แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

มีนาคม 15, 2010

สำหรับเรื่องของ CG ในวันนี้ ผมจะยังคงนำเสนอสรุปเรื่องของ CG ที่เป็นภาพใหญ่ของกระบวนการบริหาร และการจัดการของทุกองค์กร ซึ่งจะขอนำเสนอเป็นแผนภาพเพื่อให้เข้าใจได้ง่าย ตามที่ได้เรียนท่านผู้อ่านไว้ในครั้งก่อน ๆ เพื่อเป็นการทบทวน และสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

โดยครั้งที่แล้ว ผมได้นำเสนอถึงแผนภาพของวงจรการพัฒนาการกำกับดูแลกิจการที่ดีขององค์กร และในวันนี้จะเป็นเรื่องของ กระบวนการสร้างการกำกับดูแลกิจการที่ดี ซึ่งแผนภาพนี้จะสรุปและอธิบายไปในตัวอยู่แล้ว ขอให้ท่านผู้อ่านได้ดูแผนภาพด้านล่างนี้อย่างพิจารณา ก็จะทำให้เข้าใจได้อย่างไม่ยากเย็น

ครั้งหน้าเราไปดูองค์รวมของการกำกับดูแลกิจการที่ดีขององค์กรกันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มีนาคม 11, 2010

จากที่ได้ทิ้งท้ายไว้ครั้งที่แล้วว่า องค์กรที่จะประสบความสำเร็จมากที่สุดก็คือ องค์กรที่ผู้บริหารสามารถนำเอาการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการเพิ่ม มูลค่าผู้ถือหุ้น หรือคุณค่าขององค์กร เพื่อให้การบริหารความเสี่ยงขององค์กรก้าวไปสู่ความเป็นเลิศได้ และนอกจากผู้บริหารองค์กรจะบริหารความเสี่ยงให้ก้าวสู่ความเป็นเลิศแล้ว สิ่งที่เป็นความท้าทายสำหรับผู้บริหารอย่างยิ่งก็คือ การบริหารความเสี่ยงแบบยั่งยืน ซึ่งเป็นเรื่องที่ผมจะขอพูดถึงในวันนี้

การปลูกฝังนโยบาย โครงสร้าง และกระบวนการบริหารความเสี่ยงในกิจกรรมการปฏิบัติงานปกติขององค์กร เป็นขั้นตอนที่สำคัญในการพัฒนากรอบการริหารความเสี่ยงที่มีประสิทธิภาพ

ความสำคัญอีกประการหนึ่ง คือ การสร้างความยั่งยืนให้กับกรอบการบริหารความเสี่ยง ทั้งนี้ เพื่อให้มั่นใจได้ว่าความเสี่ยงที่ผู้บริหารรับทราบแล้ว และคาดว่าจะเกิดขึ้นได้ถูกจัดการอย่างมีประสิทธิภาพ ส่วนความเสี่ยงใหม่ได้รับการบ่งชี้เพิ่มเติม โดยมีการสื่อสารและการตอบสนองอย่างเหมาะสม

การทำให้เกิดกรอบการบริหารความเสี่ยงที่ยั่งยืน ประกอบด้วยปัจจัยดังต่อไปนี้
– การมีกรอบการบริหารความเสี่ยงเพื่อบ่งชี้ความเสี่ยงที่องค์กรมีอยู่
– การมีระบบเพื่อให้มั่นใจได้ว่ามีการปฏิบัติอย่างเหมาะสมเพื่อลดความเสี่ยงที่เกิดขึ้น
– การมีระบบและการควบคุมอย่างเหมาะสมเพื่อบ่งชี้ความเสี่ยงใหม่ที่กำลังเกิดขึ้นก่อนที่จะก่อให้เกิดปัญหาสำคัญ
– การประเมินประสิทธิผลของกิจกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ
– การรายงานและการประเมินความสูญเสียจากส่วนต่าง ๆ ขององค์กรภายใต้กรอบการบริหารความเสี่ยงที่กำหนด

การดำเนินธุรกิจควรคำนึงถึงการบริหารความเสี่ยง พร้อมทั้งมีการประเมินผลและปรับเปลี่ยนให้เหมาะสมอย่างสม่ำเสมอเพื่อให้กรอบการบริหารความเสี่ยงมีความยั่งยืน องค์ประกอบทั้ง 3 ส่วนได้แสดงไว้ในตาราง ต่อไปนี้

การทำให้กรอบการบริหารความเสี่ยงมีความเหมาะสมกับวัตถุประสงค์ที่กำหนดขึ้นต้องอาศัยระยะเวลา ความพยายามและวัฒนธรรมที่สนับสนุนให้เกิดการเปลี่ยนแปลง ขั้นตอนพื้นฐานที่ควรพิจารณาโดยคณะกรรมการบริหารความเสี่ยงและคณะอนุกรรมการบริหารความเสี่ยง ได้แก่

ครั้งหน้าผมจะพูดถึงแนวทางการบริหารแผนงาน/โครงการ ในมุมมองของการบริหารความเสี่ยงเบื้องต้นขององค์กรทั่วไป โปรดติดตามนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คน 6 คน กับ หมวก 6 สี (Six Thinking Hats) กับความคิดที่แตกต่างกันของคนในองค์กร และประชาชนในชาติ

มีนาคม 8, 2010

Six Thinking Hats เป็นเทคนิคที่มีความสำคัญ และมีประสิทธิภาพมาก พัฒนาโดย Edward de Bono เป็นกรอบการทำงานที่มองการคิดหลาย ๆ แบบ โดยมีการอุปมาหมวกทั้ง 6 สี เพื่อแสดงถึงความคิดประเภทต่าง ๆ ทำให้เกิดความคิดนอกเหนือจากรูปแบบการคิดที่เป็นปกติวิสัย แต่ช่วยให้มีมุมมองที่กว้างขึ้นตามแต่สถานการณ์ ซึ่งผู้บริหารควรเข้าใจ เพื่อให้การดำเนินการวิเคราะห์ CSA – Control Self Assessment ได้ผลอย่างแท้จริงระหว่างการประชุม หรือ ทำความเข้าใจกับประชาชน ในมุมมองที่แตกต่างกันนำมาสู่เป้าประสงค์ขององค์กร หรือของประเทศได้

คุณลักษณะของหมวกแต่ละสี ซึ่งสะท้อนความคิดเห็น และความเข้าใจของแต่ละคน แต่ละกลุ่ม อาจอธิบายได้สั้น ๆ ตามหลักวิชาการ ซึ่งต้องนำไปประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมภายในองค์กร และภายในประเทศ ตามความเหมาะสมกับสถานการณ์ ที่ควรจะสอดคล้องกับหลักการบริหาร และการจัดการที่ดี (CG) และกรอบการจัดการบริหารแบบสอดประสานและบูรณาการ เป็นเอกภาพในระดับชาติ ตามที่เห็นสมควรต่อไปดังนี้ครับ

หมวกสีขาว (White Hat)
บุคคลที่สวมหมวกสีขาว หมายถึง บุคคลที่มุ่งเน้นข้อเท็จจริงที่มีอยู่ และคิดว่าจะสามารถนำไปใช้ประโยชน์ได้อย่างไร ได้แก่
– การวิเคราะห์ข้อมูล หรือแนวโน้มในอดีต
– การวางตัวเป็นกลางและมุ่งไปที่จุดมุ่งหมาย
– การพิจารณาความจริงและไตร่ตรองอย่างรอบคอบแล้ว
– การบ่งชี้ข้อมูลที่ขาดหายไป
– การกำหนดข้อเท็จจริงที่ดีที่สุด ที่ตรวจสอบและพิสูจน์แล้ว
– การกำหนดข้อเท็จจริงระดับรองที่เชื่อว่าเป็นจริง
– การไม่ใช้ความคิดเห็นส่วนตัว แต่พิจารณาจากข้อมูลที่มีอยู่

หมวกสีเหลือง (Yellow Hat)
บุคคลที่สวมหมวกสีเหลือง คือ บุคคลที่มองโลกในแง่ดี ซึ่งช่วยให้เห็นคุณค่า และประโยชน์ของสิ่งที่กำลังตัดสินใจ ตัวอย่างเช่น
– การไต่ถามและค้นหาคุณค่าและผลประโยชน์
– การมองหาการสนับสนุนที่มีเหตุผล
– การริเร่มและสนับสนุนความคิดเห็นต่าง ๆ
– การมองหาโอกาส
– การเปิดกว้างยอมรับวิสัยทัศน์และความฝัน
บุคคลที่สวมหมวกสีเหลืองช่วยให้การคิดดำเนินต่อไปได้ เมื่ออยู่ในบรรยากาศที่เริ่มมีข้อจำกัด และมีความยาก

สำหรับหมวกสีอื่น ๆ ที่จะกล่าวต่อไปคือ หมวกสีแดง สีน้ำเงิน สีเขียว และสีดำ จะได้กล่าวถึงคุณลักษณะของแต่ละสีที่ใช้ในการบริหารและการจัดการ เพื่อสร้างคุณค่าเพิ่มให้แก่องค์กรและระดับชาติ ในตอนต่อไปนะครับ ขอเพียงว่าประยุกต์ใช้ให้ถูกต้องตามสภาพแวดล้อมที่เหมาะสม ด้วยความเป็นธรรม โปร่งใส ตรวจสอบได้อย่างแท้จริง ตามหลักการ CG ต่อไป

1 ความเห็น | คุยกับผู้เขียน | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การบริหารการแบ่งสีกับความเห็นเชิงแนะนำของทูตเยอรมัน นายฮันส์ เอช. ชูมัคเกอร์

มีนาคม 8, 2010

จากหนังสือพิมพ์เดลินิวส์ ฉบับที่ 22038 วันเสาร์ที่ 13 กุมภาพันธ์ 2553 พาดหัวข่าวว่า “ทูตเมืองเบียร์ อนาถใจไทยแบ่งสี สอนมวยเตือนรัฐบาล อย่าเพาะศัตรูรอบบ้าน”

ทูตเมืองเบียร์ นายฮันส์ เอช. ชูมัคเกอร์ เอกอัครราชทูตเยอรมนีประจำประเทศไทยให้ สอนรัฐบาลไทยอย่าสร้างศัตรูกับประเทศเพื่อนบ้าน โดยเฉพาะอาเซียน อนาถใจเห็นคนไทยแตกแยก ไม่เล่นการเมืองในสภา แต่ลงมาเล่นข้างถนน ชี้ทหารตัวการสำคัญสร้างปัญหา ลั่นประชาธิปไตยไม่เกิด ถ้าทหารยังแทรกแซง

นายฮันส์ เอช. ชูมัคเกอร์ ให้สัมภาษณ์ในนามส่วนตัว ภายหลังมอบป้ายความร่วมมือโครงการโรงเรียนความร่วมมือแห่งอนาคต แก่โรงเรียนเบญจมะมหาราช ถึงมุมมองต่อประเทศที่กำลังขัดแย้งกับประเทศเพื่อนบ้านว่า อยากให้มองดูกลุ่มประเทศยุโรปที่มีความเจริญรุ่งเรืองเพราะร่วมมือกัน จึงฝากถึงรัฐบาลไทยว่า จะอยู่เพียงลำพังประเทศเดียวไม่ได้ รัฐบาลไทยต้องแสวงหาความร่วมมือกับต่างประเทศ โดยเฉพาะกลุ่มเพื่อนอาเซียน

เอกอัครราชทูตเยอรมนี ประจำประเทศไทยกล่าวต่อว่า ไทยมีความพร้อมกว่าหลายประเทศ แต่น่าเสียใจที่คนในประเทศแตกแยกกัน ความแตกแยกจะฉุดให้ประเทศถอยหลัง ความเห็นแตกต่างทางการเมืองควรว่ากันในสภา ไม่ควรมาว่ากันบนถนน ในศตวรรษที่ 21 ทหารมีแต่ทำให้สังคมมีปัญหาและทหารมีแต่สร้างปัญหา การที่จะไม่ให้ทหารมายุ่งกับการเมือง ต้องทำให้ประชาชนเข้าใจและพัฒนาประชาธิปไตย โดยประชาชนจัดระบบด้วยตัวเอง ประชาธิปไตยจะเกิดได้ก็ต่อเมื่อไม่มีการแทรกแซงจากทหาร

วิเคราะห์ข่าวข้างต้นตามแนวทางการบริหารความเสี่ยง ตามหลัก COSO – ERM (Enterprise Risk Management) ตามหลักการที่องค์กรทั่วโลกยอมรับ และใช้กันอย่างแพร่หลายในปัจจุบัน ทั้งหน่วยงานรัฐวิสาหกิจ และหน่วยงานเอกชน ก็จะพบว่า การบริหารความเสี่ยงระดับประเทศ ซึ่งต้องดำเนินการควบคู่กันไปกับ การกำกับดูแลกิจการที่ดี (CG – Governance และ ITG – IT Governance) ควบคู่กันไปกับการควบคุมภายในและการตรวจสอบ เพื่อให้เป็นไปตามวิสัยทัศน์ และนโยบายของประเทศนั้น มีเรื่องที่น่าจะปรับปรุงได้มากพอสมควร หากผู้บริหารของรัฐบาล ไม่ว่าจะในยุคใด สมัยใด จะนำหลักการบริหารจัดการองค์กรมาใช้กับการบริหารจัดการองค์กรระดับประเทศ

ข้อสำคัญก็คือ ประเทศไทยเราได้กำหนดวิสัยทัศน์ ซึ่งเป็นทิศทางการดำเนินงานของประเทศในระยะยาวว่า ประเทศไทย ควรเป็นเช่นใด เช่น ในอีก 10 ปีข้างหน้า ทางรัฐฯ และประชาชนทั่วไปทราบกันแล้วหรือยังว่า ทิศทางของประเทศไทย และจุดยืนที่ต้องการจะไปให้ถึงนั้นคืออะไร หากประเทศไทยขาดวิสัยทัศน์ เช่น การกำหนดว่า ในปี 2563 คือ “อีก 10 ปีข้างหน้า ประเทศไทยจะเป็นประเทศที่พัฒนา และเป็นประชาชนมีความสุข และมีความปรองดองเกิดขึ้นในประเทศอย่างยั่งยืนแล้ว” เป็นต้น

หากวิสัยทัศน์เป็นไปดังกล่าว และมีการกำหนดเป็นวิสัยทัศน์ของประเทศจริง รัฐบาลต้องมีนโยบาย และแผนงานระดับชาติ โดยมีกลยุทธ์ที่สนับสนุนอย่างชัดเจน ถึงทิศทางและแนวทางในการก้าวเดินไปสู่เป้าหมายดังกล่าว โดยมีตัวชี้วัดที่ชัดเจน ทั้งในลักษณะ Lead Indicators และ Lack Indicators อีกทั้งต้องกำหนด กระทรวง ทบวง กรม ที่ต้องรับผิดชอบ ในการขับเคลื่อนไปสู่ทิศทางดังกล่าว อย่างเป็นเอกภาพ และเป็นบูรณาภาพ ตามหลักการ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็นกรอบการบริหารที่ท้าทายภาคเอกชน รัฐวิสาหกิจ และภาคราชการอย่างมากในปัจจุบัน

ท่านที่สนใจลองติดตามอ่านในหัวข้อต่าง ๆ ที่เกี่ยวข้อง ตามที่ปรากฎใน http://www.itgthailand.com นี้นะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

มีนาคม 6, 2010

สวัสดีครับ หัวข้อนี้ก็ยังคงพูดคุยกันอยู่ในเรื่องของแนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งเป็นแนวทางในบางมุมมองของผม และก็เป็นเพียงแนวทางในเบื้องต้นที่ใช้ในการบริหารงานตรวจสอบ โดยในครั้งที่แล้วผมได้พูดถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทันกับการเปลี่ยนแปลงที่เกิดขึ้น และวันนี้ผมก็จะมาพูดถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึงกันครับ

การตรวจสอบของผู้ตรวจสอบเกี่ยวกับการบันทึกรายการบัญชีในระบบเดิม ผู้ตรวจสอบจะต้องคำนึงถึงความไม่แน่นอนในการปฏิบัติงานของพนักงานเป็นหลักในการตรวจสอบ แต่จะนำหลักการนี้มาใช้กับการตรวจสอบระบบบัญชีที่ใช้คอมพิวเตอร์ไม่ได้ เพราะเป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การทำงานของคอมพิวเตอร์นั้นแม่นยำ แน่นอน และสม่ำเสมอ เพราะใช้โปรแกรมชุดเดียวกันในการประมวลผลข้อมูลด้านบัญชีที่เหมือน ๆ กันไปบันทึกบัญชีตามที่กำหนดไว้ด้วยคอมพิวเตอร์ หากเป็นสถาบันการเงินในบางมุมมองก็คือ
– การบันทึกบัญชีเงินฝากรายตัวแต่ละประเภท
– การคำนวณดอกเบี้ยเงินฝากตามประเภทเงินฝาก อัตราดอกเบี้ย และระยะเวลา
– การบันทึกเงินให้สินเชื่อรายตัวแต่ละประเภท
– การควบคุมอำนาจการให้สินเชื่อของผู้มีอำนาจในการปล่อยสินเชื่อ
– การคำนวณดอกเบี้ยส่วนลดเงินให้สินเชื่อตามประเภทเงินให้สินเชื่อ อัตราดอกเบี้ย และระยะเวลา
– การออกรายงานแยกประเภทหลักประกันสินเชื่อ ประเภทสินเชื่อ ธุรกิจที่องค์รกรให้สินเชื่อ
– การแยกประเภทการออกหนังสือค้ำประกันลูกค้า
– การคำนวณค่าเสื่อมราคาทรัพย์สินถาวร
– การบันทึกบัญชีรายได้ รายจ่าย กำไรขาดทุน
– การบันทึกบัญชีทรัพย์สิน หนี้สิน ส่วนของผู้ถือหุ้น
– การบันทึกบัญชีแยกประเภททั่วไป
– การจัดทำงบการเงิน เช่น งบดุล งบกำไรขาดทุน งบกำไรสะสม
– อื่น ๆ

ดังนั้น ผู้ตรวจสอบจึงจำเป็นต้องปรับปรุงวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับวิธีการปฏิบัติงานขององค์กร ที่เปลี่ยนจากระบบ Manual เป็นระบบ Computer ที่ต้องเข้าใจหลักการบริหารความเสี่ยงทั่วทั้งองค์กร และคำนึงถึงเทคนิคการตรวจสอบ เช่น การใช้ TDM – Test Data Method ซึ่งเป็นการตรวจสอบ Through Computer ง่าย ๆ แบบหนึ่ง หรือใช้โปรแกรมอื่น ๆ เข้าช่วยในการตรวจสอบด้วย เป็นต้น

สิ่งที่ผู้ตรวจสอบต้องคำนึงถึง คือ
1. วัตถุประสงค์ในการตรวจสอบ
ผู้ตรวจสอบภายในและผู้สอบบัญชี เป็นกลุ่มบุคคลที่ทำหน้าที่ตรวจสอบการปฏิบัติงานและฐานะการเงินขององค์กร ผู้ตรวจสอบภายในจะเน้นความสำคัญของการตรวจสอบของการปฏิบัติงาน ในขณะที่ผู้สอบบัญชีให้ความสำคัญเกี่ยวกับการตรวจสอบระบบการบัญชีและงบการเงิน แต่อย่างไรก็ตามบุคคลทั้งสองกลุ่มก็มีวัตถุประสงค์ของการตรวจสอบเหมือนกัน คือ

1.1. ตรวจสอบเพื่อให้แน่ใจว่า ในองค์กรนั้นมีและใช้ระบบการควบคุมความเสี่ยงที่เหมาะสม
1.2. ตรวจสอบว่าการใช้ทรัพย์สินมีประสิทธิภาพหรือไม่
1.3. ตรวจสอบว่ามีการป้องกันรักษาทรัพย์สินขององค์กรอย่างเหมาะสมหรือไม่
1.4. ตรวจสอบว่าระบบการบันทึกข้อมูลและการจัดทำงบการเงิน ถูกต้องและเชื่อถือได้หรือไม่
1.5. ตรวจสอบว่าองค์กรนั้น มีระบบ IT Security และการควบคุมที่เกี่ยวข้องอย่างเหมาะสมหรือไม่ โดยเฉพาะอย่างยิ่งการปฏิบัติตาม Compliance ++

ในปัจจุบัน มีการนำคอมพิวเตอร์มาใช้งานด้านบัญชีและการจัดทำงบการเงิน รวมทั้งการบริหารและการวิเคราะห์กันอย่างแพร่หลายแทบทุกเรื่อง ก็มิได้ทำให้วัตถุประสงค์ในการตรวจสอบของผู้ตรวจสอบภายในและผู้สอบบัญชีเปลี่ยนแปลงไป แต่ที่เปลี่ยนแปลงไปอย่างชัดเจนก็คือ วิธีและเทคนิคที่ใช้ในการตรวจสอบ ซึ่งเป็นเรื่องสำคัญมาก

2. สาเหตุที่คอมพิวเตอร์ทำให้ผู้ตรวจสอบต้องเปลี่ยนแปลงวิธีและเทคนิคในการตรวจสอบ
การนำคอมพิวเตอร์มาใช้งานด้านการบัญชีขององค์กร ไม่ทำให้ระบบการบัญชีมาตรฐานที่ผู้ตรวจสอบส่วนใหญ่คุ้นเคยดีอยู่แล้วเปลี่ยนแปลงไป แต่สิ่งที่เปลี่ยนแปลงไปและมีผลต่องานตรวจสอบก็คือ

2.1. ลักษณะภายในและภายนอกของแฟ้มหรือทะเบียนที่ใช้บันทึกข้อมูลทางบัญชี
1) วิธีการนำข้อมูลไปบันทึก
2) วิธีการนำข้อมูลมาใช้
3) วิธีการนำข้อมูลไปประมวลผล

นอกจากนี้ เมื่อข้อมูลที่อยู่ใน File เปลี่ยนแปลง จะไม่มีร่องรอยการเปลี่ยนแปลงให้เห็น ดังเช่น วิธีการบันทึกบัญชีแบบเดิม จึงไม่สามารถตรวจสอบความถูกต้องของข้อมูลใน File ได้ โดยใช้วิธีและเทคนิคการตรวจสอบแบบธรรมดา

2.2. รอยทางสำหรับการตรวจสอบ (Audit Trails) เปลี่ยนแปลงไป ผู้ตรวจสอบไม่สามารถติดตามการเคลื่อนไหวของเอกสาร ตามวิธีการตรวจสอบแบบธรรมดาได้อีกต่อไป เพราะข้อมูลในเอกสารการบัญชีเบื้องต้น จะถูกแปลงสภาพเป็นรหัส หรือสัญญาณที่ผู้ตรวจสอบไม่สามารถอ่านเข้าใจได้ และเก็บไว้ในสื่อที่ไม่สามารถสัมผัส หรือมองเห็นด้วยตาเปล่าได้ ดังนั้น ผู้ตรวจสอบอาจจำเป็นต้องใช้วิธีอื่น และ/หรือโปรแกรมคอมพิวเตอร์ช่วยในการตรวจสอบ

2.3. การเปลี่ยนแปลงที่สำคัญคือ การเปลี่ยนแปลงวิธีปฏิบัติการด้านการบัญชีทั้งหมด ซึ่งแต่เดิมเป็นหน้าที่ของพนักงานบัญชี โดยเปลี่ยนมาใช้โปรแกรมคอมพิวเตอร์ทำหน้าที่แทน ซึ่งจะทำให้ลดขั้นตอนการปฏิบัติงาน และขจัดการควบคุมภายในแบบดั้งเดิมไปหมด ทำให้ผู้ตรวจสอบทางการเงินทั่วไป อาจประสบกับปัญหาที่ไม่อาจประเมินงานควบคุมภายในระบบคอมพิวเตอร์ได้ และทำให้มีปัญหาในการกำหนดขอบเขต และวิธีการตรวจสอบที่เหมาะสม
การมอบหมายให้คอมพิวเตอร์ทำหน้าที่แทนพนักงานบัญชี มีข้อที่ผู้ตรวจสอบควรพิจารณา 2 ประการคือ

1) บุคคลที่ได้รับมอบหมายให้ควบคุมระบบคอมพิวเตอร์ อาจจะมีความรู้ความเข้าใจระบบการบัญชีไม่เพียงพอและ
2) ไม่เข้าใจระบบการควบคุมและตรวจสอบระบบงานด้านคอมพิวเตอร์อย่างถ่องแท้

ปัจจัยทั้งสองประการจะมีผลทำให้ระบบคอมพิวเตอร์มีจุดอ่อนที่ง่ายต่อการผิดพลาด หรือที่ร้ายแรงก็คือ การทุจริต ดังนั้น หน้าที่ประการแรกของผู้ตรวจสอบ เมื่อเข้าไปตรวจสอบระบบคอมพิวเตอร์ คือ การประเมินระบบควบคุมภายในซึ่งเป็นงานสำคัญของ IT Auditor

3. ร่องรอยสำหรับการตรวจสอบในระบบคอมพิวเตอร์
ร่องรอยการตรวจสอบสำหรับระบบการประมวลข้อมูลที่ไม่ได้ใช้คอมพิวเตอร์ ได้แก่
3.1. เอกสารหรือข้อมูลเบื้องต้น เช่น พวก Slip และเอกสารประกอบรายการทางการเงินอื่น ๆ
3.2. สมุดรายวัน การ์ดบัญชี
3.3. สมุดบัญชีแยกประเภททั่วไป และทะเบียนต่าง ๆ
3.4. รายงานงบการเงิน

ร่อยรอยดังกล่าวจะช่วยให้ผู้ตรวจสอบ สามารถตรวจสอบย้อนกลับไปมาระหว่างจุดเริ่มต้นที่เกิดรายการทางการเงิน กับรายการสรุปผลทางการเงิน เพื่อให้แน่ใจว่ารายงานทางการเงินที่ได้นั้น สะท้อนให้เห็นธุรกรรมทางการเงินขององค์กรอย่างแท้จริง

เพื่อไม่ให้เกิดการเข้าใจผิด เราควรจะเรียกร่อยรอยนี้ว่า Management Trail มากกว่าจะเรียกว่า Audit Trail เพราะสิ่งนี้จะเป็นประโยชน์แก่ผู้บริหารงานประจำมากกว่าผู้สอบบัญชี โดยเฉพาะในกรณีที่แหล่งภายนอกต้องการข้อมูลบางอย่างเป็นพิเศษ

4. การกำหนดขอบเขตและวางแผนตรวจสอบและกระบวนการวางแผนโดยแผนภูมิ

ครั้งหน้าเราจะไปต่อกันถึงความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กัน โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

มีนาคม 2, 2010

ครั้งที่แล้ว ผมได้เรียนให้ท่านผู้อ่านได้ทราบว่า ผมจะได้นำสรุปเรื่อง CG ซึ่งเป็นภาพใหญ่ เปรียบเทียบได้กับร่มใหญ่ที่สุดในกระบวนการบริหาร และการจัดการของทุกองค์กร ที่ต้องอาศัยจิตวิญญาณ (Spiritual) ซึ่งหมายถึงความมุ่งมั่นจากจิตสำนึก และความรับผิดชอบ เพื่อขับเคลื่อนกระบวนการบริหารและการจัดการที่ดี โดยผู้บริหารระดับสูงเป็นผู้นำ และจัดให้มี Tone at the top ที่ส่งสัญญาณโดยการสื่อข้อความที่ชัดเจนไปยังผู้บริหาร และผู้ที่เกี่ยวข้องทุกระดับทั่วทั้งองค์กร อย่างเป็นกระบวนการ เริ่มตั้งแต่การกำหนดเป็นนโยบายที่ชัดเจนว่า องค์กรจะใช้ CG เป็นหลักในการบริหาร โดยกำหนดกรอบและแนวทางในการจัดการที่ชัดเจน เป็นรูปธรรม ที่ใช้เป็นแนวทางสำหรับการจัดการในองค์ประกอบที่เกี่ยวข้องต่อ ๆ ไป

ต่อจากครั้งที่แล้ว และมาในครั้งนี้ รวมทั้งที่จะกล่าวถึงในครั้งต่อ ๆ ไป ผมจะนำเสนอและอธิบายโดยแผนภาพเป็นสำคัญ ส่วนรายละเอียดท่านสามารถติดตามอ่านได้จากหัวข้อนี้ และหัวข้ออื่น ๆ ที่เกี่ยวข้อง ซึ่งผมเคยได้นำเสนอมาแล้วนะครับ

ท่านผู้อ่านที่ได้ติดตามแผนภาพและได้ใช้ความคิด เพื่อทบทวนเรื่อง CG และสร้างความเข้าใจในภาพโดยรวม โดยใช้แผนภาพเป็นหลักนั้น หากท่านสามารถอธิบายให้ตนเองเข้าใจได้อย่างเป็นขั้นเป็นตอน และอย่างเป็นกระบวนการได้ดี ในแต่ละช่องตามแนวนอน และแนวตั้ง ตามลำดับ โดยพิจารณาถึงกระบวนการบริหารการจัดการแบบบูรณาการ ตามคำอธิบายแต่ละช่องนั้น ๆ ในลักษณะการบริหารแบบบูรณาการเป็นอิสระ ของแต่ละกรอบ แต่ละช่อง ที่สัมพันธ์กับกรอบอื่นและช่องอื่นที่เกี่ยวข้องกันเป็นลำดับ ในลักษณะของการบริหารงานที่ควรเข้าใจตรงกันว่า ทุกช่อง ทุกกรอบ ทั้งแนวนอนและแนวตั้ง มีความเป็นอิสระซึ่งกันและกัน แต่ก็มีความสัมพันธ์กันอย่างใกล้ชิดอย่างแยกกันไม่ได้ (Interdependency)

โดยพิจารณาภาพใหญ่ของการบริหารแนวใหม่ที่ใช้คำว่า GRC – Governance + Risk Management + Compliance ซึ่งจะขับเคลื่อนโดยหลักการ Integrity – Driven Performance เป็นสำคัญ หรืออาจจะใช้ศัพท์ที่แตกต่างกัน แต่มีนัยที่สำคัญลักษณะเดียวกันก็คือ IPM – Integrated Performance Management โดยพยายามคิดเชิงวิเคราะห์ในปัจจัยย่อย ๆ ภายใต้องค์ประกอบในคำอธิบายในแต่ละช่องของแผนภาพที่เกี่ยวข้องและความสัมพันธ์ที่เกี่ยวข้องกันอย่างแยกไม่ได้ด้วย

หากดำเนินการดังกล่าวได้อย่างมั่นใจและเข้าใจโดยไม่สับสนมากนัก ก็อาจพิจารณาได้ว่า ท่านสามารถนำเสนอผู้บริหารระดับสูง และอธิบายให้เพื่อนร่วมงาน รวมทั้งผู้ปฏิบัติงานเข้าใจได้ด้วยตัวท่านเองดีแล้ว

นอกจากนี้ การดำเนินการดังกล่าวข้างต้น ก็อาจเรียกได้ว่า เป็นการประเมินตนเองเพื่อการบริหารจัดการที่ดี ซึ่งจะก้าวไปสู่การประเมินตนเอง เพื่อการบริหารความเสี่ยง และการควบคุมภายในขององค์กรได้เป็นอย่างดี (CSA – Control Self Assessment) ซึ่งเป็นหัวข้อและวิชาหนึ่งที่น่าสนใจยิ่งในกระบวนการบริหารและการจัดการยุคใหม่

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กุมภาพันธ์ 24, 2010

เมื่อท่านผู้บริหาร และผู้อ่านทุกท่าน ได้ทราบถึงแนวทางการบริหารและจัดการกับความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอไปตั้งแต่ต้นแล้วนั้น อีกสิ่งหนึ่งที่ผมอยากจะพูดถึงและให้ความสำคัญนั่นก็คือ ลำดับขั้นของการพัฒนาความเสี่ยง ซึ่งเป็นเรื่องที่ผมจะพูดถึงในวันนี้ และองค์กรชั้นนำทั้งหลายต่างตระหนักดีถึงความสำคัญของการบริหารความเสี่ยงกับมูลค่าผู้ถือหุ้น เนื่องจากคณะกรรมการและผู้บริหารต่างยอมรับถึงความสำคัญของการบริหารความเสี่ยง ทำให้องค์กรได้มีการปรับมุมมอง จากการมองการบริหารความเสี่ยงเพียงแค่ด้านการปฏิบัติให้เป็นไปตามกฎระเบียบ มาเป็นการพิจารณาความเสี่ยงที่เป็นโอกาสเพื่อเพิ่มมูลค่าผู้ถือหุ้น/ผู้มีผลประโยชน์ร่วม โดยสามารถอธิบายได้จากรูปต่อไปนี้

องค์กรที่อยู่ในส่วนล่างสุดของรูป มีการบริหารความเสี่ยงแบบตอบสนองตามเหตุการณ์ (Reactive Risk Management) โดยเน้นที่การปฏิบัติตาม และป้องกันเพื่อหลีกเลี่ยงความเสี่ยงที่อาจทำให้เกิดความเสียหาย องค์กรเหล่านี้จะพัฒนาการควบคุมภายในใหม่ขึ้น เพื่อตอบสนองความเสี่ยงที่พบว่า ยังไม่ได้รับการจัดการให้เป็นที่น่าพอใจ

องค์กรที่อยู่ในส่วนกลางของรูป คือองค์กรที่พยายามทำความเข้าใจต่อความเสี่ยงทั้งหมดที่เกิดขึ้นต่อองค์กร โดยมีการกำหนดการบริหารความเสี่ยงที่ครอบคลุมมากขึ้น นอกเหนือไปจากการควบคุมด้านการเงินและการดำเนินงาน องค์กรเหล่านี้ทำการประเมินความเสี่ยงทั้งทางด้านปฏิบัติการ การปฏิบัติตามกฎระเบียบ และด้านอื่น ๆ รวมทั้งทำการมองหากระบวนการที่จะปรับปรุงการปฏิบัติงานให้ดียิ่งขึ้น

เมื่อผู้บริหารขององค์กรเหล่านี้พบความล้มเหลว หรือความผิดพลาดในการควบคุมภายในขององค์กรอื่น ๆ ก็จะดำเนินการประเมิน หรือปรับปรุงกระบวนการบริหารความเสี่ยงในองค์กรของตนใหม่ เพื่อหลีกเลี่ยงปัญหาที่อาจจะเกิดขึ้นเช่นดังองค์กรอื่น

นอกจากนี้องค์กรที่อยู่ในส่วนกลางของรูป ยังได้ทำการศึกษาแนวปฏิบัติที่ดียิ่งขึ้น เพื่อทำการปรับปรุงกระบวนการให้ก้าวหน้าต่อไปข้างหน้า องค์กรเหล่านี้จะปรับปรุงการบริหารความเสี่ยงตามการเปลี่ยนแปลงและเป้าหมายขององค์กร ทั้งนี้เพื่อสร้างกระบวนการที่สามารถทำให้บรรลุวัตถุประสงค์ต่าง ๆ ได้ดียิ่งขึ้น

นอกจากนี้ ยังได้มีการริเริ่มการนำเอาการบริหารงานมาควบรวมกับกระบวนการประเมิน และจัดการความเสี่ยงมากขึ้น และนำเอากรอบการบริหารความเสี่ยงมาใช้เพื่อให้เกิดการสื่อสารเกี่ยวกับความเสี่ยงด้วยภาษาเดียวกัน รวมไปถึงการจัดการความเสี่ยงในแนวทางเดียวกันด้วย

สำหรับองค์กรที่อยู่ในส่วนบนของรูป เป็นองค์กรที่ประเมินความเสี่ยงเพื่อพิจารณาหาโอกาสใหม่ของธุรกิจ องค์กรเหล่านี้ให้ความสำคัญกับสาเหตุที่ก่อให้เกิดความอ่อนไหวต่อมูลค่าผู้ถือหุ้น และเปิดรับกลยุทธ์และวิธีการใหม่ ๆ เพื่อจัดการกับความเสี่ยงนั้น รวมถึงการประเมินความเสี่ยงที่ส่งผลกระทบที่สำคัญต่อวัตถุประสงค์ นอกจากนั้นยังทำการพลิกผันเหตุการณ์ที่ไม่ดีให้เป็นโอกาสแก่ธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน องค์กรเหล่านี้นำการบริหารความเสี่ยงไปใช้ทั้งในการตัดสินใจและการติดตามผลการตัดสินใจ

องค์กรที่ประสบความสำเร็จมากที่สุดคือ องค์กรที่สามารถนำเอาการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการเพิ่มมูลค่าผู้ถือหุ้น หรือคุณค่าขององค์กร ทั้งนี้ผู้บริหารระดับสูงต้องเป็นผู้นำ เพื่อให้การบริหารความเสี่ยงขององค์กรก้าวไปสู่ความเป็นเลิศ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

กุมภาพันธ์ 21, 2010

ครั้งที่แล้ว ท่านผู้อ่านก็คงได้ทราบถึงการเปลี่ยนแปลงของการตรวจสอบกันไปแล้วนะครับว่า ในอนาคตจะมีแน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบอย่างไร ตามที่กล่าวมาแล้วข้างต้นในครั้งก่อนสรุปได้ว่า พัฒนาการต่าง ๆ ทางด้านการควบคุมและตรวจสอบตามไม่ทันกับการเปลี่ยนแปลง ทำให้หน่วยงานที่รับผิดชอบประสบปัญหาทั้งด้านบุคลากร และวิธีการตรวจสอบ ในการแก้ไขปัญหานี้ หน่วยงานที่รับผิดชอบด้านการตรวจสอบ จำเป็นที่จะต้องคิดสร้างระบบวิธีการที่เป็นพื้นฐานสำหรับการตรวจสอบที่เข้าใจง่ายและชัดเจน สามารถใช้เป็นแนวทางการตรวจสอบของผู้ตรวจสอบได้ในระยะเริ่มแรก และผู้ตรวจสอบคนอื่น สามารถติดตามการเปลี่ยนแปลงของระบบงานในจุดที่ต้องการได้อย่างมีประสิทธิภาพ แน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบในอนาคตดังกล่าว จึงเป็นเหตุให้เราต้องพูดคุยกันถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้นในวันนี้กันครับ

แนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น
“TOTAL SYSTEMS APPROACH” เป็นระบบการตรวจสอบแบบหนึ่ง ที่เน้นการตรวจสอบในลักษณะ การทำความเข้าใจในผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Business Objective ทั้งระบบ นั่นคือ เป็นการตรวจที่ผู้ตรวจจะต้องเข้าใจระบบงาน ทั้งในส่วนที่ใช้คอมพิวเตอร์ในภาพโดยรวม ในลักษณะที่เป็น Holistic Framework ซึ่งมีการเชื่อมโยงระหว่าง Activities ต่อ Activities และระหว่าง Process กับ Process และระหว่าง Objective และ Objective ในมุมมองของ Interdependency Approaches นั่นคือ ทุก Activities และทุก Process และทุก Objective ถึงแม้จะมีความเป็นอิสระในการประมวลงานในแต่ละ Application หรือในแต่ละระบบงานอย่างอิสระ

แต่ทั้งหมดตามที่กล่าวนี้ ก็มีความสัมพันธ์ต่อกันอย่างแยกกันไม่ได้ เพื่อก้าวไปสู่ Business Process ในการบรรลุ Business Objective ตามมุมมองที่องค์กรต้องการ นี่คือที่มาของคำว่า Interdependency Approach โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบจะต้องเข้าใจที่จะต้องวางแผนการตรวจสอบ ทั้งในส่วนที่ไม่ใช้คอมพิวเตอร์หรือทั้งสองอย่างรวมกัน แทนที่จะแยกการตรวจสอบเป็นส่วน ๆ เช่น ตรวจสอบเฉพาะระบบ Manual เพียงอย่างเดียว ทั้งนี้ สามารถใช้กับผู้ตรวจสอบที่มีความรู้คอมพิวเตอร์เพียงเบื้องต้น แต่ผู้ตรวจสอบผู้นั้น ต้องเข้าใจระบบงานขององค์กรทั้งหมดโดยรวม ซึ่งจะช่วยให้ผู้ตรวจสอบเข้าใจระบบงานอย่างง่าย ๆ โดยการวิเคราะห์การควบคุมระบบงานเป็นขั้น ๆ เป็นวิธีการทำงานตามหลักโครงสร้าง จะช่วยให้การตรวจสอบเป็นไปอย่างมีประสิทธิภาพและเป็นระเบียบ และในที่สุด ผู้ตรวจสอบจะต้องกำหนดว่า จะวางแผนการตรวจสอบในเรื่องใด ส่วนใดของระบบงานโดยรวม (Total System Approach) เพื่อให้การกำหนดขอบเขตเป็นไปตามเป้าประสงค์ ในการวางแผนการตรวจสอบแต่ละครั้ง ในแต่ละเรื่องที่เกี่ยวข้อง โดยคำนึงถึงว่า

1. ในการตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบไม่สามารถตรวจสอบส่วนต่าง ๆ ของระบบแยกกันได้โดยอิสระ ในเมื่อต้องวิเคราะห์ถึงผลกระทบของการตรวจสอบส่วนนั้น ๆ ต่อส่วนอื่น ๆ ของระบบ โดยควรเข้าใจและคำนึงถึง Interdependency Approach ซึ่งจะเป็นเรื่องสำคัญมากในการบริหาร และการตรวจสอบยุคใหม่ เนื่องจากระบบงานที่ประมวลผลด้วยเครื่องคอมพิวเตอร์ เกี่ยวพันต่อเนื่องกันตลอดการใช้ข้อมูลชุดเดียวกัน ความเชื่อถือได้ของระบบงานหนึ่ง ๆ ขึ้นอยู่กับความแน่นอนและครบถ้วนของระบบงานก่อน ในลักษณะนี้ข้อผิดพลาดอันหนึ่งสามารถตกทอดไปอยู่ในระบบงานต่าง ๆ ก่อให้เกิดการทำงานผิดพลาดได้ เช่น การตรวจสอบระบบบัญชีเงินฝากกระแสรายวัน ผู้ตรวจสอบต้องพิจารณาถึงระบบเงินฝากอื่น ระบบการหักบัญชี และระบบบัญชี เป็นต้น หากเป็นสถาบันการเงิน

2. งานประมวลผลด้วยคอมพิวเตอร์เป็นเพียงส่วนหนึ่งของทั้งระบบงานเท่านั้น ทั้งระบบงานจะรวมทั้งส่วนที่ประมวลผลด้วยคนและเครื่อง ปัญหาหลายอย่างที่เกี่ยวกับการประมวลผล มักสืบเนื่องจากผู้วางระบบไม่สนใจระบบงานส่วนที่ยังเป็น Manual โดยถือข้อสมมุติฐานที่ว่าข้อมูลที่รับเข้าไปถูกต้อง และไม่สนใจถึงผลของข้อมูลที่ผลิตออกไปแล้วของระบบงานนั้น ๆ ว่าจะถูกนำไปใช้อย่างไร ผู้ตรวจสอบจึงต้องประเมินทั้งระบบ และไม่ละทิ้งงานส่วนที่เป็น Manual
อย่างไรก็ตาม การที่จะใช้วิธีการตรวจสอบดังกล่าว ผู้ตรวจสอบต้องยอมรับความคิดที่ว่า งานด้านคอมพิวเตอร์ไม่สามารถตรวจสอบได้ โดยไม่มีความเข้าใจผลกระทบต่าง ๆ ที่มีต่อระบบงานของกิจการนั้น ผู้ตรวจสอบจะต้องชี้แจงให้ผู้ที่เกี่ยวข้องในระบบต่าง ๆ ของกิจการ เห็นความจำเป็นในการสร้างระบบควบคุม ซึ่งควรจะเริ่มจากผู้บริหาร ที่จะกำหนดให้ใครรับผิดชอบการทำเอกสารเกี่ยวกับระบบควบคุม ในลักษณะสร้างมาตรฐาน หรือตัวแทนของการควบคุมที่ควรจะมีอยู่ในที่ต่าง ๆ ของกิจการนั้น ซึ่งผู้ตรวจสอบในระยะเริ่มแรกมักจะต้องเป็นผู้จัดทำ ซึ่งต้องใช้เวลามากเกินกว่าครึ่งหนึ่งของเวลาการตรวจสอบ แต่ก็เป็นงานสำคัญในการตรวจสอบ แทนที่จะมุ่งใช้เวลาตรวจสอบระบบการควบคุมที่กิจการกำลังใช้อยู่ โดยประมวลจากเอกสารและการสอบถาม แล้วประเมินไปตามความเห็นของผู้ตรวจสอบ โดยไม่คำนึงถึงความเห็นของผู้เกี่ยวข้องเช่นที่ปฏิบัติกันอยู่ในปัจจุบัน

ในระยะยาวมาตรฐานและการควบคุมต่าง ๆ จะต้องมีการพัฒนา และใช้โดยเจ้าของงาน เจ้าหน้าที่ IT และผู้บริหาร ซึ่งมีหน้าที่โดยตรง บทบาทของผู้ตรวจสอบก็ควรอยู่ในลักษณะกระตุ้นเตือนผู้บริหาร เจ้าของาน และเจ้าหน้าที่ IT เกี่ยวกับการควบคุมในจุดที่ต้องปรับปรุง และทำหน้าที่ตรวจและประเมินผลการควบคุมต่าง ๆ อย่างแท้จริงได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

กุมภาพันธ์ 17, 2010

ท่านผู้อ่านที่ได้ติดตามการนำเสนอของผมในเรื่องที่เกี่ยวข้องกับ CG ที่มีความสัมพันธ์อย่างแยกกันไม่ได้กับ ITG และ GRC ซึ่งเป็น Statement ใหม่ และเป็นภาพใหญ่ที่นำไปสู่การบริหารแบบหลอมรวมเป็นหนึ่งเดียว แบบบูรณาการ ที่เกี่ยวข้องกับการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) ซึ่งโยงใยกับการควบคุมภายในตามฐานความเสี่ยง (Internal Control) และสัมพันธ์กับการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk- Based Internal Audit Approach) ตามรูปซึ่งเคยนำเสนอมาแล้ว และท่านสามารถเข้าใจได้ง่ายดังนี้

จากแผนภาพใหญ่ของ CG และองค์ประกอบโดยรวมที่เกี่ยวข้อง ซึ่งอาจแยกอธิบายได้อีกมากมาย ในปัจจัยที่เกี่ยวข้องในแต่ละองค์ประกอบนั้น ผมใคร่ขออนุญาตที่จะกล่าวว่า ท่านผู้อ่านได้เข้าใจภาพโดยรวมและองค์ประกอบที่เกี่ยวข้องได้ดีแล้ว

ณ ที่นี้ ผมจึงจะนำเสนออธิบายเรื่องที่เกี่ยวข้องกับภาพใหญ่ หรือร่มใหญ่ที่สุด นั่นก็คือ CG ในรูปแบบของการอธิบายด้วยแผนภาพล้วน ๆ โดยไม่อธิบายเป็นลายลักษณ์อักษร หรือคำพูดอย่างที่เคยเป็นมา หรือนำเสนอมาแล้วอีก หากท่านผู้อ่านดูภาพพร้อม ๆ กับการใช้ความคิดอย่างเป็นกระบวนการ และอ่านที่ละขั้นทีละตอนในแต่ละกรอบ ในแต่ละปัจจัยที่เกี่ยวข้องและสัมพันธ์กับ CG ตามรูปแรกข้างต้นนั้น ท่านจะเข้าใจและสามารถพัฒนาการกำกับดูแลกิจการที่ดีได้อย่างสะดวก และสามารถสื่อสารไปยังผู้บริหาร และเพื่อนร่วมงาน รวมทั้งนำไปประยุกต์ใช้ ทั้งในระดับองค์กร และในระดับประเทศ และในบางกรณี สามารถก้าวไปสู่การบริหาร CG ในระดับสากล ที่เป็นภาพในระดับ Global ได้ด้วย เช่น กรณีโลกร้อน กรณีโรคระบาด กรณีผู้ก่อการร้าย กรณีการจัดระดับความน่าเชื่อถือของประเทศ กรณีการจัดระดับการก่อการร้าย กรณีการจัดระดับความสามารถในการแข่งขันระหว่างประเทศ กรณีความโปร่งใส ++

ซึ่งทั้งหมดดังกล่าวนั้น หากท่านผู้อ่านได้เห็นภาพดังกล่าวประกอบกับแผนภาพต่อไปนี้ ซึ่งจะนำเสนอเป็นชุด โดยผมจะอธิบายประกอบแผนภาพให้น้อยที่สุด หรือจะนำเสนอเพียงแผนภาพให้ท่านได้คิด และใช้อธิบายได้ด้วยตัวของท่านเอง เนื่องจากผมได้เล่าสู่กันฟังในส่วนที่เกี่ยวข้องในหัวข้อ CG มาพอสมควรแล้ว อีกทั้งมีหัวข้ออื่น ๆ ที่เป็นองค์ประกอบของ CG ซึ่งอยู่ในเว็บไซต์นี้ให้ท่านได้ติดตามและทบทวนเมื่อต้องการอยู่แล้ว

เชิญท่านติดตามแผนภาพโดยรวมดังต่อไปนี้เลยนะครับ

1 ความเห็น | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หากองค์กรหรือประเทศไม่ได้กำหนดวิสัยทัศน์ / ทิศทาง ที่ต้องการก้าวเดิน เพื่อความสำเร็จในอนาคต องค์กรจะกำหนดกลยุทธ์และแผนการดำเนินงานอย่างไร ติดตามตรวจสอบได้อย่างไร (ต่อ)

กุมภาพันธ์ 17, 2010

หากองค์กรของเราขาดวิสัยทัศน์ หรือเป้าหมายในระยะยาว ที่จะพาองค์กรไปสู่ความสำเร็จตามที่ตั้งใจไว้ และหากองค์กรไม่กำหนดพันธกิจ กลยุทธ์ นโยบาย แผนการดำเนินงานที่จะก้าวไปสู่เป้าประสงค์หลักในอนาคต ผู้บริหารในองค์กรนั้น คณะกรรมการในองค์กรนั้น จะมีกระบวนการติดตามผลการดำเนินงานในแต่ละเดือน ในแต่ละไตรมาส และในแต่ละปีอย่างไร องค์กรจะกำหนดความสำเร็จ หรือปรับปรุงแก้ไข เพื่อก้าวไปสู่ความสำเร็จนั้นอย่างไร หากไม่มีตัวชี้วัดที่ชัดเจน เนื่องจากการขาดพันธกิจ และวิสัยทัศน์ที่ชัดเจน ซึ่งเปรียบเสมือนเข็มทิศที่กำหนดทิศทางในการก้าวเดินขององค์กร

ประเทศ ก็เปรียบเสมือนองค์กรขนาดใหญ่ ที่จำเป็นจะต้องมีแนวทาง และหลักการบริหารที่ต้องไม่ต่ำกว่า หลักการบริหารและการจัดการที่ดีขององค์กรโดยทั่วไป แต่มีปัญหาและความท้าทายที่มากกว่า ในเรื่องการบูรณาการ การบริหารและการจัดการในภาพโดยรวมของประเทศ เพื่อก้าวไปสู่วิสัยทัศน์ โดยต้องมีการกำหนดทิศทางที่ถูกต้องและเหมาะสม

จากภาพที่ผมนำเสนอในเรื่องความเข้มแข็งในการบริหารองค์กร และประเทศแบบบูรณาการในครั้งที่แล้ว ความสำเร็จของการบริหารประเทศความจะมีกรอบการบริหาร และการจัดการ ในลักษณะหลอมรวมเป้าประสงค์หลักของประเทศ และถ่ายทอดลงไปเป็นเป้าหมายรอง ๆ ให้กับหน่วยงานต่าง ๆ ไปดำเนินงานในเรื่องต่อไป โดยมีการสื่อสารให้ผู้บริหารทุกหน่วยงานของรัฐ รวมทั้งเอกชน ได้ทราบเป้าประสงค์ของประเทศให้ชัดเจน ทางด้านเศรษฐกิจ การเงิน ความมั่นคงทางด้านการทหาร การลงทุน +++

ปัจจุบันนี้ ผมยังไม่ได้รับการสื่อสารหรือผมยังไม่ได้รับทราบว่า ประเทศไทยของเรามีวิสัยทัศน์ในการบริหาร และขับเคลื่อนประเทศอย่างไร การบริหารทรัพยากรของชาติ เพื่อขับเคลื่อนทิศทางของประเทศ จึงน่าจะขาดความสอดคล้องกันเป็นอย่างมากได้ โดยเฉพาะอย่างยิ่ง ในเรื่องที่เกี่ยวข้องกับความมั่นคงทางด้านการเมือง เศรษฐกิจ และสังคม ตามสถานการณ์ที่เป็นอยู่ในปัจจุบัน

สำหรับการขับเคลื่อนเศรษฐกิจ และการลงทุน ก็เป็นหน้าที่ส่วนหนึ่งของสภาพัฒนาเศรษฐกิจแห่งชาติ แต่กรอบการพัฒนาของประเทศ ภายใต้วิสัยทัศน์ที่ควรจะมีของประเทศไทยนั้น มีภาระที่กว้างขวางกว่านี้มากนัก ผมจึงเข้าใจในเบื้องต้นว่า เรายังขาดหน่วยงานหรือผู้กำกับ หรือผู้กำหนดทิศทางของประเทศ ซึ่งหน้าที่นี้น่าจะได้กับรัฐบาล ซึ่งเปรียบได้กับผู้นำนาวาหรือกัปตันเรือ ที่จะพาเรือหรือประเทศไทยไปสู่ทิศทางหรือเป้าหมายที่ต้องการ โดยมีเครื่องมือและองค์ประกอบต่าง ๆ ที่เหมาะสมและสอดคล้องกัน

ดังนั้น ผู้นำของประเทศที่มีวิสัยทัศน์ และกำหนดวิสัยทัศน์ที่เหมาะสม ซึ่งเปรียบเสมือนเป็นการปักธง หรือกำหนดทิศทางการจัดการของประเทศโดยรวม ควรจะเป็นผู้ดำเนินการในเรื่องนี้

อย่างไรก็ดี ความเป็นรูปธรรมในการจัดการ และดำเนินการเพื่อให้เป็นไปตามวิสัยทัศน์ของประเทศ หากมีการกำหนดขึ้นในอนาคต หน่วยงานที่ควรดำเนินการในภาคปฏิบัติ ในการถ่ายทอดวิสัยทัศน์ เป็นพันธกิจ กำหนดกลยุทธ์ และแนวการปฏิบัติให้เป็นไปตามกลยุทธ์ในมุมมองต่าง ๆ เช่น มุมมองทางด้านเศรษฐกิจการเงิน มุมมองทางด้านความมั่นคงของชาติ มุมมองในแง่กระบวนการปฏิบัติ และมุมมองในแง่ความพึงพอใจของผู้มีผลประโยชน์ร่วม ควรจะมีการบริหารและการจัดการแบบบูรณาการ ที่อาจจะประยุกต์ตามหลักการ GRC – Governance + Risk Management + Compliance ซึ่งผมจะได้ออกความเห็นในเรื่อง GRC และมุมมองของการจัดการในลักษณะการขับเคลื่อนการบริหารแบบบูรณาการที่เป็นหนึ่งเดียวขององค์กร (Integrated Performance Management หรือ Integrity – Driven Performance) ซึ่งอาจนำมาประยุกต์ใช้ในระดับประเทศได้ในบางมุมมอง ซึ่งท่านอาจจะติดตามได้จาก CG & ITG + GRC ต่อไปนะครับ

ตั้งใจจะจบตั้งแต่วรรคที่แล้วครับ แต่ขอแถมนิดนึงให้เป็นข้อคิดว่า ประเทศไทยเราในอดีต เมเปิลครอฟต์จัดอันดับให้เป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบ ในอันดับที่ 20 กว่า ๆ เมื่อปี 2551 ถูกจัดอยู่ในอันดับที่ 11 เมื่อปี 2552 ถูกจัดอันดับให้อยู่ในอันดับที่ 9 นับว่าเป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบของโลก

แล้วผู้บริหารของประเทศเรา ในด้านต่าง ๆ ในระดับรัฐบาล รวมทั้งทางด้านความมั่นคงคิดอย่างไรบ้างครับ เกี่ยวกับข่าวสารที่มาจากต่างประเทศชิ้นนี้ มีการติดตามเรื่องนี้กันอย่างไร มีการกำหนดวิสัยทัศน์ พันธกิจ แผนกลยุทธ์ที่เกี่ยวข้องกับการยอมรับความเสี่ยง หรือกำหนดระดับความเสี่ยงว่า ประเทศไทยของเราจะถูกจัดอันดับให้เป็นประเทศที่มีโอกาสเกิดการก่อความไม่สงบ อันดับที่เท่าไหร่ของโลกจึงจะยอมรับไม่ได้ เพราะเรื่องนี้เป็นเรื่องใหญ่ และกระทบกระเทือนถึงความมั่นคงของประเทศ กระทบกระเทือนต่อความมั่งคงทางเศรษฐกิจ กระทบกระเทือนต่อการลงทุน กระทบต่อการท่องเที่ยว และการพัฒนาในทุกด้าน ++

ผมไม่สบายใจเป็นอย่างยิ่ง และกำลังเป็นห่วงมากว่า ในกรณีที่ประเทศไทยเรายังขาดกระบวนการพัฒนาทางความคิดอย่างเป็นระบบ ยังขาดความเข้าใจในหลักการบริหารความเสี่ยง ทั้งระดับองค์กรและระดับประเทศที่น่าเชื่อถือได้อีกมาก และยังขาดวิสัยทัศน์ในแง่มุมต่าง ๆ ที่เป็นรูปธรรม ประเทศไทยในอนาคตจะเป็นเช่นไร

หากผู้บริหารในระดับประเทศ ไม่กำหนดทิศทางที่ชัดเจน ในมุมมองต่าง ๆ ของชาติ อย่างเช่น กรณีการยอมรับได้ หรือการยอมรับไม่ได้ของการถูกจัดระดับความเสี่ยงของชาติ จากสถาบันจัดอันดับประเภทนี้จากต่างชาติว่า เราควรกำหนด และ/หรือจัดการกับความเสี่ยงที่ถูกนานาชาติ มองประเทศเราว่าเป็นประเทศที่มีความเสี่ยงจากการก่อความไม่สงบ ระดับที่ 9 ของโลกนั้น เราควรจัดการลดความเสี่ยงอย่างเป็นกระบวนการอย่างไร ในทุกมุมมองของกระบวนการบริหาร เพื่อลดระดับความเสี่ยงจากที่ได้เพิ่มตลอดมาในช่วง 3-4 ปีที่ผ่านมา โดยอาจกำหนด และมีกระบวนการจัดการที่ชัดเจนว่า ประเทศไทยไม่ควรยอมรับระดับความเสี่ยงประเภทนี้ หรือถูกจัดอันดับให้เป็นประเทศที่มีความเสี่ยงในการก่อความไม่สงบที่สูงเกินกว่าระดับที่ 20 ของโลก (นั่นคือ อันดับที่ 1-19 เป็นความเสี่ยงที่ประเทศไทยยอมรับไม่ได้ ซึ่งต้องมีกระบวนการบริหารการจัดการที่ดีตามมาในทุกมุมมองตามหลักการของ GRC

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »