและการจัดเตรียมระบบสำรอง ไว้ให้ทดแทน

5) การแบ่งแยกหน้าที่ ได้แก่ การแบ่งแยกหน้าที่ในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลเพื่อให้การปฏิบัติงานไม่ซ้ำซ้อนกัน และป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลเนื่องจากมีการปฏิบัติไม่ชอบ

6) การกำกับ ได้แก่ การควบคุมดูแลให้มีการปฏิบัติตามระเบียบหรือหน้าที่อย่างเคร่งครัด หากมีการปฏิบัติที่ผิดแตกต่างจากระเบียบแผนที่เคยถือปฏิบัติ จะต้องมีเอกสารหลักฐานรายงานให้ทราบทุกครั้ง

7) การวางแผนทรัพยากร เป็นการวางแผนและประเมินสถานะของทรัพยากรในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลทั้งปัจจุบันและอนาคต เพื่อให้มีทรัพยากรเพียงพอต่อการดำเนินงาน ทรัพยากรเหล่านี้ได้แก่ เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ โปรแกรมและบุคลากร

8) การคำนวณค่าบริการคอมพิวเตอร์จากผู้ใช้ข้อมูล เป็นการคำนวณเพื่อประโยชน์ในการควบคุมทางการบริหาร นอกจากนี้ กรณีกิจการไม่มีคอมพิวเตอร์เป็นของตนเอง ควรคำนึงถึงการจัดทำสัญญาใช้บริการและระเบียบปฏิบัติที่ใช้ควบคุมการชำระค่าบริการด้วย

9) การตระเตรียมวิธีการปรับปรุงแก้ไขระบบคอมพิวเตอร์ที่ได้รับความเสียหายให้ปฏิบัติงานได้ตามปกติ วิธีการที่นำมาใช้ต้องสามารถแก้ไขสถานการณ์ที่เลวร้ายได้รวดเร็ว และป้องกันธุรกิจหยุดชะงักได้แน่นอน

1.2. การควบคุมการพัฒนาระบบงาน
การควบคุมภายในเฉพาะงานที่สร้างไว้ภายในระบบงานคอมพิวเตอร์จะรัดกุมและเหมาะสมเพียงใด ขึ้นอยู่กับความรู้ความชำนาญหรือประสบการณ์ของการออกแบบระบบงานเป็นสำคัญ ในปัจจุบันการถ่ายทอดวิทยาการเกี่ยวกับการควบคุมเฉพาะงานค่อนข้างเชื่องช้า มีค่าใช้จ่ายสูง ต้องอาศัยความร่วมมือจากผู้ที่เกี่ยวข้องหลายฝ่าย และไม่สามารถนำวิธีการควบคุมภายในที่ใช้กับระบบงานใดระบบงานหนึ่งไปใช้กับระบบงานอื่นได้ จึงจำเป็นต้องอาศัยการควบคุมการพัฒนาระบบงานช่วยแก้ปัญหาที่กล่าวข้างต้น เพื่อ
– ควบคุมค่าใช้จ่ายและรายะเวลาที่ใช้ในการพัฒนาระบบงาน
– ช่วยให้แน่ใจว่าการควบคุมภายในเฉพาะงานที่สร้างไว้ในระบบ มีความรัดกุมและเหมาะสม
– ช่วยให้แน่ใจว่ามีการทดสอบการควบคุมภายในเฉพาะงาน ด้วยวิธีการที่เหมาะสมก่อนนำไปใช้ข้างหน้า

การควบคุมการพัฒนาระบบงานมีขอบเขตดังนี้
1) System Development Life Cycle (SDLC) ได้แก่ การแบ่งงานพัฒนาระบบออกเป็นขั้นตอนต่าง ๆ หลายขั้นตอน เพื่อความสะดวกในการกำหนดจุดที่จะจัดการควบคุม ซึ่งนอกจากจะช่วยให้ฝ่ายบริหารมีเครื่องมือในการควบคุมค่าใช้จ่ายและระยะเวลาในการพัฒนาระบบงานแล้ว ยังช่วยทำให้เกิดช่องทางในการติดต่อประสานงานกับผู้ใช้ข้อมูล ผู้ตรวจสอบ พนักงานวางแผนจัดหาเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์มาใช้งานพนักงานที่รับผิดชอบในการพัฒนาระบบและพนักงานชั้นบริหาร

2) การบริหารโครงการ ได้แก่ การใช้เทคนิคในการวัดความก้าวหน้าของโครงการในแต่ละขั้นตอน เป็นหลักในการควบคุมเพื่อ
– ให้ทราบว่าผู้ใช้ข้อมูลให้ความเห็นชอบผลงานที่อยู่ในระหว่างการพัฒนาถึงขั้นตอนใดแล้ว
– เปรียบเทียบค่าใช้จ่ายที่เกิดขึ้นจริงกับค่าใช้จ่ายตามงบประมาณ และเปรียบเทียบระยะเวลาที่ปฏิบัติงานจริง กับระยะเวลาที่กำหนดไว้ล่วงหน้า
– เสนอรายงานสถานะของโครงการให้ผู้บริหารระดับสูงได้ทราบทุกระยะ

3) การกำหนดมาตรฐานหรือระเบียบปฏิบัติในการเขียนโปรแกรม เพื่อเป็นแนวทางปฏิบัติงานของผู้เขียนโปรแกรม ปัจจุบันนิยมใช้เทคนิคการเขียนโปรแกรมโครงสร้าง ช่วยลดความซ้ำซ้อนของงานเขียนโปรแกรม และเพื่อให้ผู้อื่นที่จะมาใช้โปรแกรมในภายหลังหรือผู้ที่จะมาปฏิบัติงานแทนผู้เขียนโปรแกรม ตั้งแต่เริ่มแรกสามารถทำความเข้าใจ และทำงานต่อไปได้

4) การทดสอบเพื่อตรวจรับระบบงาน คือ การทดสอบระบบงานและโปรแกรมก่อนนำไปใช้งานจริง เพื่อให้แน่ใจว่าระบบงานและโปรแกรมสามารถทำงานได้ตามประสงค์ของผู้ใช้ข้อมูลและสอดคล้องกับระเบียบปฏิบัติในการประมวลข้อมูลของศูนย์คอมพิวเตอร์

5) การควบคุมการแก้ไขโปรแกรม ได้แก่ การกำหนดระเบียบปฏิบัติในการปรับปรุงแก้ไข Application Program และ Operating Systems โดยจัดให้มีเอกสารหลักฐานและการขอความเห็นชอบในการแก้ไขโปรแกรม เพื่อป้องกันการปฏิบัติไม่ชอบ

6) การจัดทำเอกสารสนับสนุนการปฏิบัติงาน ซึ่งได้แก่ เอกสารที่อธิบายลักษณะการทำงานของระบบงานโดยละเอียด เพื่อให้ผู้อื่นที่ไม่ได้มีส่วนเกี่ยวข้องกับการพัฒนาระบบงาน เช่น ผู้ใช้ข้อมูล ผู้ตรวจสอบและพนักงานปฏิบัติการประมวลผล เป็นต้น สามารถทำความเข้าใจและประเมินผลได้

7) การบริหารงานฐานข้อมูล กรณีที่มีการนำระบบฐานข้อมูลมาใช้เพื่อให้ระบบต่าง ๆ สามารถใช้ข้อมูลร่วมกันและช่วยลดความซ้ำซ้อนในการจัดเก็บข้อมูลจะมีผลกระทบต่อการจัดองค์กรของศูนย์คอมพิวเตอร์ และการพัฒนาระบบงาน ซึ่งจำเป็นต้องปรับปรุงการควบคุมให้เหมาะสมด้วย

เรื่องที่นำเสนอไปในข้างต้นนี้นั้น เป็นส่วนของการควบคุมภายในทั่วไป (General Controls) ที่กล่าวโดยย่อ ๆ ในภาพกว้าง ๆ เท่านั้น ส่วนในรายละเอียดไว้ผมจะนำเสนอในโอกาสต่อ ๆ ไปครับ ในครั้งหน้าผมจะพูดถึงการควบคุมภายใน ในอีกลักษณะหนึ่งที่เรียกว่าเป็นการควบคุมภายในเฉพาะงาน หรือ Application Controls โปรดติดตามกันต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

พ.ค. 21, 2010

สำหรับเรื่องการวางแผนงาน/โครงการ ในวันนี้ผมจะขอกล่าวถึงสาเหตุที่เป็นความเสี่ยง หรือเหตุของความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กร อาจไม่ประสบความสำเร็จ รวมทั้งข้อควรระวังในการวางแผนที่อาจเกิดจากความไม่แน่นอนขององค์กร ตามที่ได้กล่าวไว้ในครั้งที่แล้ว ไปติดตามกันเลยครับ

สาเหตุที่เป็นความเสี่ยง ความไม่แน่นอน ที่ทำให้การวางแผนงานขององค์กรทั่วไป อาจไม่ประสบความสำเร็จมีหลายประการ แต่ที่ผมจะได้กล่าวถึงก็เป็นสาเหตุบางประการเท่านั้น
1. เป้าหมายของแผนงานและ/หรือโครงการไม่ชัดเจนและสอดคล้องกับเป้าประสงค์ พันธกิจที่กำหนดไว้ตามหลักการบริหารความเสี่ยง ซึ่งแผนงานต้องชี้เป้าหมายตามหลัก SMART (โปรดดูคำอธิบายการบริหารความเสี่ยงโดยย่อ)
2. แผนงานมีขอบเขตกว้างขวาง แต่กำหนดเวลาไม่เหมาะสม
3. การประมาณด้านการเงินและทรัพยากรที่เกี่ยวข้องไม่เหมาะสม
4. การทำแผนงานมาจากพื้นฐานของข้อมูลที่ไม่เพียงพอ และมักขาดการวิเคราะห์ถึงความเป็นไปได้ของแผนงาน
5. กระบวนการจัดทำแผนงาน/โครงการไม่เป็นระบบ
6. แผนงานจัดทำโดยกลุ่มผู้วางแผนเท่านั้น ไม่มีผู้เกี่ยวข้องอื่น เช่น ผู้ชำนาญการที่เกี่ยวข้องจากบุคคลภายในและภายนอกร่วมจัดทำ
7. ขาดความชัดเจนของจุดประสงค์ที่แท้จริงของแผนงาน
8. ไม่ได้กำหนดจุดตรวจสอบและจัดทำรายงานแสดงความคืบหน้าของแผนงาน/ โครงการ
9. ประมาณการโดยการคาดเดา ไม่ได้กำหนดวิธีการที่มาตรฐาน หรือใช้ข้อมูลจากอดีตและการวิเคราะห์สภาพแวดล้อมในอนาคต
10. บุคลากรที่เกี่ยวข้องไม่มีประสบการณ์เพียงพอ
11. ผู้มีส่วนเกี่ยวข้องในการปฏิบัติงานไม่ปฏิบัติตามข้อกำหนด
12. แผนงานที่จัดทำขึ้นกระทำการเพียงเพื่อประกอบงบประมาณ โดยไม่เน้นเป้าหมาย และมีการสำรองงบเงินงบประมาณในแผนงาน เพื่อใช้ในโครงการอื่นที่ไม่มีความชัดเจน เป็นต้น

ในการวางแผนงาน/โครงการนั้น อาจเกิดความไม่แน่นอนเนื่องจากสาเหตุของความเสี่ยงที่เกิดขึ้นได้เสมอ ฉะนั้นในการวางแผนงานทุกครั้ง ผู้บริหารหรือผู้ที่เกี่ยวข้องควรรู้ถึงข้อควรระวังเกี่ยวกับการวางแผนที่อาจเกิดความไม่แน่นอนขององค์กรทั่วไป ดังนี้
1. ขาดการประสานงานที่ดีในการวางแผนงาน รวมทั้งการประสานงานรหว่างหน่วยงานที่เกี่ยวข้อง
2. ขาดการวิเคราะห์ความเสี่ยงหรือการบริหารแผนงานในเชิงรุกเพื่อป้องกันปัญหาในภายหน้าอย่างมีระบบ เช่น ไม่มีการชี้ปัจจัยเสี่ยงจากกิจกรรมหลักที่มีผลกระทบต่อการบรรลุเป้าหมายหรือปัจจัยสำคัญที่นำไปสู่ความสำเร็จตามแผนงาน
3. ระยะเวลาของแผนงาน/โครงการสั้นหรือยาวเกินไปไม่สัมพันธ์กับทรัพยากรที่มีอยู่
4. ไม่มีการศึกษาความเป็นไปได้ก่อนจัดทำแผนงานอย่างจริงจัง
5. บุคลากรที่จำเป็นต้องเข้ามาร่วมในโครงการมีไม่เพียงพอ
6. ขอบข่ายงานมีการเปลี่ยนแปลงตามสภาพแวดล้อมที่ไม่คาดหมายมาก่อน ซึ่งอาจจะเกิดจากขาดการบริหารความเสี่ยงประกอบการวางแผนงานอย่างเหมาะสม
7. ไม่มีแผนงานฉุกเฉินรองรับ
8. การกำหนดตารางเวลาของการปฏิบัติงานตามกิจกรรมต่าง ๆ ไม่สอดคล้องกับภารกิจที่พึงต้องปฏิบัติเพื่อบรรลุแผนงานตามทรัพยากรที่กำหนด
9. ขาดการรายงาน และการติดตามแผนงานของผู้ที่เกี่ยวข้อง
10. มีแผนงานและโครงการใหม่ที่มีระดับความสำคัญเร่งด่วนมากกว่า

ในครั้งหน้าผมจะพูดถึงปัจจัยที่เกี่ยวข้องที่ทำให้การวางแผนงาน/โครงการประสบความสำเร็จตามเป้าหมายที่กำหนดไว้ โปรดติดตามต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เทคโนโลยี่การบัญชี การควบคุมภายในและการตรวจสอบกับการพัฒนา และกรณีศึกษา บ.เลห์แมน บราเธอร์ส

พ.ค. 19, 2010

เทคโนโลยี่ในปัจจุบันได้เข้ามามีบทบาทอย่างสำคัญในกิจกรรมและกระบวนการทำงานต่างๆ รวมทั้งการบัญชี ผู้บริหารระดับสูงต้องเข้ามามีส่วนเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะตามหลักการบริหารตามแนว GRC หรือ Governance+Risk Management+ Compliance ผู้บริหารระดับสูงต้องใส่ใจกับเรื่องเทคโนโลยีมากขึ้น เพราะความล้มเหลวทางด้านเทคโนโลยี่ จะมีผลกระทบต่อการบริหารโดยรวม+++

คณะกรรมการวิชาชีพบัญชีด้านการศึกษาและเทคโนโลยี่การบัญชี พิจารณาว่าเป็นปัจจัยภายนอก ที่ส่งผลกระทบอย่างมากต่อการทำงานของนักบัญชี และผู้บริหารที่เกี่ยวข้อง รวมทั้งผู้กำกับฯ ความต้องการบุคคลากรด้านบัญชีที่มีความสามารถในการใช้เทคโนโลยี การบริหาร การตรวจสอบองค์กรที่ใช้เทคโนโลยี จึงมีความสำคัญมากขึ้นมาก ผู้ที่เกี่ยวข้องต้องมีความเข้าใจในคุณลักษณะ วิธีการทำงาน และสามารถเลือกใช้หรือจัดการเทคโนโลยี่ ควบคุมการใช้เทคโนโลยีให้เหมาะสมได้อย่างมั่นใจ

องค์กรของท่าน มีความพร้อมในการบริหาร การจัดการเทคโนโลยีที่เหมาะสมแล้วหรือยังครับ ความเสียหาย และผลกระทบจากการไม่เข้าใจในคุณลักษณะของเทคโนโลยีในมุมมองต่าง ๆของกระบวนการจัดการ เช่นในมุมมองของ Business Balance Scorecard และ Information Balance Scorecard นั้นอาจเกินจินตนาการของ Stakeholders นะครับ

ตัวอย่างในเรื่องนี้มีมากมาย แล้วผมจะค่อย ๆ ทยอยเล่าสู่กันฟังเพื่อเป็นกรณีศึกษาต่อไป มาตรฐานการบัญชีก็มีการปรับปรุงกันอยู่เสมอ ในขณะนี้นักบัญชีและนักบริหารก็ทราบกันดีนะครับว่า การบัญชีไทยกำลังอยู่ระหว่างการปรับปรุงเพื่อก้าวไปสู่ IFRS – International Financial Reporting Standards ซึ่งประเทศต่าง ๆ ทั่วโลกต่างก็ยอมรับที่จะนำมาตรฐาน IFRS ไปถือปฎิบัติ

แน่นอนว่าการทำความเข้าใจในมาตรฐานของบัญชีใหม่ และระบบงานที่เกี่ยวข้อง เช่นเทคโนโลยีคอมพิวเตอร์จะมาเกี่ยวข้องด้วยเสมอนะครับ ที่สำคัญก็คือ องค์กรของท่านพร้อมแล้วหรือยัง โดยเฉพาะการทำความเข้าใจในผลกระทบของเทคโนโลยีคอมพิวเตอร์ ที่เกี่ยวข้องกับการบัญชี การบริหาร การจัดการ ในเกือบทุกระดับของกระบวนการจัดการ โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยง ทั้งในระดับองค์กรและในระดับประเทศ การควบคุมภายใน การตรวจสอบภายในตามฐานความเสี่ยง ทั้งทางด้าน IT และ Non – IT ++

ขอยกตัวอย่าง กรณี บริษัท เลห์แมน บราเธอร์ส อดีตวาณิชธนกิจแถวหน้าของสหรัฐอเมริกา ต้องล้มละลาย กับการตรวจพบ เมื่อบริษัทฯ ได้ล้มละลายไปแล้ว ด้วยเหตุผลการใช้เครื่องมือทางบัญชี และวิธีการทางบัญชีมาตบแต่งข้อมูลทางเงิน ++ นี่เป็นตัวอย่างที่ชัดเจนของความสำคัญของการศึกษาเทคโนโลยีทางการบัญชี ทางการเงิน ทางการบริหาร การควบคุมและการตรวจสอบ

สรุปว่า เลห์แมน ใช้เครื่องมือทางการบัญชี โดยการปรับปรุงงบดุล และโยกย้ายตราสารจำนวนหนึ่งออกไปจากงบดุล ซึ่งเป็นงบแสดงทางการเงินเป็นการชั่วคราว เพื่อสร้างภาพที่ทำให้เข้าใจผิด ๆ ต่อผู้อ่านและผู้บริหารงบการเงิน เกี่ยวกับฐานะการเงินของบริษัทฯ ในช่วงปลายปี 2552 และ 2551 โดยวางโครงสร้างให้เหมือนเป็นการขาย เพื่อให้การขายตราสารการเงินเป็นการชั่วคราว เพื่อให้ดูเสมือนหนึ่งว่าความเสี่ยงจากการก่อหนี้ดังกล่าวจะหมดไป จากงบดุลหรือบัญชีทางการเงินของบริษัทแล้ว ซึ่งทำให้สถานะของบริษัท เลห์แมน บราเธอร์ส ในปี 2550 และ ปี 2551 จะแตกต่างจากความจริงเป็นอย่างมาก

นี่คือการเปลี่ยนแปลงงบทางการเงิน เพื่อตบแต่งทางการบัญชีตอนสิ้นงวด ซึ่งเรียกว่า Window Dressing ซึ่งนิยมใช้กันในหมู่ผู้บริหารเงินกองทุน ++ ซึ่งเป็นเรื่องปกติ แต่ต้องอยู่ในระดับภายใต้การควบคุมและยอมรับได้ขององค์กร และ Stakeholders ในมุมมองทางการเงินและการบัญชี และความผิดในเรื่องนี้ ควรจะเป็นของใคร? ท่านคิดอย่างไรครับในเรื่องนี้

โปรดติดตามตอนต่อไป ในเรื่องเกี่ยวกับการไขปริศนา ทำไมบริษัท เลห์แมน บราเธอร์ส ต้องล้มละลาย อันเนื่องจากเทคโนโลยีทางการบัญชี

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเห็นของ ดร. วรเจตน์ ภาคีรัตน์ กับรัฐธรรมนูญ คดียึดทรัพย์ฯ กับข้อคิดเพื่อการวิเคราะห์ฯ

พ.ค. 15, 2010

ความเห็นที่แตกต่างกัน โดยเฉพาะอย่างยิ่ง ไม่อิงขั้วการเมืองใด ซึ่งจะขึ้นกับความเชื่อหรือไม่เชื่อของผู้อ่านแต่ละท่านนั้น จะเป็นประโยชน์อย่างยิ่งต่อการสร้างความคิด สติปัญญา และมุมมองต่าง ๆ ที่อาจสร้างคุณค่าเพิ่มให้กับสังคมและส่วนรวมได้เป็นอย่างดี

ร่วมด้วยช่วยกันคิด เพื่อให้เกิดสังคมแห่งการเรียนรู้ในต่างมุมมองที่เป็นเรื่องสร้างสรร ที่อาจก่อให้เกิดคุณค่าของการมองต่างมุมโดยรวม

ข้อความต่อไปนี้ทั้งหมด ผมได้นำมาจาก หนังสือพิมพ์ประชาชาติธุรกิจ ฉบับวันจันทร์ที่ 22 – วันพุธที่ 24 มีนาคม 2553 ของ ดร. วรเจตน์ ภาคีรัตน์ ในหัวเรื่อง แกะปมรัฐธรรมนูญ – ไขรหัส “มั่ว” อุทธรณ์หรือฟื้นคดียึดทรัพย์ “ทักษิณ”

ผมได้อ่านการสัมภาษณ์พิเศษของผู้สื่อข่าวกับ ดร. วรเจตน์ ภาคีรัตน์ ที่ให้สัมภาษณ์แก่ผู้สื่อข่าว โดยนำข้อความทั้งหมดตามที่ได้กล่าวข้างต้นมาให้ท่านผู้อ่านได้ใช้ดุลยพินิจในมุมมองต่าง ๆ โดยไม่ได้ตัดทอนเพื่อการศึกษา และการพัฒนาแนวความคิดตามหัวข้อเรื่องข้างต้น ทั้งนี้ ขอให้ผู้อ่านใช้วิจารณญาณจากการอ่านบทสัมภาษณ์ดังต่อไปนี้นะครับ

หลังคำพิพากษาคดียึดทรัพย์ “ทักษิณ ชินวัตร” มีคนที่ต้องทำการบ้านเพิ่มไม่น้อยกว่า 5 ฝ่าย อย่างน้อยมีทนายฝ่าย “จำเลย” ที่ต้องหา “ข้อเท็จจริงใหม่” มาต่อสู้ในขั้นอุทธรณ์ อย่างน้อยก็มีองค์คณะในศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมือง อย่างน้อยก็มีผู้บริหารรัฐวิสาหกิจ – อดีตรัฐมนตรีที่ผูกพันตามคำพิพากษา

นอกจากนี้ยังมีสำนักงานอัยการสูงสุดที่ต้องเตรียมข้อมูลฟ้องร้องกับผู้ที่เกี่ยวข้องในการกระทำความผิด จนทำให้ “จำเลย” ร่ำรวยผิดปกติ 1 ใน 5 ฝ่ายที่ทำการบ้านเพิ่มคือ นักวิชาการด้านกฎหมายที่ชื่อ “ดร. วรเจตน์ ภาคีรัตน์”

บรรทัดต่อไปนี้คือ “คำตอบ” จากการคร่ำเคร่งค้นคว้า-ความจริง-ไม่อิงขั้วการเมือง

หลังจากเข้ากระบวนการ 30 วัน ที่ศาลเปิดโอกาสให้อุทธรณ์แล้ว อาจารย์คาดหวังจะเห็นอะไร?

เรื่องนี้เป็นเรื่องที่หลายคนไม่เข้าใจ และเป็นปัญหากลไกซ่อนรูปในรัฐธรรมนูญ และนักกฎหมายหลายคนก็มองไม่เห็น เราพูดเรื่องอุทธรณ์ ว่าพอศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมืองตัดสินแล้ว มีสิทธิอุทธรณ์ภายใน 30 วัน ไปยังที่ประชุมใหญ่ของศาลฎีกา อาจารย์หลายคนที่ร่างรัฐธรรมนูญ บางคนก็บอกว่า นี่ไงมีการประกันสิทธิเสรีภาพ เรื่องการอุทธรณ์กระบวนการนี้เป็นธรรม เพราะเปิดให้มีการอุทธรณ์ให้ถึงที่สุด แต่เรื่องนี้คนรู้น้อยมากว่าใช่การอุทธรณ์หรือไม่ ไปถามในทางสากลจากนักกฎหมายในโลกนี้ทั้งโลก จะรู้ว่าที่อยู่ในรัฐธรรมนูญ 2550 นี่มันไม่ใช่เรื่องการอุทธรณ์ แม้จะเขียนว่า “อุทธรณ์” ก็จริง แต่เนื้อหามันไม่ใช่ อันนี้มันซ่อนปมอีกอันหนึ่ง

เพราะสิ่งที่อยู่ในรัฐธรรมนูญนั้น เป็นลูกผสมระหว่างการอุทธรณ์กับการขอให้พิจารณาใหม่ หรือการรื้อฟื้นคดีขึ้นพิจารณาใหม่ มันเป็นหลักการสำคัญ ทั้ง 2 อย่างนี้ต่างกัน ยกตัวอย่างคดีอาญา มีบุคคลคนหนึ่งถูกกล่าวหาว่ากระทำความผิด ต่อมาพนักงานสอบสวนก็สอบสวนมีการส่งเรื่องไปที่อัยการ และอัยการฟ้องไปที่ศาล เมื่อมีการตัดสินคดีแล้วมีการอุทธรณ์ ฎีกาเมื่อศาลอุทธรณ์ ศาลฎีกายืน คดีถึงที่สุดที่ศาลฎีกา

ต่อมาเมื่อเขาอยู่ในคุก พบพยานหลักฐานว่าเขาไม่ใช่คนกระทำความผิด ระบบกฎหมายจะเปิดช่องให้เขา ขอให้พิจารณาใหม่ หรือว่ารื้อฟื้นคดีขึ้นพิจารณาใหม่ได้ ซึ่งการอุทธรณ์กับการพิจารณาใหม่มีความแตกต่างกัน เพราะการอุทธรณ์คือการที่คู่ความในคดี ซึ่งไม่เห็นด้วยกับคำพิพากษาของศาลในระดับล่าง โต้แย้งคำพิพากษาของศาลขึ้นไปยังศาลระดับสูง ซึ่งแน่นอนว่า สามารถอุทธรณ์ได้ในปัญหาข้อเท็จจริงและปัญหาข้อกฎหมาย หรืออาจให้อุทธรณ์เฉพาะปัญหาข้อกฎหมาย

และการอุทธรณ์คือ การเปิดโอกาสให้คู่ความได้โต้แย้งตัวคำพิพากษาของศาล โดยไม่จำเป็นต้องมีพยานหลักฐานใหม่ เพราะต้องใช้พยานหลักฐานอันเดิม แล้วอุทธรณ์ว่าศาลตีความกฎหมายไม่ถูก หรือถ้าเป็นการยอมให้อุทธรณ์ในข้อเท็จจริงได้ ในกรณีที่ศาลฟังข้อเท็จจริงผิด นี่คือการโต้แย้งทุกประเด็น หรือโต้แย้งประเด็นข้อกฎหมายทุกเรื่องขึ้นไป เรื่องว่าการอุทธรณ์

พอคดีจบแล้วถึงที่สุดแล้ว เมื่ออุทธรณ์ไม่ได้ เพราะมันจบ หลักก็คือ คำพิพากษาต้องเด็ดขาด ทีนี้เป็นไปได้ว่าคำพิพากษาอาจผิด ซึ่งระบบกฎหมายที่ยอมรับหลักความยุติธรรม เขาต้องยอมรับว่า มันเกิดความผิดพลาดได้เวลาที่ศาลมีคำพิพากษา เพราะฉะนั้นระบบกฎหมายอย่างนี้ได้รักษาไว้ซึ่งความมั่นคง แน่นอน ของคำพิพากษาของศาลซึ่งเป็นที่สุดแล้ว

แต่อีกด้านหนึ่งระบบกฎหมายก็ต้องรักษาความยุติธรรมด้วย เขาก็จะเปิดช่องเอาไว้ว่าในภายหลังที่ศาลพิพากษาถึงที่สุดแล้ว มีการพบพยานหลักฐานใหม่ว่าที่ศาลตัดสินไปนั้นไม่ถูก เขาก็จะเปิดโอกาสให้คนซึ่งต้องคำพิพากษาถึงที่สุดแล้วนั้น ยื่นคำร้องรื้อฟื้นคดีขึ้นพิจารณาใหม่ ซึ่งการรื้อฟื้นคดีขึ้นพิจารณาใหม่นี้ หลักในทางสากลคือ คดีอาจจบไปแล้วกี่ปีก็ได้ เพียงแต่ว่าถ้าคุณมีพยานหลักฐานใหม่ คุณต้องยื่นเสีย อาจจะภายใน 30 วัน เช่น คดีจบไปแล้ว 5 ปี แล้วคุณบังเอิญเห็นพยานหลักฐานอันนี้ซึ่งพิสูจน์ได้ว่าคุณไม่ผิด คุณก็นำไปยื่น ตรรกะจะเป็นแบบนี้

แต่รัฐธรรมนูญไทย 2550 ได้สร้างระบบประหลาดขึ้นมา ซึ่งผมไม่เคยเห็นมาก่อน ซึ่งอาจจะนับว่าเป็นการครีเอตของคนร่างรัฐธรรมนูญก็ได้ เขาบอกว่า คนที่ต้องคำพิพากษาของศาลฎีกาแผนกคดีอาญาของผู้ดำรงตำแหน่งทางการเมือง สามารถอุทธรณ์คำพิพากษาของศาลฎีกาฯ ไปที่ประชุมใหญ่ของศาลฎีกาได้ภายใน 30 วัน แต่ต้องปรากฎพยานหลักฐานใหม่ เพราะฉะนั้นมันจึงไม่ใช่การอุทธรณ์ในความหมายแท้ ๆ ที่ใช้ในทางกฎหมาย และก็ไม่ใช่การขอให้พิจารณาใหม่ด้วย

ที่ผมบอกว่าไม่ใช่การอุทธรณ์ เพราะว่าคุณไปบีบเขาว่าเขาต้องมีพยานหลักฐานใหม่ภายใน 30 วันนี้ คุณต้องเจอพยานหลักฐานใหม่ มันก็เลยไม่ใช่เรื่องการอุทธรณ์ เพราะการอุทธรณ์ไม่ต้องเจอพยานหลักฐานใหม่ในระบบ ขณะเดียวกันมันก็ไม่ใช่การรื้อฟื้นพิจารณาคดีใหม่ด้วย เพราะคุณไปจำกัดเขาว่าเขาต้องทำภายใน 30 วัน นับแต่วันที่ศาลพิพากษา ไม่ใช่ 30 วันนับแต่วันที่พบพยานหลักฐานใหม่ ซึ่งอาจจะผ่านไป 5 ปี 10 ปีก็ได้

การอุทธรณ์จึงมั่ว ๆ ระหว่าง 2 หลัก?

ถูกต้อง มันมั่วเลย ไม่ใช่มั่ว ๆ กันอยู่ แต่มันไม่มีหลักอะไรเลยตรงนี้ เพราะฉะนั้นเรื่องนี้เป็นเรื่องประหลาดมากในทางระบบ อันนี้ต้องอธิบายให้สาธารณชนเข้าใจ เพราะที่พูด ๆ กันอยู่นี่ไม่เข้าใจ ไม่รู้เรื่อง นี่พูดจริง ๆ หลายคนทำให้ผมดูถูกมากในทางความรู้ เพราะไม่เข้าใจประเด็นเหล่านี้แล้วพูดไป ทำให้สังคมเข้าใจผิด หลักก็เสียหมด

ประเด็นคือ ถ้าเอาตามตัวบทลายลักษณ์อักษรนี่ ทนายความของทักษิณต้องเจอหลักฐานใหม่ จึงจะสามารถอุทธรณ์ เพราะฉะนั้นมันไม่เป็นธรรมกับคนที่ถูกลงโทษ ต้องให้มีการอุทธรณ์ได้ ครั้นจะสนับสนุนให้เขาอุทธรณ์เต็มที่ คุณก็เกรงอีก ก็เลยเอาเป็นระบบมั่ว ๆ อย่างนี้มาในรัฐธรรมนูญ มันเลยเป็นปัญหา

เป็นประเด็นขอให้พิจารณาในเนื้อหา?

ใช่ ๆ เพราะเรื่องแรกที่ต้องฝ่าด่าน คือว่าอีกไม่กี่วันข้างหน้า หากไปถึงที่ประชุมใหญ่ศาลฎีกา ถ้ามีการอุทธรณ์ เขาต้องดูว่ามีพยานหลักฐานใหม่หรือไม่ ตามถ้อยคำ ตามตัวบท ซึ่งการเขียนรัฐธรรมนูญอย่างนี้ก็น่าเห็นใจคนที่เป็นผู้พิพากษาตุลาการ ในการตีความอยู่เหมือนกัน อันนี้จะไปโทษเขาไม่ได้ อันนี้เป็นปัญหาที่ต้นทางของรัฐธรรมนูญที่ออกแบบมาแบบนี้ คือออกแบบมามั่ว ๆ แบบนี้

จากคำให้สัมภาษณ์ของ ดร. วรเจตน์ ภาคีรัตน์ ในข้างต้น ท่านผู้อ่านพอจะมีข้อคิดเห็น หรือได้ข้อคิดอะไรบ้างครับ ถ้ายัง ก็โปรดติดตามจนจบก็อาจจะพบแง่คิดอะไรที่แตกต่างจากการสัมภาษณ์นี้ได้ ซึ่งผมขออนุญาตตัดตอนคำสัมภาษณ์ที่เหลือไปต่อในตอนหน้านะครับ

ปิดความเห็น บน ความเห็นของ ดร. วรเจตน์ ภาคีรัตน์ กับรัฐธรรมนูญ คดียึดทรัพย์ฯ กับข้อคิดเพื่อการวิเคราะห์ฯ | คุยกับผู้เขียน | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »