ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ (ต่อ)

เมษายน 16, 2010

จากครั้งที่แล้วที่ผมได้พูดคุยถึงขั้นตอนของการตรวจสอบ และได้เล่าถึงประวัติของการตรวจสอบ เพื่อเป็นเกร็ดความรู้เล็ก ๆ น้อย ๆ ให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบ อย่างในหลักการและเทคนิคการตรวจสอบเช่น TDM – Test Data Method ที่แม้ว่าเวลาจะล่วงเลยมาจนถึงปัจจุบันแล้ว แต่ก็ยังเป็นเทคนิคที่ใช้ในการปฏิบัติงานได้เป็นอย่างดี ซึ่งผมจะได้นำเสนอในรายละเอียดของวิธี Test Data Method ภายหลังจากที่เราได้พูดคุยกันถึงขั้นตอนและกระบวนการตรวจสอบในเบื้องต้น เพื่อให้เข้าใจและเห็นภาพของกระบวนการตรวจสอบที่ชัดเจนยิ่งขึ้น ก่อนที่จะดำเนินการตรวจสอบตามกระบวนการตรวจสอบโดยเทคนิคและวิธีการต่าง ๆ ต่อไป

สำหรับวันนี้เรามาดูกันว่า ในขั้นตอนและกระบวนการตรวจสอบในเบื้องต้นนั้น มีการจัดประเภทของการตรวจสอบด้านคอมพิวเตอร์เอาไว้อย่างไร

การตรวจสอบคอมพิวเตอร์แบ่งได้เป็น 2 ประเภท คือ การตรวจสอบกิจกรรม หรือการดำเนินงานของหน่วยงานคอมพิวเตอร์ และการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล

1. การตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ (General Control) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในทั่วไป ซึ่งส่วนใหญ่เป็นเรื่องเกี่ยวกับมาตรฐานการปฏิบัติงาน ระเบียบ ข้อบังคับ และเอกสารสนับสนุนการปฏิบัติงานหน่วยงานคอมพิวเตอร์และหน่วยงานอื่นที่เกี่ยวข้อง มีหัวข้อการตรวจสอบดังนี้

1.1. การตรวจสอบภายในและการสอบบัญชี เป็นการตรวจสอบเพื่อประเมินผลการปฏิบัติงานของผู้ตรวจสอบภายในและผู้สอบบัญชี ซึ่งได้รับมอบหมายจากฝ่ายบริหาร และผู้ถือหุ้นให้เป็นผู้ดำเนินการจัดระบบควบคุมภายในและตรวจสอบ มีขอบเขตการปฏิบัติงานครอบคลุมในเรื่องต่าง ๆ เพียงพอหรือไม่ และเชื่อถือได้เพียงใด

1.2. การจัดการเป็นการตรวจสอบเพื่อพิจารณาถึงความสามารถในการบริหารงานคอมพิวเตอร์ ความเหมาะสมในการแบ่งแยกหน้าที่การจัดสายการบังคับบัญชาและการรายงานผลการปฏิบัติงาน

1.3. การพัฒนาระบบงานและโปรแกรม เป็นการตรวจสอบเพื่อประเมินผลการพัฒนาระบบงานและโปรแกรม การแก้ไขระบบงานและโปรแกรม และความสมบูรณ์ของเอกสารสนับสนุนการปฏิบัติงาน

1.4. การปฏิบัติงานข้อมูลเป็นการตรวจสอบงานเตรียมข้อมูลการกระทบยอดข้อมูล และการจัดส่งข้อมูลให้ผู้ใช้ข้อมูลเพื่อประเมินคุณภาพของข้อมูลว่ามีความถูกต้อง ครบถ้วนและเชื่อถือได้เพียงใด

1.5. การปฏิบัติงานคอมพิวเตอร์ เป็นการตรวจสอบการปฏิบัติงานภายในห้องคอมพิวเตอร์ การจัดเก็บแฟ้มข้อมูล การรักษาความปลอดภัย การจัดระบบสำรองเตรียมไว้ทดแทนยามฉุกเฉิน

1.6. การสื่อสารข้อมูล (กรณีใช้ Hardware และ/หรือ Software ร่วมกันหลายระบบงาน) เป็นการตรวจสอบเพื่อประเมินผลการรักษาความปลอดภัยของข้อมูลที่ประมวลผลผ่านระบบสื่อสาร

1.7. การใช้บริการคอมพิวเตอร์ของผู้อื่นภายนอกกิจการ กรณีไม่มีเครื่องคอมพิวเตอร์เป็นของตนเอง ควรมีการตรวจสอบสัญญาการใช้บริการ การคิดค่าบริการฐานะและการดำเนินงานของศูนย์บริการคอมพิวเตอร์ นอกเหนือจากการตรวจสอบตามหัวข้อที่กล่าวมาแล้วด้วย เพื่อป้องกันธุรกิจที่จำเป็นต้องใช้ข้อมูลที่ประมวลผลด้วยคอมพิวเตอร์ต้องหยุดชะงัก หากศูนย์คอมพิวเตอร์ไม่สามารถให้บริการได้ตามปกติด้วยเหตุใดก็ตาม

2. การตรวจสอบระบบงานที่ใช้คอมพิวเตอร์ประมวลผล (Application Controls) เป็นการตรวจสอบเพื่อประเมินผลการควบคุมภายในเฉพาะงาน ซึ่งผู้ตรวจสอบจะสัมผัสกับรายการข้อมูลทุกรูปแบบ ในแต่ละระบบมากกว่าการตรวจสอบการดำเนินงานของหน่วยงานคอมพิวเตอร์ มีหัวข้อการตรวจสอบดังนี้

2.1. แหล่งกำเนิดรายการหรือแหล่งที่มาของรายการเป็นการตรวจสอบ
– การจัดทำเอกสารขั้นต้น หรือเอกสารประกอบรายการ
– การอนุมัติรายการ
– การเตรียมข้อมูลนำเข้า
– การเก็บรักษาเอกสารขั้นต้น
– การแก้ไขเอกสารที่มีข้อผิดพลาด

2.2. การทำรายการป้อนเข้าสู่ระบบงาน เป็นการตรวจสอบ
– การทำรายการป้อนข้อมูลเข้าสู่ระบบงาน ซึ่งอาจทำได้ 2 วิธีคือ Terminal Data Entry และ Batch Data Entry
– หลักเกณฑ์ที่ใช้ในการควบคุมการทำรายการ เพื่อให้ได้ข้อมูลที่ถูกต้องและครบถ้วน
– การแก้ไขข้อผิดพลาดในการทำรายการป้อนเข้าสู่ระบบงาน

2.3. การสื่อสารข้อมูล เป็นการตรวจสอบทางเดินของข้อมูลที่ผ่านระบบสื่อสาร ซึ่งประกอบด้วย
– การใช้เครื่อง Terminal ส่งข้อมูลหรือข่าวสาร ป้อนเข้าสู่ระบบงาน
– การเคลื่อนย้ายข้อมูลในระบบสื่อสาร ซึ่งต้องอาศัย Hardware และ Software ควบคุมการเคลื่อนย้ายข้อมูล
– การบันทึกรายละเอียดในการติดต่อสื่อสารระหว่างเครื่อง Terminal กับ CPU ไว้ที่ศูนย์คอมพิวเตอร์

2.4. การประมวลผล ได้แก่ การตรวจสอบ
– ความเคลื่อนไหว หรือทางเดินของข้อมูลที่ประมวลผลในแต่ละโปรแกรมหรือระบบงาน เพื่อพิจารณาว่าการประมวลผลทุกขั้นตอนมีความถูกต้อง ครบถ้วน และเชื่อถือได้เพียงใด
– การกำหนดจุดตั้งต้นในแต่ละขั้นตอนของการประมวลผล และการแก้ไขสถานการณ์ให้กลับคืนสู่สภาพปกติเมื่อเกิดเหตุขัดข้อง
– ความถูกต้องแม่นยำของโปรแกรมที่ใช้ประมวล
– การปฏิบัติงานของพนักงานคุมเครื่องคอมพิวเตอร์ในระหว่างดำเนินการประมวลผล
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยในการดำเนินการประมวลผล
– การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในระหว่างการประมวลผล

2.5. การเก็บรักษาข้อมูลและการนำข้อมูลไปใช้งาน เป็นการตรวจสอบ
– การบันทึกข้อมูลใหม่ลงในแฟ้มข้อมูล
– การตัดยอดรายการและหรือแฟ้มข้อมูล ตามวันหรือเวลาที่กำหนดไว้ในระบบงาน เพื่อให้รายการข้อมูลที่ประมวลผลสอดคล้องกับการจัดทำงบการเงิน
– การมอบอำนาจปฏิบัติงานและการรักษาความปลอดภัยเกี่ยวกับแฟ้มข้อมูล
– การแก้ไขข้อผิดพลาดในการบำรุงรักษาแฟ้มข้อมูล และการใช้แฟ้มข้อมูล

2.6. ผลลัพธ์ที่ได้จากการประมวลผล เป็นการตรวจสอบ
– การกระทบยอดข้อมูล
– การจัดส่งข้อมูลที่ได้จากการประมวลผลให้ผู้ใช้ข้อมูล
– การจัดทำทะเบียนคุมเอกสารสำคัญทางการเงิน
– การเก็บรักษาข้อมูลที่ได้จากการประมวลผล
– การแก้ไขข้อมูลหรือผลลัพธ์ที่ผิดพลาด

ในครั้งหน้าผมจะมานำเสนอกระบวนการตรวจสอบ ที่ได้จัดทำในรูปแบบของแผนภาพ พร้อมอธิบายถึงรายละเอียดของกระบวนการตรวจสอบและขั้นตอนของการตรวจสอบต่อไป โปรดติดตามนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

เมษายน 13, 2010

เมื่อครั้งที่แล้ว ผมได้นำเสนอแผนภาพรวมของกระบวนการวางแผนขององค์กรทั่วไป ที่พอจะทำให้ผู้อ่านเห็นภาพของกระบวนการวางแผนงาน และโครงการคร่าว ๆ ก่อนในเบื้องต้น ซึ่งในรายละเอียดของการวางแผนงาน/โครงการ ผมได้นำมาพูดคุยกันในวันนี้

เพื่อความเข้าใจในการบริหารแผนงาน/โครงการที่ถูกต้อง ชัดเจน และสามารถบริหารแผนงานและโครงการได้อย่างมีประสิทธิภาพ ประสิทธิผล ผู้ที่มีหน้าที่และ/หรือผู้เกี่ยวข้อง จึงควรเข้าใจความหมายของแผนงานและโครงการ หน้าที่การจัดการในภาพรวม และวัตถุประสงค์ของการวางแผน ก่อนที่จะทำการวางแผนงาน/โครงการเพื่อให้การปฏิบัติงานเป็นไปตามกระบวนการที่ได้วางแผนหรือกำหนดไว้

แผนงานและโครงการคืออะไร
แผนงาน/โครงการ เป็นสัญญาเพื่อที่จะทำงานร่วมกันทั้ง 2 ฝ่าย คือ เจ้าหน้าที่ขององค์กร หรือสายงานที่เกี่ยวข้องกับผู้บริหาร ที่กำหนดขึ้นภายใต้วัตถุประสงค์และขอบข่ายงานที่ได้กำหนดไว้ แผนงานและโครงการเป็นการเพิ่มศักยภาพการใช้ทรัพยากรอย่างมีประสิทธิภาพ ประกอบด้วยกิจกรรมต่าง ๆ ซึ่งต้องมีการหารือกันกับผู้ที่เกี่ยวข้อง และในแต่ละกิจกรรม แต่ละขั้นตอนต้องกำหนดระยะเวลาเริ่มต้นและระยะเวลาสิ้นสุด มีตัววัดความสำเร็จแต่ละกิจกรรมและขั้นตอนที่เกี่ยวข้อง

หน้าที่ของฝ่ายจัดการในภาพโดยรวม
เพื่อบรรลุสู่วิสัยทัศน์ พันธกิจ กลยุทธ์ และการจัดทำแผนงาน/โครงการ ฝ่ายจัดการควรคำนึงถึง
1. การกำหนดวิสัยทัศน์ พันธกิจ กลยุทธ์/ยุทธศาสตร์ นโยบายที่เหมาะสม
2. การวางแผนและโครงการให้สัมพันธ์กับเป้าประสงค์หลัก (Strategic Objective)
3. รวบรวมความต้องการข้อมูลและสารสนเทศที่เหมาะสมและเกี่ยวข้องกับแผนงาน
4. กำหนดทรัพยากร สนับสนุนแผนงานเพื่อบรรลุพันธกิจของ องค์กร
5. กำหนดขอบเขตของงานให้สอดคล้องกับกลยุทธ์ที่เกี่ยวข้อง
6. จัดให้มีการปฏิบัติ ควบคุม และวัดผลความสำเร็จของแผนงานนั้น ๆ
7. จัดให้มีการติดตาม และรายงานผลความสำเร็จที่ปฏิบัติจริงเทียบกับแผนงาน

วัตถุประสงค์ของการวางแผนงาน และโครงการที่เกี่ยวข้องขององค์กรทั่วไป
1. กำหนดเป้าประสงค์ของแผนงานและโครงการให้ชัดเจนและเป็นรูปธรรมที่วัดได้
2. เพื่อให้เห็นภาพของแผนงาน/โครงการได้อย่างเป็นรูปธรรม
3. แปลงความต้องการให้ปรากฏในแผนงาน
4. กำหนดงานต่าง ๆ ที่ต้องทำ
5. กำหนดวันเริ่มต้นและวันสุดท้ายของแต่ละงาน
6. กำหนดทรัพยากรที่ต้องการใช้ เพื่อให้ใช้งานได้อย่างมีประสิทธิภาพ เป็นสื่อให้หน่วยงานและบุคคลที่เกี่ยวข้องกับโครงการได้รับทราบโดยทั่วกัน เพื่อการประสานงานที่เหมาะสม
7. เป็นแนวทางและพื้นฐานในการประมาณการ ติดตาม และควบคุมโครงการ และรายงานเพื่อการเปรียบเทียบผลที่ได้อย่างชัดเจน

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง ในบางมุมมอง (ต่อ)

เมษายน 6, 2010

ในตอนที่แล้ว เราได้พูดถึงการประเมินตนเองที่องค์กรต้องมีการปรับปรุงการบริหารความเสี่ยงเป็นอย่างมาก เนื่องจากองค์กรมีการบริหารความเสี่ยงเบื้องต้นที่ยังไม่เป็นระบบนั้น วันนี้ เราจะมาพูดถึงการประเมินตนเองในเรื่องการบริหารความเสี่ยงเบื้องต้นที่มีระบบอยู่บ้าง แต่ยังต้องปรับปรุงกระบวนการบริหารความเสี่ยง เพื่อยกระดับการบริหารและการจัดการไปสู่การเชื่อมโยงและบูรณาการบริหารความเสี่ยง กับการบริหารเทคโนโลยีสารสนเทศ เพื่อการจัดการที่ดี (ITG – IT Governance) ต่อไป

วันนี้เราลองมาประเมินตนเองนะครับ ในองค์กรของท่านว่า การบริหารความเสี่ยงในเบื้องต้นที่พอมีระบบอยู่นั้น ท่านผ่านหรือไม่ผ่านข้อใดบ้าง ดังนี้

1. การบริหารความเสี่ยงขององค์กรเป็นเพียงกลยุทธ์ระยะสั้น โดยมีโครงสร้างของคณะทำงาน หรือสายงานที่ตั้งขึ้นเป็นลักษณะเฉพาะกาล และ/หรือ ยังไม่มีการทำงานที่เป็นรูปธรรมที่เกี่ยวข้องกับการบริหารความเสี่ยงในระยะยาว เช่น องค์กรยังไม่มีการบริหารความเสี่ยงเป็นกลยุทธ์ระยะยาว โดยองค์กรเพียงตั้งคณะทำงานที่มีลักษณะเป็นเฉพาะกาล ที่ไม่มีโครงสร้างการทำงานที่เป็นรูปธรรม โดยผู้รับผิดชอบความเสี่ยงจะเป็นผู้วิเคราะห์และทำแผนกิจกรรมการจัดการกับความเสี่ยง เป็นปี ๆ หรือตามภารกิจที่ได้รับมอบหมายเท่านั้น

2. องค์กรมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังมีการบริหารความเสี่ยงเป็นส่วน ๆ เช่น ไม่มี Risk Map ไม่มีองค์ประกอบหลักของการบริหารความเสี่ยงหลักที่ดี ที่ประกอบด้วย การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การกำหนด/คัดเลือกวิธีการจัดการต่อความเสี่ยง โดยพิจารณาถึงผลกระทบและโอกาสที่จะเกิด ยังไม่มีการวิเคราะห์ถึงค่าใช้จ่ายและผลประโยชน์ที่ได้ในแต่ละทางเลือก เพื่อนำไปสู่ทางเลือกที่ดีที่สุด และระดับความเสี่ยงที่ยอมรับได้ของความเสี่ยงที่เหลือที่อยู่ (Residual Risk) ขององค์กร และการติดตามตามผลและการรายงาน

3. องค์กรมีการควบคุมภายในตามฐานความเสี่ยงที่ระบุ (Risk-Based Internal) ไม่ครบถ้วน เช่น การพัฒนาองค์กรให้มั่นคง เพื่อให้เกิดประสิทธิภาพในการบริหารแหล่งเงินทุน การจัดทำงบการเงินให้ถูกต้องครบถ้วนไม่ทันเวลา การจัดซื้อจัดหาวัสดุไม่ตรงตามความต้องการ ในราคาที่ไม่เหมาะสม ไม่มีการดูแลรักษาระบบคอมพิวเตอร์ให้พร้อมใช้งานได้ตลอดเวลา และขาดระบบสำรวจข้อมูลความเสี่ยงด้านปฏิบัติการ (Operational Risk) และไม่มีการพัฒนาพนักงานให้มีแผนพัฒนาพนักงานที่ตรงกับความจำเป็นขององค์กร การกำหนดโครงสร้างและอัตรากำลังไม่สอดคล้องและเหมาะสมกับภารกิจของงาน

4. หน่วยงานไม่มีการระบุความเสี่ยงที่มีความรุนแรงสูงอย่างชัดเจน ไม่มีการกำหนดแผนการควบคุมความเสี่ยงให้สอดคล้องกับการระบุความเสี่ยง ตามระดับความรุนแรงที่เกี่ยวข้อง รวมถึงไม่ได้ระบุปัญหาที่เป็นปัจจัยเสี่ยงทางด้านบุคลากร การขาดความรู้ ขาดทักษะ และประสบการณ์ในงานที่ทำ และไม่ได้กำหนดแผนการบริหารความเสี่ยงไว้ เช่น ไม่มีแผนการจัดฝึกอบรมให้กับบุคลากรที่เกี่ยวกับงานที่ปฏิบัติ ขาดระบบการประเมินผลงานและบุคคลที่เป็นไปตามหลัก Competency และการสร้างแรงจูงใจ

5. ขาดองค์ประกอบหลักในการบริหารความเสี่ยงขององค์กรที่สอดคล้องกันในทุกปัจจัยเสี่ยง ตามข้อ 2 ข้างต้น

ตัวอย่างข้างต้นเป็นเพียงแนวประเมินตนเองบางประการ ของหน่วยงานที่ต้องการปรับปรุงและยกระดับการบริหารและการจัดการทางด้านความเสี่ยง ให้อยู่ในระดับที่ยอมรับได้ ในปัจจุบันการระบุปัจจัยเสี่ยงที่มีผลกระทบต่อการบรรลุเป้าหมายระดับองค์กร เป็นเรื่องที่ต้องการความเข้าใจอันมีความสัมพันธ์กับ Risk IT และ IT Risk ที่มีผลต่อ Business Risk ของทุกองค์กรในภาพโดยรวม

ดังนั้น ผู้ทำการประเมินตนเอง โดยเฉพาะอย่างยิ่งผู้บริหารที่มีหน้าที่ดูแลทางด้านการบริหารความเสี่ยง การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง โดยเฉพาะอย่างยิ่งผู้ที่ทำหน้าที่เป็นผู้ให้ความสะดวก (Facilators) ในการทำการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายในของหน่วยงาน จึงควรมีความรู้ความเข้าใจในผลกระทบที่มีต่อ Business Risk จากเหตุการณ์ที่เป็นต้นเหตุของความเสี่ยง ทั้งทางด้าน IT และ Non – IT รวมทั้งควรมีความเข้าใจในการระบุเหตุการณ์ที่เป็นความไม่แน่นอน รวมทั้งการสูญเสียโอกาสที่มีผลต่อการขับเคลื่อนนโยบาย กลยุทธ์ และแผนการปฏิบัติงาน เพื่อสร้าง Value Creation ให้กับองค์กรในมุมมองต่าง ๆ อย่างผสมผสาน และได้ดลุยภาพด้วย

ปิดความเห็น บน การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง ในบางมุมมอง (ต่อ) | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การบริหารภาวะวิกฤตเป็นการบริหารปลายเหตุที่ใช้ต้นทุนสูงมาก

เมษายน 1, 2010

การบริหารในภาวะวิกฤตกับการบริหารความเสี่ยงมีความแตกต่างกันมาก ภาวะวิกฤตจะมีให้จัดการน้อย ถ้าองค์กรหรือประเทศมีการบริหารความเสี่ยงที่ดี หากหน่วยงานระดับสูงมีการบริหารความเสี่ยง ซึ่งเป็นการบริหารเชิงรุกอย่างแท้จริง และเป็นไปตามหลักการสากล ภาวะวิกฤตของประเทศที่ไม่ต้องการให้เกิดขึ้น ก็อาจถูกจัดการอย่างเป็นระบบได้ก่อนจะมีปัญหาให้แก้ไข ซึ่งอาจตามมาด้วยวิกฤตของประเทศหรือองค์กรที่เป็นปัญหาแก้ได้ยาก และเกิดความเสียหายขึ้นมาได้ในที่สุด และความเสียหายในหลายมุมมองเป็นความเสียหายที่ประเทศไม่น่ายอมรับได้ หากมีการกำหนดระดับความเสียหายที่ประเทศยอมรับได้ (Risk Appetite) เช่นเดียวกับหลักการบริหารองค์กรที่มีประสิทธิภาพ ภาวะวิกฤตจะลดน้อยลงอย่างแน่นอน ถ้าไม่มีการกำหนด Risk Appetite ก็แสดงว่ามีปัญหาที่กระบวนการบริหารและกลยุทธรวมทั้งนโยบายการบริหารที่น่าจะมีปัญหาตามมา

หากทุกฝ่ายที่เป็นกลุ่มสี(ถ้ามี)ยึดผลประโยชน์ของชาติเป็นตัวตั้ง แล้วถอยมาดูความต้องการของแต่ละฝ่ายและ กลับไปดูตัวตั้งที่ใช้เป็นโจทย์หลักคือผลประโยชน์ของชาติในระยะยาวและ ลดความเสียหาย ที่ไม่น่ายอมรับได้ผRisk Appetite)ในปัจจุบันในทุกมุมมองลงไปให้ได้ ผมมั่นใจว่าไปได้สวยนะครับ
แต่ถ้าแต่ละฝ่ายพิจารณาโจทย์จากผลประโยชน์ของกลุ่ม โดยไม่มองผลประโยชน์ระดับชาติ คงแก้ไขปัญหาได้ยากและคนไทยรวมทั้งคนต่างชาติ ที่หวังดีต่อไทยก็คงกังวลและเศร้าใจต่อไปอีกนาน นั่นหมายถึงต้นทุนของความไม่ปรองดองและความไม่เข้าใจต่อภาพรวมของที่ชาติต้องการอบย่างแท้จริง

หากเราตั้งใจจะลดความเสียหายของชาติทั้งปัจจุบันและอนาคต เราคงต้องมุ่งการแก้ไขปัญหาทุกอย่างไปในทิศทางที่ประเทศชาติเราได้ประโยชน์อย่างแท้จริงในอนาคต มากกว่าการคำนึงถึงผลประโยชน์เพียงของกลุ่มที่มีความเห็นตรงกันเท่านั้น เพราะโอกาสจะสำเร็จจะติดอยู่ที่วังวนของทัศนคติที่แตกต่างกัน การสร้างและฟื้นฟูความเชื่อมั่นของชาติจึงควรพิจารณาจากภาพใหญ่หรือผลประโยชน์สูงที่สุดของชาติเสมอ นั่นคือแก้ไขและจัดการปัญหาไปในทิศทางที่…ชาติจะได้ประโยชน์เป็นสำคัญโดยพยายามรักษากติกาของสังคมอย่างได้ดุลยภาพที่แท้จริงและพิสูจน์ได้ตามหลัก CG ที่ต้องคำนึงถึงเป้าประสงค์โดยรวมที่ประเทศไทยต้องการไปให้ถึงให้จงได้ และพิจารณาว่า มีปัจจัยใดที่เป็นอุปสรรคในการบรรลุเป้าหมายนั้น ที่เราต้องช่วยกันควบคุม จัดการความเสี่ยงให้เหมาะสม และยอมรับได้

Six Thinking Hats เป็นเทคนิคที่มีความสำคัญและมีประสิทธิภาพมาก พัฒนาโดย Edward de Bono ใช้ประโยชน์เป็นกรอบการทำงานที่คำนึงถึงความคิดหลายรูปแบบ โดยมีอุปมาอุปมัยว่า หมวกทั้งหกสี เพื่อแสดงถึงความคิดประเภทต่างๆที่แตกต่างกันไป มีประโยชน์ในการทำการประเมินตนเอง เพื่อการบริหารความเสี่ยงเพื่อการบรรลุเป้าหมายระดับต่างๆ ที่เรียกกันว่า CSA-Control Self Assessment และช่วยให้ผู้เกี่ยวข้องมีมุมมองที่กว้างขึ้นตามแต่สถานการณ์ สถานการณ์ปัจจุบันของไทยเราขณะนี้ มีแนวความคิดหลายแบบและเป็นเช่นสีของหมวกทั้งหกครับ

ดังนั้น ผู้นำของประเทศและผู้บริหารของทุกองค์กร ควรได้ทำความเข้าใจกับความคิดที่แตกต่างกันของแต่ละบุคคลและของแต่ละกลุ่ม เพื่อเชื่อมโยงความคิดที่แตกต่างนั้น นำมาสร้างคุณค่าเพิ่มให้กับองค์กรและของประเทศให้ประสบความสำเร็จตามเป้าหมายตามที่ต้องการ เช่น การพิจารณาความคิดเห็นที่แตกต่างกันของผู้ที่เกี่ยวข้องโดยใช้หลักการ หมวก 6 สี ให้เป็นประโยชน์ในการทำ Control Self Assessment – CSA ผู้ดำเนินการหรือผู้อำนวยความสะดวกที่ทำหน้าที่ด้านนี้ ก็จะสามารถสร้างคุณค่าเพิ่มให้กับองค์กรได้เป็นอย่างดี

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนและกระบวนการตรวจสอบ IT เบื้องต้นโดยย่อบางประการ

มีนาคม 27, 2010

สำหรับผู้ตรวจสอบที่มีความรู้พื้นฐานการตรวจสอบด้าน IT จำกัด ให้ใช้แนวและกระบวนการตรวจสอบ IT ที่เป็นพื้นฐานเบื้องต้น โดยมีกรอบย่อ ๆ ในการปฏิบัติ ดังนี้ สำหรับผู้ที่มีความรู้ทางด้านการตรวจสอบ และมีขอบเขต รวมทั้งกำหนดเป้าหมายการตรวจสอบเชิงลึก ในระบบงานสำคัญ ๆ เพื่อให้แน่ใจถึงความถูกต้อง ตั้งแต่ Input – Process – Output รวมทั้งผู้ตรวจสอบทางด้านการเงิน และการดำเนินงาน และการปฏิบัติตามกฎหมายกฎเกณฑ์ สำหรับผู้ตรวจสอบที่เป็น Non – IT Auditors นั้น ก็อาจใช้แนวทางดังต่อไปนี้ได้เช่นกัน เนื่องจากผมกำลังเล่าถึงแนวทางการปฏิบัติที่เป็นพื้นฐานที่ง่ายและสะดวกที่สุด สำหรับผู้ตรวจสอบทั้ง 2 ประเภท ก่อนที่จะลงในรายละเอียดต่อไป

ขั้นตอนการตรวจสอบ

อาจแบ่งขั้นตอนการตรวจสอบเป็น 3 ขั้นตอนใหญ่ ๆ ได้ดังนี้
ขั้นตอนที่ 1 การวิเคราะห์ความเพียงพอของการควบคุมภายใน
โดยการตั้งวัตถุประสงค์การตรวจสอบ ขอบเขตการตรวจสอบ และการวางแผนการตรวจสอบ แล้วรวบรวมข้อมูลเบื้องต้นที่เกี่ยวข้องกับการตรวจสอบ เพื่อประเมินความน่าเชื่อถือได้ของการดำเนินงานและการควบคุมภายในแบบ Total System Approach คือ ดูทั้งส่วนที่เป็น Manual และ Computer จากนั้นก็กำหนดแนวการตรวจสอบขั้นตอนต่อไป

ในขั้นตอนนี้ ผู้ตรวจสอบควรประเมินและวิเคราะห์ความเสี่ยงในแต่ละรายงานและในแต่ละกิจกรรมของงานที่ตรวจสอบ วิธีที่ดีที่สุดคือ การตั้งคำถามว่า “มีอะไรที่จะก่อให้เกิดข้อผิดพลาดขึ้นได้” ระบุจุดที่การควบคุมเพื่อลดความเสี่ยง ในแต่ละกิจกรรม (Activities) ในแต่ละกระบวนการ (Process) เพื่อก้าวสู่ Business Objective อันจะก่อให้เกิดความเสียหายหรือความไม่ถูกต้อง หรือมีจุดเปิดของความผิดพลาด และจุดอ่อนบางประการที่มีนัยสำคัญต่อ Input – Process – Output ที่อยู่ในขอบเขตของการตรวจสอบ

เทคนิคที่ใช้วิเคราะห์ก็คือ การสัมภาษณ์ การใช้แบบสอบถาม การวิเคราะห์ Flowchart

ขั้นตอนที่ 2 ทดสอบการปฏิบัติงานตามระเบียบ หรือ Logic ที่ได้กำหนดไว้
เมื่อผู้ตรวจสอบได้ทำการระบุจุดที่ควรมีการควบคุมในความเสี่ยงแต่ละจุดแล้ว ก็ต้องประเมินว่า การควบคุมนั้นน่าเชื่อถือหรือไม่ ถ้าเชื่อถือได้ก็จะได้ทำการทดสอบการปฏิบัติงานที่เกี่ยวข้องกับการควบคุมภายใน เพื่อประเมินจุดอ่อน หรือข้อผิดพลาดที่อาจพึงมี และมีนัยสำคัญต่อไป โดยเฉพาะอย่างยิ่ง ข้อผิดพลาดที่อาจเกี่ยวข้องกับข้อมูลทางการ ซึ่งอาจต้องทำการทดสอบต่อไป ขั้นตอนนี้ ยังมีการรวบรวมรายละเอียดเพื่อการตรวจสอบเพิ่มเติมด้วย
เทคนิคที่ใช้ในการตรวจสอบขั้นนี้ก็คือ การสังเกตการณ์ การทำ Test Data หรือ Manual Trading

ขั้นตอนที่ 3 ทดสอบข้อมูลทางการเงิน
เช่น ยอดคงเหลือ รายการทางบัญชีต่าง ๆ และยอดรวมของบัญชีในงบการเงิน รวมทั้งความผิดปกติต่าง ๆ ทั้งด้าน Input – Process – Output และกระบวนการนำรายงานไปใช้งานในการตัดสินใจ โดยคำนึงถึงนโยบาย กลยุทธ์ ที่ถ่ายทอดไปสู่เป้าประสงค์ตามหลักการของ Information Technology Balance Scorecard และ Business Balance Scorecard ด้วยวิธีการที่เหมาะสม แล้วทำรายงานการตรวจสอบ

ขั้นตอนย่อยในการตรวจสอบจาก 3 ขั้นตอนใหญ่ ๆ ข้างต้นอาจใช้การตรวจสอบแบบ Around หรือ Through The Computer

การตรวจสอบ
1. การตรวจสอบแบบ Around/Through The Computer
การตรวจสอบคอมพิวเตอร์ในระยะเริ่มแรกเป็นการตรวจสอบแบบ “Auditing Around The Computer” เพื่อสอบทานความถูกต้องของข้อมูลที่ปรากฏในรายงานคอมพิวเตอร์ คล้ายกับการตรวจสอบสมุดทะเบียนบัญชีแยกประเภทและเอกสารที่เกี่ยวข้องในระบบเดิมที่ใช้พนักงานบันทึกรายการ ดังรูป

ในปี ค.ศ. 1966 (ผ่านมาแล้วหลายปีหน่อยนะครับ) คณะทำงานพิเศษ Audit EDP Task Force ของ The American Institute of Certified Public Accountants (AICPA) ขอให้ใช้คำอื่น ๆ เช่น “Auditing Without Using The Computer” แทนคำ “Auditing Around The Computer” เพราะอาจทำให้ผู้ตรวจสอบเกิดความเข้าใจที่คลาดเคลื่อนว่า ไม่จำเป็นต้อประเมินผลการควบคุมภายในด้านคอมพิวเตอร์ก็ได้ หากผู้ตรวจสอบได้ดำเนินการติดตามความเคลื่อนไหวของรายการที่ปรากฏในรายงานคอมพิวเตอร์ เพื่อพิสูจน์ความถูกต้องของข้อมูล

สำหรับการตรวจสอบแบบ “Auditing Through The Computer” หรือ Computer Assisted Audit Techniques” มีความหมายชัดเจนอยู่ในตัวแล้ว แต่อย่างไรก็ดี คำ “Auditing Around/Through The Computer” ได้มีความสำคัญลดน้อยลง เมื่อสถาบันที่ทำหน้าที่ควบคุมการประกอบวิชาชีพสอบบัญชีหลายประเทศได้กำหนดมาตรฐานตรวจสอบคอมพิวเตอร์ให้ผู้ตรวจสอบถือปฏิบัติ

2. มาตรฐานการตรวจสอบ
มาตรฐานการตรวจสอบคอมพิวเตอร์ที่ควรทราบ มีดังนี้
ประเทศสหรัฐอเมริกา
เมื่อเดือนธันวาคม ค.ศ. 1974 AICPA ได้ออก Statement of Auditing Standard No. 3 (SAS#3) มี 3 ประเด็นสำคัญสรุปได้ดังนี้
1) กรณีที่มีการใช้คอมพิวเตอร์กับงานบัญชีที่มีนัยสำคัญ ผู้ตรวจสอบควรสอบทานระบบเพื่อทำความเข้าใจในเรื่องต่อไปนี้
1.1) ทางเดินของรายการบัญชี
1.2) ขอบเขตการใช้คอมพิวเตอร์
1.3) โครงสร้างพื้นฐานของการควบคุมภายใน
2) กรณีงานคอมพิวเตอร์มีความสลับซับซ้อน จะต้องมีผู้เชี่ยวชาญร่วมงานตรวจสอบด้วย
3) การใช้คอมพิวเตอร์ไม่มีผลกระทบต่อการควบคุมทางบัญชี แต่อาจมีผลกระทบต่อองค์กรและวิธีการที่จะทำให้บรรลุเป้าหมายในการควบคุม ซึ่งมีอิทธิพลต่อวิธีการตรวจสอบ

ประเทศแคนาดา
The Canadian Institute of Chartered Accountants (CICA) ได้ออก Guideline : Auditing in an Electronic Data Processing Environment เมื่อเดือนสิงหาคม ค.ศ. 1981 เพิ่มเติมจาก Computer Control Guidelines และ Computer Audit Guidelines ซึ่งออกในปี ค.ศ. 1970 และปี ค.ศ. 1974 ตามลำดับ สาระสำคัญสรุปได้ดังนี้
1) กรณีใช้ผู้เชี่ยวชาญคอมพิวเตอร์ ผู้ตรวจสอบต้องมีความรู้ด้านคอมพิวเตอร์ เพื่อควบคุมการปฏิบัติงานของผู้เชี่ยวชาญให้เหมาะสม
2) ผู้ตรวจสอบต้องประเมินความเพียงพอเกี่ยวกับความรู้ด้านคอมพิวเตอร์ของตนเอง
3) ควรพิจารณาหรือศึกษาระบบทั้งด้าน Manual และด้านคอมพิวเตอร์พร้อม ๆ กับการพัฒนาวิธีการตรวจสอบ แต่ผู้ตรวจสอบไม่จำเป็นต้องตรวจสอบระบบโดยละเอียด หากพิจารณาในขั้นต้นแล้วเห็นว่าเป็นระบบที่เชื่อถือไม่ได้
4) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในทั่วไป และ Operating System ด้านคอมพิวเตอร์
5) กรณีใช้คอมพิวเตอร์ช่วยตรวจสอบต้องจัดให้มีการควบคุมอย่างเพียงพอ เพื่อให้ได้ผลลัพธ์ครบถ้วนและเป็นไปตามวัตถุประสงค์ในการตรวจสอบ
6) ผู้ตรวจสอบควรมีส่วนร่วมในการพัฒนาระบบงานด้วย

สหราชอาณาจักร (United Kingdom)
Auditing Practices Committee Exposure Draft : Internal Controls in Computer – Based Accounting System ออกเมื่อเดือนพฤษภาคม ค.ศ. 1982 มีสาระสำคัญสรุปได้ดังนี้
1) ผู้ตรวจสอบไม่จำเป็นต้องเข้าใจระบบโดยละเอียด เว้นแต่จะมีแผนการตรวจสอบเพื่อให้ความเชื่อถือต่อระบบงานนั้น
2) ผู้ตรวจสอบต้องประเมินผลการควบคุมภายในเฉพาะงาน และการควบคุมภายในทั่วไป
3) ผู้ตรวจสอบสามารถใช้คอมพิวเตอร์ช่วยตรวจสอบเพื่อที่จะได้หลักฐานการปฏิบัติงานที่อยู่ภายใต้การควบคุมภายในเฉพาะงาน
4) ผู้ตรวจสอบควรรู้จักวิธีปฏิบัติในการตรวจสอบคอมพิวเตอร์ไว้หลาย ๆ วิธี

ประเทศไทย
คณะกรรมการควบคุมการประกอบวิชาชีพสอบบัญชี (ก.บ.ช.) และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย ได้ประกาศใช้มาตรฐานการสอบบัญชี ฉบับที่ 28 และ 29 เรื่อง “การสอบบัญชีในกรณีที่ธุรกิจใช้คอมพิวเตอร์” และเรื่อง “การประเมินประสิทธิภาพการควบคุมภายในกรณีกิจการใช้คอมพิวเตอร์” ซึ่งมีรายละเอียดค่อนข้างมากและได้มีผลบังคับใช้แล้ว ตั้งแต่เดือนมิถุนายน 2533 เป็นต้น

ผมเล่าประวัติศาสตร์ค่อนข้างยาวพอสมควร เพื่อให้ผู้ตรวจสอบรุ่นใหม่ทางด้าน IT และทางด้าน Manual ได้ทราบที่มา และกระบวนการเปลี่ยนแปลงการดำเนินงาน การปฏิบัติการ และการตรวจสอบที่แม้ว่าเวลาจะผ่านมาเนิ่นนานพอสมควร หลักการและเทคนิคการตรวจสอบบางอย่าง เช่น TDM – Test Data Method ก็ยังใช้ในการปฏิบัติงานได้ดี ประหยัด เทคนิคไม่ซ้ำซ้อน และไม่ต้องใช้โปรแกรมหรือเครื่องมือใด ๆ นอกจากผู้ตรวจสอบจะต้องเข้าใจหลักตรรกะ (Logic) ของการประมวลงานที่ใช้โปรแกรมเข้าช่วยในการประเมินผลพอสมควร ซึ่งจะได้กล่าวต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Perspective of CG + ITG and Related Factors to Sustainable Growth and Beyond (Continue)

มีนาคม 27, 2010

วันนี้ก็เช่นเดียวกับครั้งก่อน ๆ และที่ผ่านมา ที่ผมได้อธิบายและนำเสนอการพัฒนาและการสร้างการกำกับดูแลกิจการที่ดี อธิบายโดยใช้แผนภาพ ซึ่งดีกว่าการอธิบายด้วยถ้อยคำเป็นอย่างมาก และเข้าใจได้ง่ายนั้น ผมจะนำเสนอในมุมมองที่แตกต่างกันของหลักการและการทำความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดี ซึ่งจะนำไปสู่การปฏฺบัติได้ต้องอาศัยจิตวิญญาณ และความมุ่งมั่นของผู้บริหารระดับสูง คือตั้งแต่คณะกรรมการของทุกองค์กร และจะต้องมีการติดตามและทบทวนอย่างสม่ำเสมอ โดยเฉพาะอย่างยิ่ง การบริหารการจัดการของ CG ที่ต้องมีนโยบายการบริหารที่ควบคู่กันไปกับ ITG หรือ IT Governance อย่างแยกกันไม่ได้

ถึงแม้เราจะใช้หลักการการบริหารซึ่งมีร่มใหญ่ คือ CG + ITG ดังกล่าวข้างต้นแล้ว การปฏฺบัติที่เป็นรูปธรรมในหลายองค์กร ก็ยังไม่เป็นรูปธรรมเท่าที่ควร ทั้งนี้องค์กรส่วนใหญ่ จะมีการบริหารในลักษณะแยกกันเป็นเรื่อง ๆ โดยมีคณะกรรมการ หรือสายงานที่ดูแลตามหน้าที่ที่เกี่ยวข้อง คือบริหารในลักษณะ Functional-Based มากกว่า Role-Based ทำให้เกิดการบริหารในลักษณะ SILO ที่องค์กรส่วนใหญ่ มักอธิบายว่า ตามโครงสร้างก็จะมีการประสานงานกันอยู่แล้วในสายงาน หรือ BU ต่าง ๆ ที่เกี่ยวข้อง

แต่ในความเป็นจริง ในทางปฏิบัติ การประสานงานดังกล่าวสามารถทำได้อย่างจำกัด โดยเฉพาะอย่างยิ่ง องค์กรที่มีผู้บริหารมีอัตตา หรือไม่ชอบทำงานข้ามฝ่าย หรือคิดว่างานที่ตนทำอยู่นั้นดีที่สุดแล้ว ตาม JD และ JS ที่องค์กรกำหนด ซึ่งก็เป็นเรื่องจริงขององค์กรส่วนใหญ่ในปัจจุบัน นั่นคือ การยึดหลัก Functional-Based โดยคำนึงถึง Role-Based ค่อนข้างน้อยมาก ผลก็คือ การบริหารการจัดการซึ่งส่วนใหญ่จะเกี่ยวข้องกับ นโยบาย ซึ่งส่วนใหญ่ได้แก่การขับเคลื่อนนโยบาย กลยุทธ์ ซึ่งนำไปสู่การปฏิบัติขององค์กร จะมีจุดอ่อนที่ Operational Risk หรือจุดอ่อนที่เกี่ยวข้องกับ PPT – People + Process + Technology ซึ่งจะมีปัญหาในเรื่องการขับเคลื่อนและการบริหารแบบบูรณาการ ที่อาจเรียกย่อ ๆ ว่า GRC – Governance + Risk Management + Compliance ซึ่งเป็นการบริหารในลักษณะ Integrity Performance ที่เกี่ยวข้องกับเทคโนโลยีค่อนข้างมาก

จากการสำรวจการบริหารการจัดการทางด้านเทคโนโลยีสารสนเทศของหลายประเทศ ที่กำลังพัฒนาได้พบว่า ผู้บริหารในระดับต่าง ๆ มีความรู้ความเข้าใจในการใช้เทคโนโลยีเพื่อการบริหารและการจัดการที่ดี ในภาพโดยรวมที่อยู่ในระดับต้องปรับปรุงได้อีกมากนั้น พิจารณาได้ว่าเป็นจุดอ่อนที่มีความสำคัญเป็นอย่างยิ่งในการบริหารงานในองค์กรต่าง ๆ ของประเทศไทยเราในปัจจุบัน

ผมจะได้นำเสนอและเล่าสู่กันฟังในเรื่องการขับเคลื่อน IT Governance ที่เกี่ยวข้องกับ Corporate Governance – CG ในโอกาสต่อ ๆ ไปนะครับ

สำหรับวันนี้ยังคงนำเสนอการอธิบายด้วยแผนภาพที่เกี่ยวข้องกับ CG ในมุมมองต่าง ๆ ต่อไปอีกในระยะเวลาหนึ่ง ดังนี้

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้น ขององค์กรทั่วไป

มีนาคม 24, 2010

หลังจากที่ผมได้นำเสนอ แนวทางหรือกรอบการบริหารความเสี่ยง หรืออีกนัยหนึ่งอาจจะเรียกได้ว่าเป็นคู่มือการบริหารความเสี่ยงทั่วทั้งองค์กรไปแล้ว ซึ่งได้กล่าวถึงในเรื่องของความหมาย หรือคำจำกัดความของการบริหารความเสี่ยง กรอบการบริหารความเสี่ยง กระบวนการบริหารความเสี่ยง หน้าที่และความรับผิดชอบในการบริหารความเสี่ยง การจัดการความเสี่ยงขององค์กร การทบทวนกรอบแนวคิดการบริหารความเสี่ยงขององค์กร กระบวนการบริหารความเสี่ยงและการควบคุมภายใน 8 ประการ ตามเกณฑ์ของ COSO ข้อจำกัดของการบริหารความเสี่ยงองค์กร บทบาทและการกำกับดูแลการบริหารความเสี่ยง แนวปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงขององค์กร ลำดับขั้นของการพัฒนาความเสี่ยง รวมถึงการบริหารความเสี่ยงขององค์กรแบบยั่งยืนนั้น ท่านผู้บริหาร หรือท่านผู้อ่านสามารถติดตาม และทบทวนเนื้อหาในแต่ละเรื่องได้ในตอนที่ผ่าน ๆ มานะครับ

สำหรับเรื่องที่ผมจะนำเสนอต่อไปนี้ จะเป็นแนวทางการบริหารแผนงาน/โครงการ ซึ่งเป็นการบริหารแผนงานในมุมมองของการบริหารความเสี่ยงเบื้องต้น ที่ผู้บริหารองค์กรควรให้ความสำคัญและจัดทำควบคู่กันไปกับการบริหารความเสี่ยงองค์กร โดยมีวัตถุประสงค์ของการบริหารแผนงานและโครงการ ก็่เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า แผนงานและโครงการต่าง ๆ โดยรวมขององค์กรทั่วไป มีการใช้ทรัพยากรที่เหมาะสมที่เกี่ยวข้องกับงบประมาณ บุคลากร เวลา รวมทั้งการบริหารแผนงานและโครงการต่าง ๆ เพื่อให้องค์กรบรรลุเป้าประสงค์อย่างมั่นใจ โดยทั่วไปการบริหารแผนงาน/โครงการจะต้องมีหลักการดังนี้
1. ต้องตรงต่อเวลา
2. เป็นไปตามงบประมาณที่กำหนดไว้
3. เป็นไปตามความต้องการของคณะกรรมการ ผู้บริหารและผู้ที่เกี่ยวข้อง
4. และเป็นที่พึงพอใจของผู้ที่มีผลประโยชน์ร่วม

เพื่อให้การบริหารแผนงานและโครงการได้ผลตามที่ตั้งเป้าหมายไว้ ผู้บริหารและพนักงานในองค์กร ควรที่จะได้ทราบถึงแนวความคิดในเรื่องต่อไปนี้
– ระดับนโยบาย คือ การวางแผนกลยุทธ์หรือยุทธศาสตร์ที่เกี่ยวข้อง
– ระดับกลาง เป็นระดับที่คอยควบคุมดูแลให้การปฏิบัติเป็นไปตามนโยบาย หรือแผนงานที่ได้กำหนดไว้
– ระดับปฏิบัติ ซึ่งเป็นฐานใหญ่ขององค์กร เป็นแหล่งที่ทำให้เกิดระบบการบริหารแผนงานและโครงการ เพื่อสนองความต้องการของหน่วยงานต่าง ๆ

องค์กรควรมีการจัดทำการบริหารแผนงานและโครงการ ประกอบการเสนอการจัดทำงบประมาณ โดยย่อ ซึ่งการวางแผนงาน/โครงการ ประกอบการจัดทำงบประมาณ และเพื่อการติดตามผลการดำเนินงานขององค์กรในภาพโดยรวมเป็นสิ่งที่มีความจำเป็น เพื่อ :-
1. ให้การจัดทำงบประมาณ และการพิจารณาของผู้เกี่ยวข้องมีคุณภาพ จากการมีข้อมูลที่เพียงพอ เพื่อใช้ในการตัดสินใจ โดยเฉพาะอย่างยิ่ง หากองค์กรมีงบประมาณจำกัด และ
2. เพื่อการติดตามผลการดำเนินงาน และศักยภาพของผู้บริหารที่เกี่ยวข้อง
3. เพื่อการติดตามการใช้ และบริหารงบประมาณในเวลาที่เหมาะสม
4. เป็นกระบวนการบริหารในลักษณะของการป้องกัน และแก้ไขปัญหาในระหว่างการดำเนินการ เมื่อการบริหารแผนงานใช้แนวทางการบริหารความเสี่ยงควบคู่กันไปด้วย

จากแผนภาพด้านบนนี้แสดงให้เห็นถึงภาพรวมกระบวนการวางแผนขององค์กรทั่วไป ซึ่งผมจะมาพูดคุยในรายละเอียดของการวางแผนงาน/โครงการกันต่อในครั้งหน้า อย่าลืมติดตามนะครับ

1 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

มีนาคม 21, 2010

ท่านผู้ตรวจสอบ และท่านผู้อ่านที่ติดตามการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ก็คงได้ทราบกันไปแล้ว ถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึง รวมถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทัน และเตรียมพร้อมรับมือกับระบบงานยุคใหม่และการเปลี่ยนแปลงที่เกิดขึ้น ซึ่งก็เป็นแนวทางในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางประการ ในบางมุมมองเท่านั้นนะครับ

สำหรับในวันนี้ ผมมีแนวความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์มาเล่าสู่กันฟัง และอยากให้ท่านผู้ตรวจสอบ และผู้อ่านทุกท่านได้นำไปพินิจพิจารณากันดูครับ

1. คอมพิวเตอร์กับผลของการประเมินการควบคุมภายใน
– อาจไม่มีผลประการใด ๆ
– อาจมีผลกระทบเล็กน้อย
– อาจมีผลกระทบอย่างสำคัญ

ผู้บริหารขององค์กรต้องกำหนดให้มีการวางกฏเกณฑ์ในการควบคุมภายในอย่างมีประสิทธิภาพ เช่น การกำหนดอำนาจและการแบ่งแยกหน้าที่ การกำหนดให้มีเอกสารและการบันทึกบัญชีที่สมบูรณ์ ถูกต้อง ทันกาล ฯลฯ

2. ความรับผิดชอบของผู้บริหารต่อการควบคุมและการตรวจสอบ
มีผู้เกี่ยวข้อง 3 กลุ่มในการวางแผนการปฏิบัติงานและการควบคุม คือ
2.1. คณะกรรมการบริหารและ Audit Committee
2.2. ผู้ดำเนินงาน และ
2.3. ผู้สอบบัญชีภายใน หรืออาจมีผู้สอบบัญชีภายนอกร่วมด้วยก็ได้

3. บทบาทของคณะกรรมการบริหาร
วางแผนและจัดให้มีการควบคุมภายในของระบบงานต่าง ๆ ในภาพรวมอย่างกว้าง ๆ เพื่อลดความเสี่ยงต่าง ๆ ในส่วนที่เกี่ยวข้องกับ Operating และกำหนดให้มี Audit Functions ขึ้นมาติดตามดูแลการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ที่ได้จัดให้มีขึ้น

4. บทบาทของฝ่ายจัดการหรือผู้ดำเนินงานบางประการ
เป็นผู้รับแผนการควบคุมภายในของคณะกรรมการบริหารมาปฏิบัติ โดยจัดให้มีระเบียบ พิธีปฏิบัติและกำหนดกฎเกณฑ์ต่าง ๆ ให้ User และผู้ที่เกี่ยวข้องได้ปฏิบัติเพื่อให้การบันทึกบัญชีต่าง ๆ มีความน่าเชื่อถือได้และเป็นไปตามตัวบทกฎหมายที่เกี่ยวข้อง

5. หน้าที่ของ Board of Directors หรือ Audit Committee เบื้องต้น
ในองค์กรที่ใช้คอมพิวเตอร์ ควรจะครอบคลุมถึงการดูแลฝ่ายจัดการให้มีการปฏิบัติในเรื่องต่อไปนี้
– ระบุประเภทของความเสี่ยงต่าง ๆ ในแต่ละกิจกรรม รวมถึงสาเหตุความผิดพลาด และความผิดปกติต่าง ๆ ที่อาจจะเกิดขึ้นในองค์กรของตน
– จัดให้มีการควบคุมเพื่อลดความเสี่ยง และความผิดปกติต่าง ๆ ที่ได้รับพิจารณาแล้วนั้น โดยกำหนดเป็นระเบียบและวิธีปฏิบัติงานเป็นลายลักษณ์อักษร ให้ผู้เกี่ยวข้องยึดถือเป็นแนวปฏิบัติงาน เพื่อให้งานดำเนินไปอย่างมีประสิทธิภาพน่าเชื่อถือได้
– ดูแลให้มีการปฏิบัติตามหลักการที่ได้กำหนดขึ้นแล้ว

6. บทบาทของผู้สอบบัญชีภายใน
– ติดตามดูแลให้มีการปฏิบัติตามนโยบายและวิธีการปฏิบัติงานตามที่คณะกรรมการบริหารฝ่ายจัดการได้กำหนดขึ้น
– ช่วยเหลือคณะกรรมการบริหารงาน และฝ่ายจัดการตามที่ได้รับมอบหมาย โดยเฉพาะอย่างยิ่งเข้าไปมีส่วนร่วมการจัดวางให้มีระบบการควบคุม และระบบตรวจสอบ ตั้งแต่ในระยะขั้นตอนการพัฒนาระบบงาน
– ปรับปรุง ศึกษา ค้นคว้า เทคนิคที่เกี่ยวข้องกับการพัฒนาทางเทคโนโลยีทางด้านคอมพิวเตอร์ เพื่อรักษามาตรฐานการปฏิบัติงาน ให้เหมาะสมกับสิ่งแวดล้อมที่เปลี่ยนแปลงไป

7. บทบาทของผู้สอบบัญชีภายนอก
– ประเมินความน่าเชื่อถือได้ของระบบการควบคุมภายใน เพื่อกำหนดขอบเขตการปฏิบัติงานตรวจสอบในเรื่องที่เกี่ยวข้อง
– ทดสอบการควบคุมภายใน และการปฏิบัติงานที่สำคัญ หากพิจารณาว่า การควบคุมภายในน่าเชื่อถือได้
– ทดสอบความน่าเชื่อถือได้ของข้อมูลทางการบัญชี และการเงินในงบการเงิน ในกรณีที่ผู้สอบบัญชีภายนอก พบจุดอ่อนหรือความผิดปกติของการควบคุมภายในที่มีนัยสำคัญ หรือพบเรื่องที่มีการปฏิบัติฝ่าฝืนกฎหมาย หรือกฎระเบียบข้อบังคับของบริษัท External Auditor จะต้องแจ้งให้ Operating Management ทราบด้วยเสมอ

8. ความรับผิดชอบของการตรวจสอบทางด้าน Computer หรือ IS Audit
มาตรฐานการตรวจสอบทางด้าน Field Work ที่เกี่ยวข้องกับการประเมินการควบคุมภายใน ในองค์กรที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบจะครอบคลุมถึงเรื่องต่อไปนี้เป็นพื้นฐานด้วย คือ
– ความเข้าใจพื้นฐานของทางเดินของรายการในแต่ละระบบงานตั้งแต่ต้นจนจบ
– ความเข้าใจพื้นฐานของโครงสร้างการควบคุม ทั้งในส่วนที่เป็น Manual และส่วนที่เป็น Computer
– ความตั้งใจถึงการตรวจสอบใน File ต่าง ๆ ที่ใช้ในการทำงบการเงิน
– ในกรณีที่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หากโปรแกรมนั้นพัฒนาโดยองค์กรที่ถูกตรวจสอบแล้ว ผู้สอบบัญชีจะต้องทดสอบโปรแกรมนั้น ก่อนให้ความเชื่อถือข้อมูลที่ได้จากการตรวจสอบด้วยเสมอ
– การประเมินการควบคุมภายในด้านคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ จะต้องดำเนินการโดยผู้ตรวจสอบที่มีประสบการณ์ด้านคอมพิวเตอร์อย่างเพียงพอ
– การประเมินการควบคุมในด้านคอมพิวเตอร์ ผู้ประเมินจะต้องมีความเข้าใจในลักษณะโครงสร้างของการควบคุมในองค์กรที่ตรวจสอบอย่างแท้จริง นั่นคือ ผู้ตรวจสอบควรจะทราบว่าองค์กรนั้น ควรต้องมีการควบคุมภายในอย่างไรบ้าง แทนที่จะประเมินหรือติดตามแต่เพียงว่าองค์กรนั้นได้ปฏิบัติตามการควบคุมที่มีอย่างไร เป็นต้น
– ผู้ประเมินต้องรวบรวมหลักฐานที่มี เพื่อยืนยันความเข้าใจในระบบการควบคุมภายในด้านคอมพิวเตอร์

9. วิธีการตรวจสอบระหว่างระบบงานด้านคอมพิวเตอร์
ผู้ตรวจสอบงานด้าน Computer หรือ Computer / IT Auditor หรือ Information System (IS) ผู้ตรวจสอบที่ประสบความสำเร็จ การตรวจสอบนั้นควรจะตั้งอยู่บนพื้นฐานดังนี้
– มีความเข้าใจในวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ตามฐานความเสี่ยงอย่างเพียงพอ และ
– มีพื้นฐานความรู้ทางคอมพิวเตอร์ เทคโนโลยีและ Concept ของการตรวจสอบงานด้านคอมพิวเตอร์ที่จะกำหนดขอบเขต และขั้นตอนการตรวจสอบที่ได้ผล
– มีความรู้เกี่ยวกับการบริหารความเสี่ยง จาก Risk IT และ IT Risk ที่มีผลต่อ Business Process และ Business Objective ขององค์กร ในมุมมองการบริหารแบบบูรณาการยุคใหม่

ขั้นตอนการตรวจสอบข้างต้นนั้น มีรายละเอียดและขั้นตอนที่ผู้ตรวจสอบพึงทราบ และพึงเข้าใจหลายประการ ในเรื่องระบบงานและรายการต่าง ๆ ที่ประมวลผล โดยเฉพาะอย่างยิ่งขั้นตอนการรวบรวม และประมวลเอกสาร และหลักฐานการตรวจสอบที่เกี่ยวข้อง

วิธีการตรวจสอบดังกล่าว ได้ครอบคลุมโครงสร้างขององค์กร ทั้งในแนวตั้งและแนวนอน ผู้ตรวจสอบต้องเข้าใจธุรกิจที่จะตรวจสอบอย่างถ่องแท้ ต้องเข้าใจกิจกรรมต่าง ๆ ในแต่ละงานที่ตรวจสอบ และแน่นอนว่า ผู้ตรวจสอบต้องเข้าใจโครงสร้างของการควบคุมที่จำเป็นในแต่ละกิจกรรมนั้น เพื่อบรรลุวัตถุประสงค์ของการตรวจสอบด้วยเสมอ

โดยสรุป วิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะช่วยให้ผู้ตรวจสอบคำนึงถึง
– ผู้ตรวจสอบจะต้องตรวจสอบอะไร อย่างไร ด้วยวิธีการใด
– เมื่อใดที่ควรจะทำการตรวจสอบหรือทดสอบ
– ทรัพยากรอะไรบ้างภายในองค์กรที่ต้องการตรวจสอบ
– หลักฐานที่เกี่ยวข้องกับผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Information Balanced Scorecard และที่มีต่อ Business Balanced Scorecard คืออะไร

ปิดความเห็น บน แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ) | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินและการวิเคราะห์การบริหารความเสี่ยงด้วยตนเอง

มีนาคม 17, 2010

ท่านลองวิเคราะห์ตัวเองในแนวทางการบริหารความเสี่ยงที่ยังไม่เป็นระบบ และมีแนวทางการบริหารความเสี่ยงในเชิงรับที่พิจารณาได้ว่า องค์กรของท่านยังไม่มี Risk Based Internal Control และ/หรือ องค์กรของท่านยังขาดการจัดการความเสี่ยงในระดับองค์กร (ในระดับสูง) ที่อาจพิจารณาได้ว่า องค์กรของท่านมีการบริหารความเสี่ยงในระดับที่ต่ำ ซึ่งจะต้องปรับปรุงแก้ไขเป็นอย่างมาก ดังนี้

1. ระบบบริหารความเสี่ยงขององค์กร มีการระบุปัจจัยเสี่ยง ประเมินความเสี่ยง และกำหนดแผนบริหารความเสี่ยง ซึ่งเป็นการดำเนินงานในระดับปฏิบัติการ และเป็นการระบุความเสี่ยงในระดับส่วนงานที่ยังไม่เป็นการดำเนินงานบริหารความเสี่ยงในระดับองค์กร (พิจารณาได้ว่า องค์กรของท่านยังควรปรับปรุงความเข้าใจ และปรับปรุงแนวการปฏิบัติและจัดให้มีการบริหารความเสี่ยง และการดำเนินงานในระดับองค์กร แทนการดำเนินงานแค่เพียงระดับส่วนงาน ซึ่งผิดหลักการ COSO – ERM)

2. องค์กรขาดการสร้างองค์ความรู้ ขาดความเข้าใจ ขาดการสื่อสารที่ดี ในเรื่องการบริหารความเสี่ยงให้กับผู้บริหารและพนักงาน ทั้งนี้ องค์กรไม่ได้จัดให้มีการบรรยาย หรือสัมมนาสร้างความเข้าใจให้ความรู้เรื่องการบริหารความเสี่ยงให้กับผู้บริหาร และพนักงาน

3. องค์กรมีองค์ประกอบหลักของการบริหารความเสี่ยงที่ดีไม่ครบถ้วน เช่น นโยบายและกลยุทธ์การบริหารความเสี่ยง การกำหนดวัตถุประสงค์ การบ่งชี้ความเสี่ยง การประเมินความเสี่ยง การจัดการความเสี่ยง และการติดตามผลและการรายงาน ทั้งนี้ องค์กรยังไม่สามารถระบุความเสี่ยงในระดับองค์กรได้ แต่มีการระบุความเสี่ยงแค่ในระดับแผนก หรือสายงานย่อย โดยระบุถึงความเสียหายและกำหนดวิธีการจัดการต่อความเสี่ยงเพียงระดับปฏิบัติการ อีกทั้งยังขาดการติดตามรายงานผลการบริหารความเสี่ยงที่เป็นระบบ ไปยังผู้บริหารและคณะกรรมการได้รับทราบ

4. องค์กรขาดหลักฐานในการควบคุมภายในตามฐานความเสี่ยง (Risk Based Internal Control)

5. องค์กรของท่านอาจมีองค์ประกอบการบริหารความเสี่ยงที่ดีครบถ้วน แต่ยังขาดการจัดการต่อความเสี่ยงที่มีความสำคัญระดับสูง ทั้งนี้เพราะองค์กรยังไม่สามารถระบุความเสี่ยงที่มีความสำคัญระดับสูง ซึ่งหมายถึงความเสี่ยงระดับองค์กรได้ ทำให้ขาดกระบวนการจัดการต่อความเสี่ยงที่มีนัยสำคัญต่อความสำเร็จขององค์กร ซึ่งเป็นเรื่องสำคัญยิ่งในหลักการบริหารความเสี่ยง

6. องค์กรขาดการบริหารความสอดคล้องระหว่างองค์ประกอบหลักของการบริหารความเสี่ยงที่ดี ตามที่ได้กล่าวไว้ในข้อ 3. ข้างต้น

7. องค์กรไม่มีคณะทำงานหรือหน่วยงาน เพื่อจัดการกับความเสี่ยงในระดับองค์กร ทำให้องค์กรไม่สามารถที่จะบริหารภาพรวมให้ไปสู่การบรรลุแผนธุรกิจขององค์กร ตามหลักการของ COSO – ERM ได้

8. องค์กรไม่มีคู่มือการบริหารความเสี่ยง หรือมีคู่มือการบริหารความเสี่ยง แต่ขาดความสมบูรณ์ตามหลักการที่กำหนดไว้ใน COSO – ERM (Enterprise Risk Management) และ/หรือ ไม่มีการทบทวนคู่มือการบริหารความเสี่ยงประจำปี ที่มีหลักฐานที่พิสูจน์ได้

หากองค์กรของท่านมีจุดอ่อนตามที่กล่าวในข้างต้น ข้อหนึ่งข้อใด ก็พิจารณาได้ว่า องค์กรของท่านยังมีระดับการบริหารความเสี่ยงที่ควรปรับปรุงได้อีกมาก ทั้งนี้เพราะการประเมินตนเอง ทั้ง 8 ข้อดังกล่าวข้างต้นนั้น เป็นพื้นฐานที่สำคัญที่ทุกองค์กรจะต้องจัดให้มีขึ้น ก่อนที่จะก้าวไปสู่กระบวนการบริหารความเสี่ยงที่ดีอย่างเป็นระบบ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คน 6 คน กับ หมวก 6 สี (Six Thinking Hats) กับความคิดที่แตกต่างกันของคนในองค์กร และประชาชนในชาติ (ต่อ)

มีนาคม 17, 2010

สวัสดีครับ ยังคงคุยค้างกันเอาไว้ในเรื่องของ คน 6 คน กับหมวก 6 สี หรือ Six Thinking Hats ที่กล่าวถึงคุณลักษณะของหมวกแต่ละสี ที่สะท้อนความคิดเห็น และความเข้าใจของแต่ละคน แต่ละกลุ่ม โดยในครั้งที่แล้วผมได้พูดถึงบุคคลที่สวมหมวกไปแล้ว 2 สี คือ หมวกสีขาว (White Hat) และ หมวกสีเหลือง (Yellow Hat)

สำหรับวันนี้ผมจะขอกล่าวถึงบุคคลที่สวมหมวกสีอื่น ๆ ที่เหลือ คือ หมวกสีเขียว สีน้ำเงิน สีแดง และสีดำ ต่อเลยนะครับ

หมวกสีเขียว (Green Hat)
บุคคลที่สวมหมวกสีเขียว หมายถึง บุคคลที่คิดเชิงสร้างสรรค์ มีจิตนาการ มีความน่าจะเป็น ทางเลือก หรือความคิดใหม่ ได้แก่
– การค้นหาทางเลือก หรือวิธีการใหม่ ๆ
– การคิดที่ไม่ต้องมีเหตุผลอย่างเป็นตรรก เพื่อเปิดโอกาสให้แสดงความคิดอย่างไม่ต้องมีข้อจำกัดใด ๆ
– การย้ายจากความคิดหนึ่งไปยังความคิดอื่น ๆ เพื่อทำให้เกิดความคิด หรือทางเลือกที่หลากหลาย

หมวกสีน้ำเงิน (Blue Hat)
บุคคลที่สวมหมวกสีน้ำเงิน หมายถึง บุคคลที่มองภาพรวมในการจัดกระบวนการทางความคิด ได้แก่
– การเน้นการควบคุม หรือการกำกับกระบวนการ
– การจัดระบบความคิด
– การโยงไปสู่การใช้หมวกสีอื่น ๆ
– การกำหนดจุดมุ่งเน้น : ชี้ไปที่ปัญหาและรูปแบบคำถาม
– ความรับผิดชอบในการสรุปผล ภาพรวมและบทสรุป
– ความมั่นใจว่ามีการปฏิบัติตามกฎ

หมวกสีแดง (Red Hat)
บุคคลที่สวมหมวกสีแดง หมายถึง บุคคลที่ใช้ความรู้สึก ลางสังหรณ์ สัญชาตญาณ อารมณ์และความรู้สึกที่ถูกต้อง เพื่อเข้าใจว่าคนมีอารมณ์และจะจัดการกับสิ่งนี้ได้อย่างไร ได้แก่
– การเข้าใจในปฏิกิริยาของคนที่ไม่ใช้เหตุผล
– การคิดที่ใช้ในระยะเวลาสั้น ๆ
– การให้คิดโดยไม่จำเป็นต้องใช้เหตุผลหรือเกณฑ์พื้นฐาน
– การยอมให้มีการสำรวจความรู้สึกของผู้อื่น

หมวกสีดำ (Black Hat)
บุคคลที่สวมหมวกสีดำ หมายถึง บุคคลที่มองโลกในแง่ร้าย โดยตระหนักถึงปัญหา และอุปสรรคต่าง ๆ ของการแก้ไขปัญหา ได้แก่
– การคิดในเชิงลบ เช่น สิ่งที่จะทำให้บรรลุผลตามที่คาดไว้
– การระมัดระวัง – ไม่โต้แย้ง
– การวิเคราะห์ความเสี่ยง
– การบ่งชี้อันตรายและปัญหาต่าง ๆ ที่อาจเกิดขึ้น
– การบ่งชี้ข้อผิดพลาดในการออกแบบ
– การบ่งชี้ว่าการโต้แย้งไม่เหมาะสมกับความเป็นจริง ประสบการณ์ที่มีอยู่ ระบบที่ใช้หรือนโยบายที่กำลังพัฒนาอยู่

เป็นอย่างไรบ้างครับสำหรับ บุคคล 6 คน หรือกลุ่มบุคคล 6 กลุ่ม ที่สวมหมวกทั้ง 6 สีที่ได้นำเสนอไป ก็ขอให้ท่านผู้อ่านนำไปประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมขององค์กร เหมาะสมและสอดคล้องกับหลักการบริหาร และการจัดการที่ดี เพื่อให้เกิดประโยชน์สูงสุดกับองค์กรหรือกับทั้งตัวท่านเอง

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »