แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

มีนาคม 6, 2010

สวัสดีครับ หัวข้อนี้ก็ยังคงพูดคุยกันอยู่ในเรื่องของแนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งเป็นแนวทางในบางมุมมองของผม และก็เป็นเพียงแนวทางในเบื้องต้นที่ใช้ในการบริหารงานตรวจสอบ โดยในครั้งที่แล้วผมได้พูดถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น ที่จะช่วยพัฒนาการควบคุมและการตรวจสอบให้ก้าวทันกับการเปลี่ยนแปลงที่เกิดขึ้น และวันนี้ผมก็จะมาพูดถึงการเปลี่ยนแปลงที่ได้เกิดขึ้นในระบบงานยุคใหม่ที่ใช้คอมพิวเตอร์ที่ผู้ตรวจสอบควรรู้ และต้องคำนึงถึงกันครับ

การตรวจสอบของผู้ตรวจสอบเกี่ยวกับการบันทึกรายการบัญชีในระบบเดิม ผู้ตรวจสอบจะต้องคำนึงถึงความไม่แน่นอนในการปฏิบัติงานของพนักงานเป็นหลักในการตรวจสอบ แต่จะนำหลักการนี้มาใช้กับการตรวจสอบระบบบัญชีที่ใช้คอมพิวเตอร์ไม่ได้ เพราะเป็นที่ยอมรับกันโดยทั่วไปแล้วว่า การทำงานของคอมพิวเตอร์นั้นแม่นยำ แน่นอน และสม่ำเสมอ เพราะใช้โปรแกรมชุดเดียวกันในการประมวลผลข้อมูลด้านบัญชีที่เหมือน ๆ กันไปบันทึกบัญชีตามที่กำหนดไว้ด้วยคอมพิวเตอร์ หากเป็นสถาบันการเงินในบางมุมมองก็คือ
– การบันทึกบัญชีเงินฝากรายตัวแต่ละประเภท
– การคำนวณดอกเบี้ยเงินฝากตามประเภทเงินฝาก อัตราดอกเบี้ย และระยะเวลา
– การบันทึกเงินให้สินเชื่อรายตัวแต่ละประเภท
– การควบคุมอำนาจการให้สินเชื่อของผู้มีอำนาจในการปล่อยสินเชื่อ
– การคำนวณดอกเบี้ยส่วนลดเงินให้สินเชื่อตามประเภทเงินให้สินเชื่อ อัตราดอกเบี้ย และระยะเวลา
– การออกรายงานแยกประเภทหลักประกันสินเชื่อ ประเภทสินเชื่อ ธุรกิจที่องค์รกรให้สินเชื่อ
– การแยกประเภทการออกหนังสือค้ำประกันลูกค้า
– การคำนวณค่าเสื่อมราคาทรัพย์สินถาวร
– การบันทึกบัญชีรายได้ รายจ่าย กำไรขาดทุน
– การบันทึกบัญชีทรัพย์สิน หนี้สิน ส่วนของผู้ถือหุ้น
– การบันทึกบัญชีแยกประเภททั่วไป
– การจัดทำงบการเงิน เช่น งบดุล งบกำไรขาดทุน งบกำไรสะสม
– อื่น ๆ

ดังนั้น ผู้ตรวจสอบจึงจำเป็นต้องปรับปรุงวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับวิธีการปฏิบัติงานขององค์กร ที่เปลี่ยนจากระบบ Manual เป็นระบบ Computer ที่ต้องเข้าใจหลักการบริหารความเสี่ยงทั่วทั้งองค์กร และคำนึงถึงเทคนิคการตรวจสอบ เช่น การใช้ TDM – Test Data Method ซึ่งเป็นการตรวจสอบ Through Computer ง่าย ๆ แบบหนึ่ง หรือใช้โปรแกรมอื่น ๆ เข้าช่วยในการตรวจสอบด้วย เป็นต้น

สิ่งที่ผู้ตรวจสอบต้องคำนึงถึง คือ
1. วัตถุประสงค์ในการตรวจสอบ
ผู้ตรวจสอบภายในและผู้สอบบัญชี เป็นกลุ่มบุคคลที่ทำหน้าที่ตรวจสอบการปฏิบัติงานและฐานะการเงินขององค์กร ผู้ตรวจสอบภายในจะเน้นความสำคัญของการตรวจสอบของการปฏิบัติงาน ในขณะที่ผู้สอบบัญชีให้ความสำคัญเกี่ยวกับการตรวจสอบระบบการบัญชีและงบการเงิน แต่อย่างไรก็ตามบุคคลทั้งสองกลุ่มก็มีวัตถุประสงค์ของการตรวจสอบเหมือนกัน คือ

1.1. ตรวจสอบเพื่อให้แน่ใจว่า ในองค์กรนั้นมีและใช้ระบบการควบคุมความเสี่ยงที่เหมาะสม
1.2. ตรวจสอบว่าการใช้ทรัพย์สินมีประสิทธิภาพหรือไม่
1.3. ตรวจสอบว่ามีการป้องกันรักษาทรัพย์สินขององค์กรอย่างเหมาะสมหรือไม่
1.4. ตรวจสอบว่าระบบการบันทึกข้อมูลและการจัดทำงบการเงิน ถูกต้องและเชื่อถือได้หรือไม่
1.5. ตรวจสอบว่าองค์กรนั้น มีระบบ IT Security และการควบคุมที่เกี่ยวข้องอย่างเหมาะสมหรือไม่ โดยเฉพาะอย่างยิ่งการปฏิบัติตาม Compliance ++

ในปัจจุบัน มีการนำคอมพิวเตอร์มาใช้งานด้านบัญชีและการจัดทำงบการเงิน รวมทั้งการบริหารและการวิเคราะห์กันอย่างแพร่หลายแทบทุกเรื่อง ก็มิได้ทำให้วัตถุประสงค์ในการตรวจสอบของผู้ตรวจสอบภายในและผู้สอบบัญชีเปลี่ยนแปลงไป แต่ที่เปลี่ยนแปลงไปอย่างชัดเจนก็คือ วิธีและเทคนิคที่ใช้ในการตรวจสอบ ซึ่งเป็นเรื่องสำคัญมาก

2. สาเหตุที่คอมพิวเตอร์ทำให้ผู้ตรวจสอบต้องเปลี่ยนแปลงวิธีและเทคนิคในการตรวจสอบ
การนำคอมพิวเตอร์มาใช้งานด้านการบัญชีขององค์กร ไม่ทำให้ระบบการบัญชีมาตรฐานที่ผู้ตรวจสอบส่วนใหญ่คุ้นเคยดีอยู่แล้วเปลี่ยนแปลงไป แต่สิ่งที่เปลี่ยนแปลงไปและมีผลต่องานตรวจสอบก็คือ

2.1. ลักษณะภายในและภายนอกของแฟ้มหรือทะเบียนที่ใช้บันทึกข้อมูลทางบัญชี
1) วิธีการนำข้อมูลไปบันทึก
2) วิธีการนำข้อมูลมาใช้
3) วิธีการนำข้อมูลไปประมวลผล

นอกจากนี้ เมื่อข้อมูลที่อยู่ใน File เปลี่ยนแปลง จะไม่มีร่องรอยการเปลี่ยนแปลงให้เห็น ดังเช่น วิธีการบันทึกบัญชีแบบเดิม จึงไม่สามารถตรวจสอบความถูกต้องของข้อมูลใน File ได้ โดยใช้วิธีและเทคนิคการตรวจสอบแบบธรรมดา

2.2. รอยทางสำหรับการตรวจสอบ (Audit Trails) เปลี่ยนแปลงไป ผู้ตรวจสอบไม่สามารถติดตามการเคลื่อนไหวของเอกสาร ตามวิธีการตรวจสอบแบบธรรมดาได้อีกต่อไป เพราะข้อมูลในเอกสารการบัญชีเบื้องต้น จะถูกแปลงสภาพเป็นรหัส หรือสัญญาณที่ผู้ตรวจสอบไม่สามารถอ่านเข้าใจได้ และเก็บไว้ในสื่อที่ไม่สามารถสัมผัส หรือมองเห็นด้วยตาเปล่าได้ ดังนั้น ผู้ตรวจสอบอาจจำเป็นต้องใช้วิธีอื่น และ/หรือโปรแกรมคอมพิวเตอร์ช่วยในการตรวจสอบ

2.3. การเปลี่ยนแปลงที่สำคัญคือ การเปลี่ยนแปลงวิธีปฏิบัติการด้านการบัญชีทั้งหมด ซึ่งแต่เดิมเป็นหน้าที่ของพนักงานบัญชี โดยเปลี่ยนมาใช้โปรแกรมคอมพิวเตอร์ทำหน้าที่แทน ซึ่งจะทำให้ลดขั้นตอนการปฏิบัติงาน และขจัดการควบคุมภายในแบบดั้งเดิมไปหมด ทำให้ผู้ตรวจสอบทางการเงินทั่วไป อาจประสบกับปัญหาที่ไม่อาจประเมินงานควบคุมภายในระบบคอมพิวเตอร์ได้ และทำให้มีปัญหาในการกำหนดขอบเขต และวิธีการตรวจสอบที่เหมาะสม
การมอบหมายให้คอมพิวเตอร์ทำหน้าที่แทนพนักงานบัญชี มีข้อที่ผู้ตรวจสอบควรพิจารณา 2 ประการคือ

1) บุคคลที่ได้รับมอบหมายให้ควบคุมระบบคอมพิวเตอร์ อาจจะมีความรู้ความเข้าใจระบบการบัญชีไม่เพียงพอและ
2) ไม่เข้าใจระบบการควบคุมและตรวจสอบระบบงานด้านคอมพิวเตอร์อย่างถ่องแท้

ปัจจัยทั้งสองประการจะมีผลทำให้ระบบคอมพิวเตอร์มีจุดอ่อนที่ง่ายต่อการผิดพลาด หรือที่ร้ายแรงก็คือ การทุจริต ดังนั้น หน้าที่ประการแรกของผู้ตรวจสอบ เมื่อเข้าไปตรวจสอบระบบคอมพิวเตอร์ คือ การประเมินระบบควบคุมภายในซึ่งเป็นงานสำคัญของ IT Auditor

3. ร่องรอยสำหรับการตรวจสอบในระบบคอมพิวเตอร์
ร่องรอยการตรวจสอบสำหรับระบบการประมวลข้อมูลที่ไม่ได้ใช้คอมพิวเตอร์ ได้แก่
3.1. เอกสารหรือข้อมูลเบื้องต้น เช่น พวก Slip และเอกสารประกอบรายการทางการเงินอื่น ๆ
3.2. สมุดรายวัน การ์ดบัญชี
3.3. สมุดบัญชีแยกประเภททั่วไป และทะเบียนต่าง ๆ
3.4. รายงานงบการเงิน

ร่อยรอยดังกล่าวจะช่วยให้ผู้ตรวจสอบ สามารถตรวจสอบย้อนกลับไปมาระหว่างจุดเริ่มต้นที่เกิดรายการทางการเงิน กับรายการสรุปผลทางการเงิน เพื่อให้แน่ใจว่ารายงานทางการเงินที่ได้นั้น สะท้อนให้เห็นธุรกรรมทางการเงินขององค์กรอย่างแท้จริง

เพื่อไม่ให้เกิดการเข้าใจผิด เราควรจะเรียกร่อยรอยนี้ว่า Management Trail มากกว่าจะเรียกว่า Audit Trail เพราะสิ่งนี้จะเป็นประโยชน์แก่ผู้บริหารงานประจำมากกว่าผู้สอบบัญชี โดยเฉพาะในกรณีที่แหล่งภายนอกต้องการข้อมูลบางอย่างเป็นพิเศษ

4. การกำหนดขอบเขตและวางแผนตรวจสอบและกระบวนการวางแผนโดยแผนภูมิ

ครั้งหน้าเราจะไปต่อกันถึงความคิดบางประการของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กัน โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม (ต่อ)

มีนาคม 2, 2010

ครั้งที่แล้ว ผมได้เรียนให้ท่านผู้อ่านได้ทราบว่า ผมจะได้นำสรุปเรื่อง CG ซึ่งเป็นภาพใหญ่ เปรียบเทียบได้กับร่มใหญ่ที่สุดในกระบวนการบริหาร และการจัดการของทุกองค์กร ที่ต้องอาศัยจิตวิญญาณ (Spiritual) ซึ่งหมายถึงความมุ่งมั่นจากจิตสำนึก และความรับผิดชอบ เพื่อขับเคลื่อนกระบวนการบริหารและการจัดการที่ดี โดยผู้บริหารระดับสูงเป็นผู้นำ และจัดให้มี Tone at the top ที่ส่งสัญญาณโดยการสื่อข้อความที่ชัดเจนไปยังผู้บริหาร และผู้ที่เกี่ยวข้องทุกระดับทั่วทั้งองค์กร อย่างเป็นกระบวนการ เริ่มตั้งแต่การกำหนดเป็นนโยบายที่ชัดเจนว่า องค์กรจะใช้ CG เป็นหลักในการบริหาร โดยกำหนดกรอบและแนวทางในการจัดการที่ชัดเจน เป็นรูปธรรม ที่ใช้เป็นแนวทางสำหรับการจัดการในองค์ประกอบที่เกี่ยวข้องต่อ ๆ ไป

ต่อจากครั้งที่แล้ว และมาในครั้งนี้ รวมทั้งที่จะกล่าวถึงในครั้งต่อ ๆ ไป ผมจะนำเสนอและอธิบายโดยแผนภาพเป็นสำคัญ ส่วนรายละเอียดท่านสามารถติดตามอ่านได้จากหัวข้อนี้ และหัวข้ออื่น ๆ ที่เกี่ยวข้อง ซึ่งผมเคยได้นำเสนอมาแล้วนะครับ

ท่านผู้อ่านที่ได้ติดตามแผนภาพและได้ใช้ความคิด เพื่อทบทวนเรื่อง CG และสร้างความเข้าใจในภาพโดยรวม โดยใช้แผนภาพเป็นหลักนั้น หากท่านสามารถอธิบายให้ตนเองเข้าใจได้อย่างเป็นขั้นเป็นตอน และอย่างเป็นกระบวนการได้ดี ในแต่ละช่องตามแนวนอน และแนวตั้ง ตามลำดับ โดยพิจารณาถึงกระบวนการบริหารการจัดการแบบบูรณาการ ตามคำอธิบายแต่ละช่องนั้น ๆ ในลักษณะการบริหารแบบบูรณาการเป็นอิสระ ของแต่ละกรอบ แต่ละช่อง ที่สัมพันธ์กับกรอบอื่นและช่องอื่นที่เกี่ยวข้องกันเป็นลำดับ ในลักษณะของการบริหารงานที่ควรเข้าใจตรงกันว่า ทุกช่อง ทุกกรอบ ทั้งแนวนอนและแนวตั้ง มีความเป็นอิสระซึ่งกันและกัน แต่ก็มีความสัมพันธ์กันอย่างใกล้ชิดอย่างแยกกันไม่ได้ (Interdependency)

โดยพิจารณาภาพใหญ่ของการบริหารแนวใหม่ที่ใช้คำว่า GRC – Governance + Risk Management + Compliance ซึ่งจะขับเคลื่อนโดยหลักการ Integrity – Driven Performance เป็นสำคัญ หรืออาจจะใช้ศัพท์ที่แตกต่างกัน แต่มีนัยที่สำคัญลักษณะเดียวกันก็คือ IPM – Integrated Performance Management โดยพยายามคิดเชิงวิเคราะห์ในปัจจัยย่อย ๆ ภายใต้องค์ประกอบในคำอธิบายในแต่ละช่องของแผนภาพที่เกี่ยวข้องและความสัมพันธ์ที่เกี่ยวข้องกันอย่างแยกไม่ได้ด้วย

หากดำเนินการดังกล่าวได้อย่างมั่นใจและเข้าใจโดยไม่สับสนมากนัก ก็อาจพิจารณาได้ว่า ท่านสามารถนำเสนอผู้บริหารระดับสูง และอธิบายให้เพื่อนร่วมงาน รวมทั้งผู้ปฏิบัติงานเข้าใจได้ด้วยตัวท่านเองดีแล้ว

นอกจากนี้ การดำเนินการดังกล่าวข้างต้น ก็อาจเรียกได้ว่า เป็นการประเมินตนเองเพื่อการบริหารจัดการที่ดี ซึ่งจะก้าวไปสู่การประเมินตนเอง เพื่อการบริหารความเสี่ยง และการควบคุมภายในขององค์กรได้เป็นอย่างดี (CSA – Control Self Assessment) ซึ่งเป็นหัวข้อและวิชาหนึ่งที่น่าสนใจยิ่งในกระบวนการบริหารและการจัดการยุคใหม่

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กุมภาพันธ์ 24, 2010

เมื่อท่านผู้บริหาร และผู้อ่านทุกท่าน ได้ทราบถึงแนวทางการบริหารและจัดการกับความเสี่ยงทั่วทั้งองค์กร ที่ผมได้นำเสนอไปตั้งแต่ต้นแล้วนั้น อีกสิ่งหนึ่งที่ผมอยากจะพูดถึงและให้ความสำคัญนั่นก็คือ ลำดับขั้นของการพัฒนาความเสี่ยง ซึ่งเป็นเรื่องที่ผมจะพูดถึงในวันนี้ และองค์กรชั้นนำทั้งหลายต่างตระหนักดีถึงความสำคัญของการบริหารความเสี่ยงกับมูลค่าผู้ถือหุ้น เนื่องจากคณะกรรมการและผู้บริหารต่างยอมรับถึงความสำคัญของการบริหารความเสี่ยง ทำให้องค์กรได้มีการปรับมุมมอง จากการมองการบริหารความเสี่ยงเพียงแค่ด้านการปฏิบัติให้เป็นไปตามกฎระเบียบ มาเป็นการพิจารณาความเสี่ยงที่เป็นโอกาสเพื่อเพิ่มมูลค่าผู้ถือหุ้น/ผู้มีผลประโยชน์ร่วม โดยสามารถอธิบายได้จากรูปต่อไปนี้

องค์กรที่อยู่ในส่วนล่างสุดของรูป มีการบริหารความเสี่ยงแบบตอบสนองตามเหตุการณ์ (Reactive Risk Management) โดยเน้นที่การปฏิบัติตาม และป้องกันเพื่อหลีกเลี่ยงความเสี่ยงที่อาจทำให้เกิดความเสียหาย องค์กรเหล่านี้จะพัฒนาการควบคุมภายในใหม่ขึ้น เพื่อตอบสนองความเสี่ยงที่พบว่า ยังไม่ได้รับการจัดการให้เป็นที่น่าพอใจ

องค์กรที่อยู่ในส่วนกลางของรูป คือองค์กรที่พยายามทำความเข้าใจต่อความเสี่ยงทั้งหมดที่เกิดขึ้นต่อองค์กร โดยมีการกำหนดการบริหารความเสี่ยงที่ครอบคลุมมากขึ้น นอกเหนือไปจากการควบคุมด้านการเงินและการดำเนินงาน องค์กรเหล่านี้ทำการประเมินความเสี่ยงทั้งทางด้านปฏิบัติการ การปฏิบัติตามกฎระเบียบ และด้านอื่น ๆ รวมทั้งทำการมองหากระบวนการที่จะปรับปรุงการปฏิบัติงานให้ดียิ่งขึ้น

เมื่อผู้บริหารขององค์กรเหล่านี้พบความล้มเหลว หรือความผิดพลาดในการควบคุมภายในขององค์กรอื่น ๆ ก็จะดำเนินการประเมิน หรือปรับปรุงกระบวนการบริหารความเสี่ยงในองค์กรของตนใหม่ เพื่อหลีกเลี่ยงปัญหาที่อาจจะเกิดขึ้นเช่นดังองค์กรอื่น

นอกจากนี้องค์กรที่อยู่ในส่วนกลางของรูป ยังได้ทำการศึกษาแนวปฏิบัติที่ดียิ่งขึ้น เพื่อทำการปรับปรุงกระบวนการให้ก้าวหน้าต่อไปข้างหน้า องค์กรเหล่านี้จะปรับปรุงการบริหารความเสี่ยงตามการเปลี่ยนแปลงและเป้าหมายขององค์กร ทั้งนี้เพื่อสร้างกระบวนการที่สามารถทำให้บรรลุวัตถุประสงค์ต่าง ๆ ได้ดียิ่งขึ้น

นอกจากนี้ ยังได้มีการริเริ่มการนำเอาการบริหารงานมาควบรวมกับกระบวนการประเมิน และจัดการความเสี่ยงมากขึ้น และนำเอากรอบการบริหารความเสี่ยงมาใช้เพื่อให้เกิดการสื่อสารเกี่ยวกับความเสี่ยงด้วยภาษาเดียวกัน รวมไปถึงการจัดการความเสี่ยงในแนวทางเดียวกันด้วย

สำหรับองค์กรที่อยู่ในส่วนบนของรูป เป็นองค์กรที่ประเมินความเสี่ยงเพื่อพิจารณาหาโอกาสใหม่ของธุรกิจ องค์กรเหล่านี้ให้ความสำคัญกับสาเหตุที่ก่อให้เกิดความอ่อนไหวต่อมูลค่าผู้ถือหุ้น และเปิดรับกลยุทธ์และวิธีการใหม่ ๆ เพื่อจัดการกับความเสี่ยงนั้น รวมถึงการประเมินความเสี่ยงที่ส่งผลกระทบที่สำคัญต่อวัตถุประสงค์ นอกจากนั้นยังทำการพลิกผันเหตุการณ์ที่ไม่ดีให้เป็นโอกาสแก่ธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน องค์กรเหล่านี้นำการบริหารความเสี่ยงไปใช้ทั้งในการตัดสินใจและการติดตามผลการตัดสินใจ

องค์กรที่ประสบความสำเร็จมากที่สุดคือ องค์กรที่สามารถนำเอาการบริหารความเสี่ยงมาใช้เป็นเครื่องมือในการเพิ่มมูลค่าผู้ถือหุ้น หรือคุณค่าขององค์กร ทั้งนี้ผู้บริหารระดับสูงต้องเป็นผู้นำ เพื่อให้การบริหารความเสี่ยงขององค์กรก้าวไปสู่ความเป็นเลิศ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

กุมภาพันธ์ 21, 2010

ครั้งที่แล้ว ท่านผู้อ่านก็คงได้ทราบถึงการเปลี่ยนแปลงของการตรวจสอบกันไปแล้วนะครับว่า ในอนาคตจะมีแน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบอย่างไร ตามที่กล่าวมาแล้วข้างต้นในครั้งก่อนสรุปได้ว่า พัฒนาการต่าง ๆ ทางด้านการควบคุมและตรวจสอบตามไม่ทันกับการเปลี่ยนแปลง ทำให้หน่วยงานที่รับผิดชอบประสบปัญหาทั้งด้านบุคลากร และวิธีการตรวจสอบ ในการแก้ไขปัญหานี้ หน่วยงานที่รับผิดชอบด้านการตรวจสอบ จำเป็นที่จะต้องคิดสร้างระบบวิธีการที่เป็นพื้นฐานสำหรับการตรวจสอบที่เข้าใจง่ายและชัดเจน สามารถใช้เป็นแนวทางการตรวจสอบของผู้ตรวจสอบได้ในระยะเริ่มแรก และผู้ตรวจสอบคนอื่น สามารถติดตามการเปลี่ยนแปลงของระบบงานในจุดที่ต้องการได้อย่างมีประสิทธิภาพ แน้วโน้มในการเปลี่ยนแปลงของการตรวจสอบในอนาคตดังกล่าว จึงเป็นเหตุให้เราต้องพูดคุยกันถึงแนวความคิดในการพัฒนาการตรวจสอบเบื้องต้นในวันนี้กันครับ

แนวความคิดในการพัฒนาการตรวจสอบเบื้องต้น
“TOTAL SYSTEMS APPROACH” เป็นระบบการตรวจสอบแบบหนึ่ง ที่เน้นการตรวจสอบในลักษณะ การทำความเข้าใจในผลกระทบของ Risk IT และ IT Risk ที่มีต่อ Business Objective ทั้งระบบ นั่นคือ เป็นการตรวจที่ผู้ตรวจจะต้องเข้าใจระบบงาน ทั้งในส่วนที่ใช้คอมพิวเตอร์ในภาพโดยรวม ในลักษณะที่เป็น Holistic Framework ซึ่งมีการเชื่อมโยงระหว่าง Activities ต่อ Activities และระหว่าง Process กับ Process และระหว่าง Objective และ Objective ในมุมมองของ Interdependency Approaches นั่นคือ ทุก Activities และทุก Process และทุก Objective ถึงแม้จะมีความเป็นอิสระในการประมวลงานในแต่ละ Application หรือในแต่ละระบบงานอย่างอิสระ

แต่ทั้งหมดตามที่กล่าวนี้ ก็มีความสัมพันธ์ต่อกันอย่างแยกกันไม่ได้ เพื่อก้าวไปสู่ Business Process ในการบรรลุ Business Objective ตามมุมมองที่องค์กรต้องการ นี่คือที่มาของคำว่า Interdependency Approach โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบจะต้องเข้าใจที่จะต้องวางแผนการตรวจสอบ ทั้งในส่วนที่ไม่ใช้คอมพิวเตอร์หรือทั้งสองอย่างรวมกัน แทนที่จะแยกการตรวจสอบเป็นส่วน ๆ เช่น ตรวจสอบเฉพาะระบบ Manual เพียงอย่างเดียว ทั้งนี้ สามารถใช้กับผู้ตรวจสอบที่มีความรู้คอมพิวเตอร์เพียงเบื้องต้น แต่ผู้ตรวจสอบผู้นั้น ต้องเข้าใจระบบงานขององค์กรทั้งหมดโดยรวม ซึ่งจะช่วยให้ผู้ตรวจสอบเข้าใจระบบงานอย่างง่าย ๆ โดยการวิเคราะห์การควบคุมระบบงานเป็นขั้น ๆ เป็นวิธีการทำงานตามหลักโครงสร้าง จะช่วยให้การตรวจสอบเป็นไปอย่างมีประสิทธิภาพและเป็นระเบียบ และในที่สุด ผู้ตรวจสอบจะต้องกำหนดว่า จะวางแผนการตรวจสอบในเรื่องใด ส่วนใดของระบบงานโดยรวม (Total System Approach) เพื่อให้การกำหนดขอบเขตเป็นไปตามเป้าประสงค์ ในการวางแผนการตรวจสอบแต่ละครั้ง ในแต่ละเรื่องที่เกี่ยวข้อง โดยคำนึงถึงว่า

1. ในการตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบไม่สามารถตรวจสอบส่วนต่าง ๆ ของระบบแยกกันได้โดยอิสระ ในเมื่อต้องวิเคราะห์ถึงผลกระทบของการตรวจสอบส่วนนั้น ๆ ต่อส่วนอื่น ๆ ของระบบ โดยควรเข้าใจและคำนึงถึง Interdependency Approach ซึ่งจะเป็นเรื่องสำคัญมากในการบริหาร และการตรวจสอบยุคใหม่ เนื่องจากระบบงานที่ประมวลผลด้วยเครื่องคอมพิวเตอร์ เกี่ยวพันต่อเนื่องกันตลอดการใช้ข้อมูลชุดเดียวกัน ความเชื่อถือได้ของระบบงานหนึ่ง ๆ ขึ้นอยู่กับความแน่นอนและครบถ้วนของระบบงานก่อน ในลักษณะนี้ข้อผิดพลาดอันหนึ่งสามารถตกทอดไปอยู่ในระบบงานต่าง ๆ ก่อให้เกิดการทำงานผิดพลาดได้ เช่น การตรวจสอบระบบบัญชีเงินฝากกระแสรายวัน ผู้ตรวจสอบต้องพิจารณาถึงระบบเงินฝากอื่น ระบบการหักบัญชี และระบบบัญชี เป็นต้น หากเป็นสถาบันการเงิน

2. งานประมวลผลด้วยคอมพิวเตอร์เป็นเพียงส่วนหนึ่งของทั้งระบบงานเท่านั้น ทั้งระบบงานจะรวมทั้งส่วนที่ประมวลผลด้วยคนและเครื่อง ปัญหาหลายอย่างที่เกี่ยวกับการประมวลผล มักสืบเนื่องจากผู้วางระบบไม่สนใจระบบงานส่วนที่ยังเป็น Manual โดยถือข้อสมมุติฐานที่ว่าข้อมูลที่รับเข้าไปถูกต้อง และไม่สนใจถึงผลของข้อมูลที่ผลิตออกไปแล้วของระบบงานนั้น ๆ ว่าจะถูกนำไปใช้อย่างไร ผู้ตรวจสอบจึงต้องประเมินทั้งระบบ และไม่ละทิ้งงานส่วนที่เป็น Manual
อย่างไรก็ตาม การที่จะใช้วิธีการตรวจสอบดังกล่าว ผู้ตรวจสอบต้องยอมรับความคิดที่ว่า งานด้านคอมพิวเตอร์ไม่สามารถตรวจสอบได้ โดยไม่มีความเข้าใจผลกระทบต่าง ๆ ที่มีต่อระบบงานของกิจการนั้น ผู้ตรวจสอบจะต้องชี้แจงให้ผู้ที่เกี่ยวข้องในระบบต่าง ๆ ของกิจการ เห็นความจำเป็นในการสร้างระบบควบคุม ซึ่งควรจะเริ่มจากผู้บริหาร ที่จะกำหนดให้ใครรับผิดชอบการทำเอกสารเกี่ยวกับระบบควบคุม ในลักษณะสร้างมาตรฐาน หรือตัวแทนของการควบคุมที่ควรจะมีอยู่ในที่ต่าง ๆ ของกิจการนั้น ซึ่งผู้ตรวจสอบในระยะเริ่มแรกมักจะต้องเป็นผู้จัดทำ ซึ่งต้องใช้เวลามากเกินกว่าครึ่งหนึ่งของเวลาการตรวจสอบ แต่ก็เป็นงานสำคัญในการตรวจสอบ แทนที่จะมุ่งใช้เวลาตรวจสอบระบบการควบคุมที่กิจการกำลังใช้อยู่ โดยประมวลจากเอกสารและการสอบถาม แล้วประเมินไปตามความเห็นของผู้ตรวจสอบ โดยไม่คำนึงถึงความเห็นของผู้เกี่ยวข้องเช่นที่ปฏิบัติกันอยู่ในปัจจุบัน

ในระยะยาวมาตรฐานและการควบคุมต่าง ๆ จะต้องมีการพัฒนา และใช้โดยเจ้าของงาน เจ้าหน้าที่ IT และผู้บริหาร ซึ่งมีหน้าที่โดยตรง บทบาทของผู้ตรวจสอบก็ควรอยู่ในลักษณะกระตุ้นเตือนผู้บริหาร เจ้าของาน และเจ้าหน้าที่ IT เกี่ยวกับการควบคุมในจุดที่ต้องปรับปรุง และทำหน้าที่ตรวจและประเมินผลการควบคุมต่าง ๆ อย่างแท้จริงได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แผนภาพโดยย่อเพื่อทบทวน ใช้ในการพัฒนาและสื่อสารเพื่อสร้างความเข้าใจเรื่องการกำกับดูแลกิจการที่ดี (CG – Corporate Governance) ขององค์กรในภาพโดยรวม

กุมภาพันธ์ 17, 2010

ท่านผู้อ่านที่ได้ติดตามการนำเสนอของผมในเรื่องที่เกี่ยวข้องกับ CG ที่มีความสัมพันธ์อย่างแยกกันไม่ได้กับ ITG และ GRC ซึ่งเป็น Statement ใหม่ และเป็นภาพใหญ่ที่นำไปสู่การบริหารแบบหลอมรวมเป็นหนึ่งเดียว แบบบูรณาการ ที่เกี่ยวข้องกับการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) ซึ่งโยงใยกับการควบคุมภายในตามฐานความเสี่ยง (Internal Control) และสัมพันธ์กับการตรวจสอบภายในตามฐานความเสี่ยง (RBIA – Risk- Based Internal Audit Approach) ตามรูปซึ่งเคยนำเสนอมาแล้ว และท่านสามารถเข้าใจได้ง่ายดังนี้

จากแผนภาพใหญ่ของ CG และองค์ประกอบโดยรวมที่เกี่ยวข้อง ซึ่งอาจแยกอธิบายได้อีกมากมาย ในปัจจัยที่เกี่ยวข้องในแต่ละองค์ประกอบนั้น ผมใคร่ขออนุญาตที่จะกล่าวว่า ท่านผู้อ่านได้เข้าใจภาพโดยรวมและองค์ประกอบที่เกี่ยวข้องได้ดีแล้ว

ณ ที่นี้ ผมจึงจะนำเสนออธิบายเรื่องที่เกี่ยวข้องกับภาพใหญ่ หรือร่มใหญ่ที่สุด นั่นก็คือ CG ในรูปแบบของการอธิบายด้วยแผนภาพล้วน ๆ โดยไม่อธิบายเป็นลายลักษณ์อักษร หรือคำพูดอย่างที่เคยเป็นมา หรือนำเสนอมาแล้วอีก หากท่านผู้อ่านดูภาพพร้อม ๆ กับการใช้ความคิดอย่างเป็นกระบวนการ และอ่านที่ละขั้นทีละตอนในแต่ละกรอบ ในแต่ละปัจจัยที่เกี่ยวข้องและสัมพันธ์กับ CG ตามรูปแรกข้างต้นนั้น ท่านจะเข้าใจและสามารถพัฒนาการกำกับดูแลกิจการที่ดีได้อย่างสะดวก และสามารถสื่อสารไปยังผู้บริหาร และเพื่อนร่วมงาน รวมทั้งนำไปประยุกต์ใช้ ทั้งในระดับองค์กร และในระดับประเทศ และในบางกรณี สามารถก้าวไปสู่การบริหาร CG ในระดับสากล ที่เป็นภาพในระดับ Global ได้ด้วย เช่น กรณีโลกร้อน กรณีโรคระบาด กรณีผู้ก่อการร้าย กรณีการจัดระดับความน่าเชื่อถือของประเทศ กรณีการจัดระดับการก่อการร้าย กรณีการจัดระดับความสามารถในการแข่งขันระหว่างประเทศ กรณีความโปร่งใส ++

ซึ่งทั้งหมดดังกล่าวนั้น หากท่านผู้อ่านได้เห็นภาพดังกล่าวประกอบกับแผนภาพต่อไปนี้ ซึ่งจะนำเสนอเป็นชุด โดยผมจะอธิบายประกอบแผนภาพให้น้อยที่สุด หรือจะนำเสนอเพียงแผนภาพให้ท่านได้คิด และใช้อธิบายได้ด้วยตัวของท่านเอง เนื่องจากผมได้เล่าสู่กันฟังในส่วนที่เกี่ยวข้องในหัวข้อ CG มาพอสมควรแล้ว อีกทั้งมีหัวข้ออื่น ๆ ที่เป็นองค์ประกอบของ CG ซึ่งอยู่ในเว็บไซต์นี้ให้ท่านได้ติดตามและทบทวนเมื่อต้องการอยู่แล้ว

เชิญท่านติดตามแผนภาพโดยรวมดังต่อไปนี้เลยนะครับ

1 ความเห็น | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หากองค์กรหรือประเทศไม่ได้กำหนดวิสัยทัศน์ / ทิศทาง ที่ต้องการก้าวเดิน เพื่อความสำเร็จในอนาคต องค์กรจะกำหนดกลยุทธ์และแผนการดำเนินงานอย่างไร ติดตามตรวจสอบได้อย่างไร (ต่อ)

กุมภาพันธ์ 17, 2010

หากองค์กรของเราขาดวิสัยทัศน์ หรือเป้าหมายในระยะยาว ที่จะพาองค์กรไปสู่ความสำเร็จตามที่ตั้งใจไว้ และหากองค์กรไม่กำหนดพันธกิจ กลยุทธ์ นโยบาย แผนการดำเนินงานที่จะก้าวไปสู่เป้าประสงค์หลักในอนาคต ผู้บริหารในองค์กรนั้น คณะกรรมการในองค์กรนั้น จะมีกระบวนการติดตามผลการดำเนินงานในแต่ละเดือน ในแต่ละไตรมาส และในแต่ละปีอย่างไร องค์กรจะกำหนดความสำเร็จ หรือปรับปรุงแก้ไข เพื่อก้าวไปสู่ความสำเร็จนั้นอย่างไร หากไม่มีตัวชี้วัดที่ชัดเจน เนื่องจากการขาดพันธกิจ และวิสัยทัศน์ที่ชัดเจน ซึ่งเปรียบเสมือนเข็มทิศที่กำหนดทิศทางในการก้าวเดินขององค์กร

ประเทศ ก็เปรียบเสมือนองค์กรขนาดใหญ่ ที่จำเป็นจะต้องมีแนวทาง และหลักการบริหารที่ต้องไม่ต่ำกว่า หลักการบริหารและการจัดการที่ดีขององค์กรโดยทั่วไป แต่มีปัญหาและความท้าทายที่มากกว่า ในเรื่องการบูรณาการ การบริหารและการจัดการในภาพโดยรวมของประเทศ เพื่อก้าวไปสู่วิสัยทัศน์ โดยต้องมีการกำหนดทิศทางที่ถูกต้องและเหมาะสม

จากภาพที่ผมนำเสนอในเรื่องความเข้มแข็งในการบริหารองค์กร และประเทศแบบบูรณาการในครั้งที่แล้ว ความสำเร็จของการบริหารประเทศความจะมีกรอบการบริหาร และการจัดการ ในลักษณะหลอมรวมเป้าประสงค์หลักของประเทศ และถ่ายทอดลงไปเป็นเป้าหมายรอง ๆ ให้กับหน่วยงานต่าง ๆ ไปดำเนินงานในเรื่องต่อไป โดยมีการสื่อสารให้ผู้บริหารทุกหน่วยงานของรัฐ รวมทั้งเอกชน ได้ทราบเป้าประสงค์ของประเทศให้ชัดเจน ทางด้านเศรษฐกิจ การเงิน ความมั่นคงทางด้านการทหาร การลงทุน +++

ปัจจุบันนี้ ผมยังไม่ได้รับการสื่อสารหรือผมยังไม่ได้รับทราบว่า ประเทศไทยของเรามีวิสัยทัศน์ในการบริหาร และขับเคลื่อนประเทศอย่างไร การบริหารทรัพยากรของชาติ เพื่อขับเคลื่อนทิศทางของประเทศ จึงน่าจะขาดความสอดคล้องกันเป็นอย่างมากได้ โดยเฉพาะอย่างยิ่ง ในเรื่องที่เกี่ยวข้องกับความมั่นคงทางด้านการเมือง เศรษฐกิจ และสังคม ตามสถานการณ์ที่เป็นอยู่ในปัจจุบัน

สำหรับการขับเคลื่อนเศรษฐกิจ และการลงทุน ก็เป็นหน้าที่ส่วนหนึ่งของสภาพัฒนาเศรษฐกิจแห่งชาติ แต่กรอบการพัฒนาของประเทศ ภายใต้วิสัยทัศน์ที่ควรจะมีของประเทศไทยนั้น มีภาระที่กว้างขวางกว่านี้มากนัก ผมจึงเข้าใจในเบื้องต้นว่า เรายังขาดหน่วยงานหรือผู้กำกับ หรือผู้กำหนดทิศทางของประเทศ ซึ่งหน้าที่นี้น่าจะได้กับรัฐบาล ซึ่งเปรียบได้กับผู้นำนาวาหรือกัปตันเรือ ที่จะพาเรือหรือประเทศไทยไปสู่ทิศทางหรือเป้าหมายที่ต้องการ โดยมีเครื่องมือและองค์ประกอบต่าง ๆ ที่เหมาะสมและสอดคล้องกัน

ดังนั้น ผู้นำของประเทศที่มีวิสัยทัศน์ และกำหนดวิสัยทัศน์ที่เหมาะสม ซึ่งเปรียบเสมือนเป็นการปักธง หรือกำหนดทิศทางการจัดการของประเทศโดยรวม ควรจะเป็นผู้ดำเนินการในเรื่องนี้

อย่างไรก็ดี ความเป็นรูปธรรมในการจัดการ และดำเนินการเพื่อให้เป็นไปตามวิสัยทัศน์ของประเทศ หากมีการกำหนดขึ้นในอนาคต หน่วยงานที่ควรดำเนินการในภาคปฏิบัติ ในการถ่ายทอดวิสัยทัศน์ เป็นพันธกิจ กำหนดกลยุทธ์ และแนวการปฏิบัติให้เป็นไปตามกลยุทธ์ในมุมมองต่าง ๆ เช่น มุมมองทางด้านเศรษฐกิจการเงิน มุมมองทางด้านความมั่นคงของชาติ มุมมองในแง่กระบวนการปฏิบัติ และมุมมองในแง่ความพึงพอใจของผู้มีผลประโยชน์ร่วม ควรจะมีการบริหารและการจัดการแบบบูรณาการ ที่อาจจะประยุกต์ตามหลักการ GRC – Governance + Risk Management + Compliance ซึ่งผมจะได้ออกความเห็นในเรื่อง GRC และมุมมองของการจัดการในลักษณะการขับเคลื่อนการบริหารแบบบูรณาการที่เป็นหนึ่งเดียวขององค์กร (Integrated Performance Management หรือ Integrity – Driven Performance) ซึ่งอาจนำมาประยุกต์ใช้ในระดับประเทศได้ในบางมุมมอง ซึ่งท่านอาจจะติดตามได้จาก CG & ITG + GRC ต่อไปนะครับ

ตั้งใจจะจบตั้งแต่วรรคที่แล้วครับ แต่ขอแถมนิดนึงให้เป็นข้อคิดว่า ประเทศไทยเราในอดีต เมเปิลครอฟต์จัดอันดับให้เป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบ ในอันดับที่ 20 กว่า ๆ เมื่อปี 2551 ถูกจัดอยู่ในอันดับที่ 11 เมื่อปี 2552 ถูกจัดอันดับให้อยู่ในอันดับที่ 9 นับว่าเป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบของโลก

แล้วผู้บริหารของประเทศเรา ในด้านต่าง ๆ ในระดับรัฐบาล รวมทั้งทางด้านความมั่นคงคิดอย่างไรบ้างครับ เกี่ยวกับข่าวสารที่มาจากต่างประเทศชิ้นนี้ มีการติดตามเรื่องนี้กันอย่างไร มีการกำหนดวิสัยทัศน์ พันธกิจ แผนกลยุทธ์ที่เกี่ยวข้องกับการยอมรับความเสี่ยง หรือกำหนดระดับความเสี่ยงว่า ประเทศไทยของเราจะถูกจัดอันดับให้เป็นประเทศที่มีโอกาสเกิดการก่อความไม่สงบ อันดับที่เท่าไหร่ของโลกจึงจะยอมรับไม่ได้ เพราะเรื่องนี้เป็นเรื่องใหญ่ และกระทบกระเทือนถึงความมั่นคงของประเทศ กระทบกระเทือนต่อความมั่งคงทางเศรษฐกิจ กระทบกระเทือนต่อการลงทุน กระทบต่อการท่องเที่ยว และการพัฒนาในทุกด้าน ++

ผมไม่สบายใจเป็นอย่างยิ่ง และกำลังเป็นห่วงมากว่า ในกรณีที่ประเทศไทยเรายังขาดกระบวนการพัฒนาทางความคิดอย่างเป็นระบบ ยังขาดความเข้าใจในหลักการบริหารความเสี่ยง ทั้งระดับองค์กรและระดับประเทศที่น่าเชื่อถือได้อีกมาก และยังขาดวิสัยทัศน์ในแง่มุมต่าง ๆ ที่เป็นรูปธรรม ประเทศไทยในอนาคตจะเป็นเช่นไร

หากผู้บริหารในระดับประเทศ ไม่กำหนดทิศทางที่ชัดเจน ในมุมมองต่าง ๆ ของชาติ อย่างเช่น กรณีการยอมรับได้ หรือการยอมรับไม่ได้ของการถูกจัดระดับความเสี่ยงของชาติ จากสถาบันจัดอันดับประเภทนี้จากต่างชาติว่า เราควรกำหนด และ/หรือจัดการกับความเสี่ยงที่ถูกนานาชาติ มองประเทศเราว่าเป็นประเทศที่มีความเสี่ยงจากการก่อความไม่สงบ ระดับที่ 9 ของโลกนั้น เราควรจัดการลดความเสี่ยงอย่างเป็นกระบวนการอย่างไร ในทุกมุมมองของกระบวนการบริหาร เพื่อลดระดับความเสี่ยงจากที่ได้เพิ่มตลอดมาในช่วง 3-4 ปีที่ผ่านมา โดยอาจกำหนด และมีกระบวนการจัดการที่ชัดเจนว่า ประเทศไทยไม่ควรยอมรับระดับความเสี่ยงประเภทนี้ หรือถูกจัดอันดับให้เป็นประเทศที่มีความเสี่ยงในการก่อความไม่สงบที่สูงเกินกว่าระดับที่ 20 ของโลก (นั่นคือ อันดับที่ 1-19 เป็นความเสี่ยงที่ประเทศไทยยอมรับไม่ได้ ซึ่งต้องมีกระบวนการบริหารการจัดการที่ดีตามมาในทุกมุมมองตามหลักการของ GRC

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แพทริก พี. เกลซิงเกอร์ รองประธานอาวุโส และหัวหน้าฝ่ายเทคโนโลยี บริษัทอินเทลคอร์เปอเรชั่น (ซีทีโอ) ผู้ผลิตชิปคอมพิวเตอร์ยักษ์ใหญ่ของโลก กับบทเรียนเรื่องการศึกษาและการพัฒนาความคิด เพื่อความมั่นคงของชาติ

กุมภาพันธ์ 17, 2010

ในครั้งที่แล้ว ผมได้พูดถึงเรื่องของ นายมาร์ค ซัคเคอร์เบิร์ก ผู้ก่อตั้ง Facebook.com ที่โด่งดังกับบทเรียนเรื่องการศึกษา โดยเล่าว่า Mr. Mark Elliot Zuckerberg อายุ 26 ปี ได้ลาออกจากมหาวิทยาลัยฮาวาร์ด ทั้ง ๆ ที่เรียนไม่จบ แต่มีจิตนาการและความคิดที่สามารถสร้าง Facebook.com เป็นที่โด่งดังทั่วโลก และมีคนเข้าเว็บไซต์มากเป็นอันดับ 2 ของโลก และมีความร่ำรวย โดยมีเงินประมาณ 76,000 ล้านบาท ภายหลังก่อตั้ง Facebook.com มาประมาณ 6 ปี

เช่นเดียวกับกรณี นาย แพทริก พี. เกลซิงเกอร์ ซึ่งเริ่มทำงานกับอินเทล ตั้งแต่อายุ 18 ปี เขามีลักษณะเด่น คือ ฉลาด ทรนง และเชื่อมั่น รู้ตัวว่าตัวเองต้องการอะไร มีเป้าหมาย ขยัน และเก่งคอมพิวเตอร์ เขาเรียนหนังสือระดับปริญญาตรี ควบคู่ไปกับการทำงานที่อินเทลนี้ด้วย และต่อมาเขาก็เรียนจบปริญญาโท และปริญญาเอกที่มหาวิทยาลัยสแตนฟอร์ด โดยบริษัทอินเทล ไม่ยอมให้เขาลาออก แต่ให้เขาเรียนไปด้วยทำงานไปด้วยจนจบ และสัญญาว่าเขาจะได้รับสิ่งคุ้มค่า หากเขายังอยู่กับอินเทล

ทุกอย่างเป็นไปตามที่บริษัทอินเทลได้บอกไว้กับนายแพท โดยแพทได้รับตำแหน่งผู้จัดการที่คิดค้นชิปคอมพิวเตอร์ รุ่น 486 และยิ่งกว่านั้น ในวัยเพียง 32 ปี เขาก็ได้รับตำแหน่งรองประธาน ของบริษัทอินเทลคอร์เปอเรชั่น (ซีทีโอ) ที่อายุน้อยที่สุด ทุกวันนี้นายแพทเป็นคนหนึ่งที่ทรงอิทธิพลที่สุดในอินเทล ความสำเร็จที่สำคัญยิ่งที่นายแพทได้เล่าให้ฟังก็คือ เขาได้ตัดสินใจเชื่อศรัทธาในพระคริสต์ เมื่ออายุ 18 ปี

บทเรียนจากเรื่องจริงข้างต้นนี้ นอกเหนือจากที่กล่าวในวรรคต้นแล้วก็คือ นายแพท เป็นผู้ที่มีวิสัยทัศน์ ที่เกิดจากจิตวิญญาณที่มีความเข้มแข็ง ซึ่งส่งผลต่อการมีจิตนาการที่ดี ที่ถูกต้อง และผลักดันให้เกิดความคิด และพฤติกรรมในการดำเนินการตามที่เขาตั้งใจไว้ จนเขาประสบความสำเร็จ ทั้งด้านหน้าที่การงาน ความมั่นคงทางการเงิน และความสำเร็จทางด้านครอบครัว เพราะลินดา ภรรยาของเขา ซึ่งแพทย์เคยบอกว่า มีความผิดปกติในการมีบุตรในตอนแรก สามารถมีบุตรให้กับเขาได้ถึง 4 คนในเวลาต่อมา

Lesson – Learned ดังกล่าว ท่านคิดว่ามาจากโชคชะตา หรือมาจากศรัทธาจากความเชื่อที่ถูกต้อง และส่งผลไปยังความคิด และจิตนาการ รวมทั้งการตัดสินใจที่ถูกต้อง

ดังนั้น หากเราต้องการก้าวหน้า เราจึงต้องกล้าคิด และพัฒนาทางความคิดอย่างเป็นกระบวนการ ตั้งแต่ในวัยเยาว์ ถึงแม้ท่านผ่านวัยเยาว์มาแล้ว ท่านก็สามารถนำกรณีศึกษาของ นายแพท และนายมาร์ค ซัคเกอร์เบิร์ก และนายบิล เกตต์ ซึ่งเป็นตำนานของความสำเร็จจากการสร้างจิตนาการ และความสำเร็จจากความคิดที่เป็นระบบเป็นสำคัญ

ตั้งใจจะจบตั้งแต่วรรคที่แล้วครับ แต่ขอแถมนิดนึงให้เป็นข้อคิดว่า ประเทศไทยเราในอดีต เมเปิลครอฟต์จัดอันดับให้เป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบ ในอันดับที่ 20 กว่า ๆ เมื่อปี 2551 ถูกจัดอยู่ในอันดับที่ 11 เมื่อปี 2552 ถูกจัดอันดับให้อยู่ในอันดับที่ 9 นับว่าเป็นประเทศที่มีอันตรายในระดับการก่อความไม่สงบของโลก

แล้วผู้บริหารของประเทศเรา ในด้านต่าง ๆ ในระดับรัฐบาล รวมทั้งทางด้านความมั่นคงคิดอย่างไรบ้างครับ เกี่ยวกับข่าวสารที่มาจากต่างประเทศชิ้นนี้ มีการติดตามเรื่องนี้กันอย่างไร มีการกำหนดวิสัยทัศน์ พันธกิจ แผนกลยุทธ์ที่เกี่ยวข้องกับการยอมรับความเสี่ยง หรือกำหนดระดับความเสี่ยงว่า ประเทศไทยของเราจะถูกจัดอันดับให้เป็นประเทศที่มีโอกาสเกิดการก่อความไม่สงบ อันดับที่เท่าไหร่ของโลกจึงจะยอมรับไม่ได้ เพราะเรื่องนี้เป็นเรื่องใหญ่ และกระทบกระเทือนถึงความมั่นคงของประเทศ กระทบกระเทือนต่อความมั่งคงทางเศรษฐกิจ กระทบกระเทือนต่อการลงทุน กระทบต่อการท่องเที่ยว และการพัฒนาในทุกด้าน ++

ผมไม่สบายใจเป็นอย่างยิ่ง และกำลังเป็นห่วงมากว่า ในกรณีที่ประเทศไทยเรายังขาดกระบวนการพัฒนาทางความคิดอย่างเป็นระบบ ยังขาดความเข้าใจในหลักการบริหารความเสี่ยง ทั้งระดับองค์กรและระดับประเทศที่น่าเชื่อถือได้อีกมาก และยังขาดวิสัยทัศน์ในแง่มุมต่าง ๆ ที่เป็นรูปธรรม ประเทศไทยในอนาคตจะเป็นเช่นไร

หากผู้บริหารในระดับประเทศ ไม่กำหนดทิศทางที่ชัดเจน ในมุมมองต่าง ๆ ของชาติ อย่างเช่น กรณีการยอมรับได้ หรือการยอมรับไม่ได้ของการถูกจัดระดับความเสี่ยงของชาติ จากสถาบันจัดอันดับประเภทนี้จากต่างชาติว่า เราควรกำหนด และ/หรือจัดการกับความเสี่ยงที่ถูกนานาชาติ มองประเทศเราว่าเป็นประเทศที่มีความเสี่ยงจากการก่อความไม่สงบ ระดับที่ 9 ของโลกนั้น เราควรจัดการลดความเสี่ยงอย่างเป็นกระบวนการอย่างไร ในทุกมุมมองของกระบวนการบริหาร เพื่อลดระดับความเสี่ยงจากที่ได้เพิ่มตลอดมาในช่วง 3-4 ปีที่ผ่านมา โดยอาจกำหนด และมีกระบวนการจัดการที่ชัดเจนว่า ประเทศไทยไม่ควรยอมรับระดับความเสี่ยงประเภทนี้ หรือถูกจัดอันดับให้เป็นประเทศที่มีความเสี่ยงในการก่อความไม่สงบที่สูงเกินกว่าระดับที่ 20 ของโลก (นั่นคือ อันดับที่ 1-19 เป็นความเสี่ยงที่ประเทศไทยยอมรับไม่ได้ ซึ่งต้องมีกระบวนการบริหารการจัดการที่ดีตามมาในทุกมุมมองตามหลักการของ GRC

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กุมภาพันธ์ 15, 2010

หลังจากได้ทราบถึงบทบาทของคณะกรรมการบริหาร คณะกรรมการบริหารความเสี่ยง ผู้จัดการ ผู้ตรวจสอบภายใน รวมทั้งพนักงานทุกคนที่มีส่วนเกี่ยวข้อง ที่ทำให้การบริหารความเสี่ยงขององค์กรบรรลุเป้าประสงค์แล้ว วันนี้ผมจะพูดคุยกับท่านถึงแนวปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงขององค์กรทั่วไป ซึ่งได้นำเสนอเป็นข้อ ๆ เพื่อให้กระชับ เข้าใจง่าย และสามารถใช้เป็นแนวปฏิบัติในการบริหารความเสี่ยงขององค์กรได้ต่อไป ไปติดตามกันครับว่าแนวปฏิบัตินี้จะกล่าวถึงอะไรบ้าง

แนวปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงประกอบด้วย
1. การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุวัตถุประสงค์ขององค์กร

2. การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ในปัจจุบันขององค์กร ทั้งนี้รวมถึงการกำหนดให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำแผนธุรกิจ การกำหนดงบประมาณ การตัดสินใจลงทุน และการบริหารโครงการ

3. การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยงเชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความสนใจต่อความเสี่ยงทั้งที่เป็นความเสียหาย ความไม่แน่นอน การเสียโอกาส ซึ่งต่างจากการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยงที่เกี่ยวกับการปฏิบัติตามกฎระเบียบเท่านั้น

4. กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบและมีส่วนร่วมในการบริหารความเสี่ยง

5. การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจและใช้ร่วมในองค์กร

6. การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยง

7. องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจัง ในการบ่งชี้และบริหารความเปลี่ยนแปลงที่เกิดจากการนำการบริหารความเสี่ยงเข้ามาปรับใช้ภายในองค์กร

8. มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของการบริหารความเสี่ยง ประเด็นความเสี่ยงที่ควรต้องได้รับการจัดการทันที และการปรับปรุงแผนการดำเนินงานที่จำเป็น

9. การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงปริมาณ เช่น ผลขาดทุน มูลค่ารายได้ หรือค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลงโดยพิจารณาจาก 2 ประเด็นคือ โอกาสที่อาจเกิดขึ้น และผลกระทบ

10. การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคลเพื่อเผยแพร่ข้อมูลต่างๆเกี่ยวกับการบริหารความเสี่ยง ความรับผิดชอบของแต่ละบุคคล และเพื่อส่งเสริมให้เกิดการปฏิบัติที่เหมาะสม

11. การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าที่ช่วยเหลือในการดำเนินการ การสนับสนุนการนำการบริหารความเสี่ยงมาปฏิบัติ และการพัฒนาความสามารถในการบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการความเสี่ยงที่ดีที่เกิดขึ้น

12. ผู้ตรวจสอบภายในมีบทบาทสำคัญในการสร้างความมั่นใจว่าองค์กรมีการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง และในกรณีที่จำเป็น ผู้ตรวจสอบภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุง แต่ผู้ตรวจสอบภายในไม่มีบทบาทโดยตรงต่อการเป็นผู้นำในการพัฒนากรอบการบริหารความเสี่ยง หรือเป็นผู้บริหารความเสี่ยงโดยตรง ทั้งนี้ อาจจะถ่ายทอดการกำกับดูแลกิจการที่ดีไปสู่การบริหารความเสี่ยงอย่างเป็นระบบและเป็นขั้นตอน โดยอธิบายสั้น ๆ ด้วยแผนภาพดังนี้

สำหรับแนวปฏิบัติในการบริหารความเสี่ยงข้างต้นในวันนี้ ก็คงพูดคุยกันสั้น ๆ แต่เพียงเท่านี้ ครั้งหน้าเราไปติดตามการพัฒนาลำดับขั้นของความเสี่ยงกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น (ต่อ)

กุมภาพันธ์ 11, 2010

สวัสดีครับ วันนี้เรามาต่อกันเรื่องแนวทางการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์กันครับ ซึ่งผมจะพูดถึงแนวโน้มการเปลี่ยนแปลงของการตรวจสอบในอนาคต ติดตามต่อกันเลยครับ

วิธีการตรวจสอบเท่าที่เคยทำกันมาพอจะสรุปได้เป็น 2 ลักษณะ คือ รวบรวมเอกสารต่าง ๆ และสอบถามเกี่ยวกับการดำเนินการของหน่วยงาน และระบบงานที่ใช้คอมพิวเตอร์ แล้วประเมินความเพียงพอของการควบคุมความเสี่ยงที่มีอยู่ ซึ่งเป็นวิธีการที่ใช้เวลามากและไม่ใคร่ได้ผล หลังจากนั้น จึงทำการทดสอบความถูกต้องของการทำงานในระบบคอมพิวเตอร์ ซึ่งทำได้ทั้งวิธีไม่ใช้เครื่องคอมพิวเตอร์และใช้คอมพิวเตอร์

อย่างไรก็ตามในขณะที่เทคโนโลยีด้านนี้ ได้เปลี่ยนแปลงไปอย่างรวดเร็ว แต่งานด้านการตรวจสอบทางด้านคอมพิวเตอร์ ก็ยังขาดทั้งบุคลากรที่มีประสบการณ์ และวิธีการตรวจสอบที่ทันกับการเปลี่ยนแปลงที่เกิดขึ้น เป็นผลให้การทำงานของผู้ตรวจสอบเท่าที่ผ่านมา อยู่ในลักษณะที่ทำงานให้ลุ่ล่วงไปเป็นเรื่อง ๆ เท่านั้น ขาดการวางแผนและควบคุมที่เหมาะสมในลักษณะการตรวจสอบแบบบูรณาการ ที่ควรคำนึงถึง Risk IT และ IT Risk ที่มีผลกระทบต่อกลยุทธ์ และการบรรลุเป้าประสงค์ขององค์กรโดยรวม สภาพการณ์ดังกล่าวย่อมผลักดันให้แนวโน้มการตรวจสอบในอนาคตต้องเปลี่ยนแปลงไปจากเดิมใน 4 ลักษณะ เป็นเบื้องต้นดังนี้

1. การเปลี่ยนแปลงในตัวผู้ตรวจสอบ
ในระยะต่อไปนี้ ผู้ตรวจสอบทั่วไปที่ตรวจงานเฉพาะด้าน Manual อย่างเดียวจะค่อย ๆ หมดไป ผู้ตรวจสอบทั่วไป จะต้องเข้ามาตรวจสอบงานที่ประมวลด้วยระบบคอมพิวเตอร์มากขึ้น และในกรณีที่ผู้ตรวจสอบทางด้าน Manual มีความเข้าใจในผลกระทบทางด้าน IT Risk และ Risk IT ที่มีผลต่อ Business และการควบคุมความเสี่ยงโดยรวมอย่างจำกัด คุณภาพของงานตรวจสอบก็จะถูกจำกัดเป็นอย่างมาก และเป็นอย่างยิ่ง จนถึงระดับที่ไม่น่าจะยอมรับได้

ส่วนผู้ตรวจสอบด้าน IT จะเปลี่ยนสภาพไปในลักษณะผู้ตรวจสอบด้าน Information System และระบบงาน ซึ่งเน้นการตรวจสอบระบบงานที่ยุ่งยากซับซ้อน ผู้ตรวจสอบด้าน Information System จะต้องรู้ระบบงานที่ใช้เทคโนโลยีสูง ๆ การใช้คอมพิวเตอร์ และโปรแกรมขั้นสูง วิธีการทางสถิติ การใช้โปรแกรมการตรวจสอบ การบริหารความเสี่ยง และการควบคุมทางด้าน Risk IT และ IT Risk ด้วยวิธีการต่าง ๆ ที่จะนำมาใช้ทดสอบข้อมูลและระบบงานอย่างบูรณาการ

2. การเปลี่ยนแปลงกระบวนการตัดสินใจเกี่ยวกับเรื่องที่จะตรวจ
ในการเลือกเรื่องตรวจ ผู้ตรวจสอบจะต้องมีความรู้ความเข้าใจเกี่ยวกับเป้าหมาย และนโยบายของกิจการทั้งในปัจจุบันและอนาคต เข้าใจหน้าที่เกี่ยวกับการประมวลผล มีการติดต่อที่ดีระหว่างส่วนงานต่าง ๆ ที่เกี่ยวข้อง ควรจะมีการสะสมระบบงานต่าง ๆ และจัดลำดับตามชนิดและความสำคัญไว้ และเมื่อมีการเปลี่ยนแปลงเกิดขึ้น ควรทบทวนใหม่ ระมัดระวังการตรวจสอบเรื่องที่เกินขอบเขต ไม่ควรเสียเวลาประเมินผลการควบคุมภายในของระบบงานเก่า ที่กำลังจะมีการยกเลิกเปลี่ยนแปลงแก้ไข แต่ควรจะให้ความสนใจ วิธีการที่จะสร้างการควบคุมที่ดีที่จะนำมาใช้กับระบบงานใหม่

3. การเปลี่ยนแปลงความคิดเห็นเกี่ยวกับการควบคุมภายใน
การสร้างระบบการควบคุมภายใน ควรจะเริ่มจากระดับสูงของกิจการ แต่ผู้ตรวจสอบจะต้องเข้าใจด้วยว่า รายการต่าง ๆ เกิดขึ้นอย่างไร และผ่านขบวนการปฏิบัติอย่างไร จึงจะบรรลุผลและจุดประสงค์ตามที่คาดไว้ การดูเฉพาะจุดที่เตรียมไว้ อาจเป็นผลให้ไม่พบสิ่งที่ผิดปกติตามมาตรฐานการตรวจสอบของ AICPA ไม่ได้บังคับ ผู้ตรวจสอบจะต้องใช้ Audit Through The Computer แต่บังคับว่าผู้ตรวจสอบต้องเข้าใจระบบเพียงพอ ที่จะทำการตัดสินใจกำหนดขอบเขตการตรวจสอบที่ถูกต้องตามเหตุผลได้ นอกจากนี้การสำรวจระบบการควบคุมภายในของระบบ IT จะทำให้มั่นใจในขอบเขตการตรวจสอบที่สมบูรณ์และเข้าใจง่าย

4. การเปลี่ยนแปลงวิธีการประเมินผลการควบคุมของผู้ตรวจสอบ
เนื่องจากการพัฒนาระบบงานใหม่ ๆ ที่จะเพิ่มขึ้นอย่างรวดเร็ว และปัญหาเรื่องการขาดแคลนบุคลากรด้านนี้ จะเป็นแรงผลักดันให้จำเป็นต้องมีการคิดค้นวิธีการวิเคราะห์ และประเมินผลการควบคุม ของกิจการที่ใช้คอมพิวเตอร์ให้เป็นไปตามหลักเหตุผล และมีประสิทธิภาพมากขึ้น สามารถตอบสนองวัตถุประสงค์ในหลาย ๆ ด้าน โดยมีหลักการเป็นขั้น ๆ ดังนี้

4.1. ทำความเข้าใจกับผลกระทบของระบบคอมพิวเตอร์ในด้านต่าง ๆ
4.2. พิจารณาว่าจะทำอะไรกับระบบงานใด ต้องใช้ความพยายามในระดับไหน
4.3. ดูว่าในระบบงานนั้น ๆ มีผลเสียหายที่อาจเกิดขึ้นหรือไม่ มีระบบการควบคุมหรือไม่ และทำการประเมินการควบคุมต่าง ๆ
4.4. หยิบยกการควบคุมสำคัญ ๆ มาทำการทดสอบ
4.5. ให้มีการรวบรวม และจัดทำเอกสารประกอบการตรวจสอบอย่างมีประสิทธิภาพ และสามารถสอบทานได้
4.6. รายงานผลการตรวจสอบ ในลักษณะที่จะช่วยให้การทำงานดีขึ้นและให้ข้อแนะนำในทางสร้างสรรค์

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กุมภาพันธ์ 7, 2010

สวัสดีครับ ครั้งที่แล้วผมได้พูดถึงบทบาท และการกำกับดูแลการบริหารความเสี่ยงของคณะกรรมการบริหารองค์กร คณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ผู้บริหาร ผู้ตรวจสอบภายใน รวมถึงพนักงานทุกคนในองค์กรที่ต้องมีหน้าที่ และบทบาทร่วมกัน ในการบริหารจัดการความเสี่ยงทั่วทั้งองค์กรให้เกิดประสิทธิภาพ ประสิทธิผล และบรรลุเป้าประสงค์ขององค์กร

วันนี้ผมจะมาพูดต่อถึงบทบาทและการกำกับดูแลการบริหารความเสี่ยง ซึ่งนอกเหนือจากคณะกรรมการบริหาร คณะกรรมการตรวจสอบ ผู้บริหาร และผู้ตรวจสอบภายในแล้ว บางองค์กรมีการจัดตั้งจุดประสานงานกลาง เพื่ออำนวยความสะดวกในการบริหารความเสี่ยงขององค์กร นั่นก็คือ Risk Officer

Risk Officer ในบางค์กรคือ Chief Risk Officer หรือ Risk Manager ที่ทำงานร่วมกับผู้จัดการอื่น ๆ ในการจัดตั้งการบริหารความเสี่ยงที่มีประสิทธิผลในขอบเขตที่รับผิดชอบ

หน้าที่ของ Risk Officer ประกอบด้วย
1. กำหนดนโยบายการบริหารความเสี่ยงในหน่วยงานของตน รวมทั้งกำหนดบทบาทและความรับผิดชอบ และการมีส่วนร่วมในการกำหนดเป้าหมายเพื่อนำไปปฏิบัติ
2. วางกรอบการตรวจสอบ และอำนาจหน้าที่สำหรับการบริหารความเสี่ยงขององค์กรในหน่วยงาน
3. ส่งเสริมความสามารถในการบริหารความเสี่ยงขององค์กรให้กับทุกคนในหน่วยงาน รวมทั้งอำนวยความสะดวกในการพัฒนาผู้เชี่ยวชาญทางเทคนิคในการบริหารความเสี่ยงขององค์กร และช่วยผู้จัดการวางการตอบสนองความเสี่ยงด้วย Risk Tolerances ของหน่วยงาน
4. ให้แนวทางการบูรณาการบริหารความเสี่ยงขององค์กรกับการวางแผนธุรกิจอื่น ๆ และกิจกรรมการบริหาร
5. การจัดตั้งภาษาการบริหารความเสี่ยงทั่วไป ที่รวมถึงการวัดทั่ว ๆ ไปเกี่ยวกับความน่าจะเกิด (Likelihood) และผลกระทบ (Impact) และประเภทของความเสี่ยงทั่ว ๆ ไป
6. ดูแลการพัฒนา Risk Tolerance ของทั้งองค์กร และหน่วยธุรกิจ และทำงานร่วมกับผู้จัดการ ในการกำหนดกิจกรรมการควบคุมและข้อเสนอแนะที่จำเป็นในการปฏิบัติที่ถูกต้อง
7. อำนวยความสะดวกให้กับผู้จัดการในการพัฒนาบันทึกการรายงาน รวมถึงปริมาณและคุณภาพเบื้องต้น และการตรวจสอบกระบวนการรายงาน
8. การรายงานความคืบหน้าและหัวข้อและข้อเสนอแนะ ในการปฏิบัติที่จำเป็นต่อหัวหน้าฝ่ายบริหาร

การยอมรับในความสามารถในการบริหารความเสี่ยง
ความสามารถสะท้อนให้เห็นถึงความรู้ และทักษะที่จำเป็นสำหรับการปฏิบัติงานตามที่ได้รับมอบหมาย ฝ่ายบริหารจะตัดสินใจถึงวิธีต่าง ๆ ที่จำเป็นในการทำงานให้สำเร็จโดยการให้น้ำหนักระหว่างกลยุทธ์ และวัตถุประสงค์เทียบกับแผนในการนำกลยุทธ์ไปปฏิบัติ และการบรรลุวัตถุประสงค์ ผู้บริหารควรกำหนดระดับของความรู้ความสามารถที่จำเป็นสำหรับการปฏิบัติงานแต่ละงาน เช่น การจัดทำเอกสารกำหนดลักษณะงาน เป็นต้น

ความรู้และทักษะที่จำเป็นนั้นอาจขึ้นอยู่กับความฉลาด การฝึกอบรมและประสบการณ์ของแต่ละคน ปัจจัยที่ต้องพิจารณาในการพัฒนาระดับความรู้และทักษะ จะรวมถึงธรรมชาติและระดับของการตัดสิน ในการนำไปประยุกต์ใช้ในงานที่มีความเฉพาะเจาะจง ซึ่งกิจกรรมดังกล่าวจะบรรลุผลสัมฤทธิ์ได้ องค์กรทั่วไปควรกำหนดความสามารถในการบริหารความเสี่ยงในแต่ละตำแหน่งไว้อย่างเหมาะสม

วิธีการมอบอำนาจและความรับผิดชอบ
การมอบอำนาจและความรับผิดชอบ มีความสัมพันธ์กับระดับที่แต่ละบุคคลและทีมงานได้รับมอบหมายอำนาจ และการส่งเสริมให้ใช้ความคิดริเริ่มในประเด็นต่าง ๆ และการแก้ปัญหา และการขอบเขตของอำนาจ

ประเด็นที่สำคัญในการมอบหมายอำนาจก็คือ ต้องการให้บรรลุวัตถุประสงค์ นั่นหมายถึง ต้องแน่ใจว่าการยอมรับความเสี่ยงนั้นมีพื้นฐานมาจากวิธีการในการระบุความเสี่ยง ประเมินความเสี่ยง รวมถึงขนาดและการให้น้ำหนักของการสูญเสีย เทียบกับประโยชน์ที่ได้รับในระดับการตัดสินใจทางธุรกิจที่ดี

อีกประการหนึ่งคือ ทำให้แน่ใจว่าทุกคนเข้าใจวัตถุประสงค์ขององค์กร และประโยชน์ที่ทุกคนรู้วิธีการในการปฏิบัติเพื่อให้บรรลุวัตถุประสงค์
บางครั้งการเพิ่มการมอบอำนาจ อาจขึ้นอยู่กับโครงสร้างขององค์กรว่าเป็นแบบแนวดิ่งหรือแนวราบ การเปลี่ยนแปลงโครงสร้างต้องสนับสนุนให้เกิดความคิดสร้างสรรค์ การริเริ่มและการตอบสนองการแข่งขัน และความพึงพอใจของผู้มีผลประโยชน์ร่วมอย่างรวดเร็ว

การเพิ่มการมอบอำนาจอาจต้องใช้ความสามารถของพนักงานในระดับที่สูงขึ้น และต้องสามารถตรวจสอบได้มากขึ้น และต้องมีวิธีการที่มีประสิทธิภาพ เพื่อให้ฝ่ายบริหารสามารติดตามผลเพื่อการตัดสินใจเท่าที่จำเป็น

นโยบายบริหารงานด้านทรัพยากรมนุษย์
บุคลากรเป็นปัจจัยสำคัญและมีอิทธิพลต่อการปฏิบัติงานทุกด้าน รวมทั้งการควบคุมภายใน ดังนั้น ผู้บริหารควรมีการกำหนดนโยบาย และวิธีปฏิบัติที่กำหนดในส่วนที่เกี่ยวข้องกับการบริหารทรัพยากรมนุษย์ที่ชัดเจน ด้านการคัดเลือก การปฐมนิเทศ การฝึกอบรม การประเมินผล การให้คำปรึกษา การเลื่อนตำแหน่ง การบริหารค่าตอบแทน เป็นต้น

การจ้างงานควรมีมาตรฐาน โดยพิจารณาจากพื้นฐานทางการศึกษา ประสบการณ์การทำงาน ความสำเร็จที่ผ่านมาและพฤติกรรมด้านจริยธรรมและความซื่อสัตย์ การแสดงให้เห็นว่าเป็นบุคคลที่มีความผูกพันต่อองค์กร และมีความน่าเชื่อถือได้ วิธีการในการสรรหาจะประกอบด้วยการสัมภาษณ์ที่เป็นทางการ การสัมภาษณ์เชิงลึก และข้อมูลและการแสดงออกที่สามารถมองเห็นได้จากองค์กรเดิม วัฒนธรรมและรูปแบบการปฏิบัติงาน

นโยบายการฝึกอบรมมีอิทธิพลต่อระดับการปฏิบัติงานและพฤติกรรมที่คาดหวังไว้ โดยการสื่อสารบทบาทและความรับผิดชอบที่คาดหวังไว้ และการดำเนินงานเหมือนโรงเรียนฝึกอบรมและสัมมนา แบบฝึกหัดที่เป็นกรณีศึกษาให้ปฏิบัติและการแสดงบทบาทสมมติ

การโยกย้ายและการเลื่อนตำแหน่ง ต้องเกิดจากการประเมินผลการปฏิบัติที่สะท้อนให้เห็นถึงความผูกพันขององค์กรต่อพนักงานที่มีคุณภาพสูง
โปรแกรมการจ่ายค่าตอบแทนที่ใช้ในการแข่งขันจะประกอบด้วยการจ่ายโบนัสจูงใจ เพื่อตอบสนองและจูงใจผู้ที่มีผลการปฏิบัติงานที่ดีเลิศ โดยเฉพาะอย่างยิ่ง มีการจ่ายผลตอบแทนกับค่าความสำเร็จของการบริหารความเสี่ยง

ในครั้งหน้า ผมจะบอกถึงแนวทางปฏิบัติสู่ความเป็นเลิศในการบริหารความเสี่ยงขององค์กรทั่วไป อย่าพลาดติดตามนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »