เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

มกราคม 22, 2010

สวัสดีครับท่านผู้บริหาร ผู้ตรวจสอบ และผู้อ่านทุกท่าน สำหรับการประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ปี 2553 นี้ จะมีเกณฑ์ในการพิจารณาที่ี่เกี่ยวข้องกับการจัดการระบบสารสนเทศอยู่หลายด้านด้วยกัน ซึ่งผมได้นำเสนอประเด็นที่จะต้องพิจารณากันไปแล้ว ในด้านของระบบสารสนเทศที่สนับสนุนการบริหารจัดการ ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

วันนี้ผมจะำนำเสนอต่อในด้านของระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียจากภายนอกองค์กร และนโยบายต่าง ๆ ของรัฐบาล ที่องค์กรจะต้องพิจารณาและนำไปปฏิบัิติเืพื่อให้ได้ตามเกณฑ์การประเมินผลฯ ปี 2553 กันครับ

2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่างๆ ของรัฐบาล เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.5.1 การลดขั้นตอนและการอำนวยความสะดวกแก่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

เป็นระบบสารสนเทศหรือเทคโนโลยีใดก็ตามที่นำมาใช้ในการสนับสนุนรัฐวิสาหกิจเพื่อที่จะสามารถลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ เพื่อก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงาน และได้รับความพึงพอใจจากผู้ใช้บริการ

กระบวนการในการที่จะนำระบบหรือเครือข่ายสารสนเทศ (Application Program and Information Network) เข้ามาใช้ในการลดระยะเวลาในการให้บริการนั้น มีอยู่หลายวิธีด้วยกัน เช่น การนำระบบคอมพิวเตอร์มาช่วยลดขั้นตอนการทำงาน ระบบคอมพิวเตอร์ที่สามารถตรวจสอบความถูกต้องจากข้อมูลของผู้ใช้บริการ และสามารถที่จะสรุปได้ว่าควรให้ดำเนินการต่อหรือไม่ควรให้ดำเนินการต่อ หรือการใช้เครือข่ายต่างๆ (Internet / Extranet) เข้ามาเชื่อมต่อ หากลักษณะของการให้บริการสามารถให้บริการผ่านเครือข่ายได้ ทำให้ลดระยะเวลา ระยะทาง ฯลฯ ดังเช่นการขอข้อมูลจากกรมทะเบียนการค้า ซึ่งมีข้อมูลให้บริการดาว์นโหลดผ่านทางอินเทอร์เน็ต เป็นต้น

แนวทางโดยสรุป : การนำระบบหรือเทคโนโลยีสารสนเทศเข้ามาใช้สนับสนุนในการลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ โดยมีการกำหนดว่าจะลดในขั้นตอนใด เป็นเวลาเท่าไร ทำให้ผู้ใช้บริการเกิดความพึงพอใจ เกิดผลสัมฤทธิ์ และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : การมีระบบบริการแบบอัตโนมัติซึ่งผู้ใช้บริการจะได้รับคำตอบและใช้บริการจากระบบได้ด้วยตนเอง ไม่ต้องใช้เจ้าหน้าที่คอยให้บริการ หรืออาจจะบริการแบบกึ่งอัตโนมัติ ประชาชน บริษัทเอกชน และหน่วยงานอื่นๆ สามารถเชื่อมโยงเข้ามาใช้บริการได้ทั้งทาง Intranet/Internet ซึ่งจากเดิมต้องเดินทางมาใช้บริการที่องค์กร ซึ่งอาจจะต้องใช้เวลาประมาณ 2-3 ชั่วโมง ซึ่งเมื่อนำระบบบริการแบบอัตโนมัติมาใช้ ทำให้สามารถลดเวลาในการดำเนินการได้ เหลือแค่ครึ่งชั่วโมง เป็นต้น ดังตัวอย่างจากบริษัท GUESS ที่ผลิตและขายเสื้อผ้าประเภทยีนส์ โดย GUESS ใช้ระบบและอุปกรณ์ Network ของ Cisco System ซึ่งใช้สำหรับสร้างเครือข่ายภายในบริษัท และอินเทอร์เน็ต สำหรับติดต่อกับ ลูกค้า กับ Supplier และใช้ Software ของ PeopleSoft และ Commerce One ในการสร้าง Website Apparel Buying Network (www.Apparelbuy.com) ซึ่งมีระบบที่เรียกว่า Guess’s core order processing system ทำให้ทั้งลูกค้า ร้านค้าขายปลีก รวมทั้ง Supplier สามารถติดต่อบริษัท ทั้งในเรื่องของการสั่งซื้อสินค้า การตรวจสอบ Catalog สินค้า และการจัดส่งได้ตลอด 24 ชั่วโมง ผ่านทางเว็บไซต์ของบริษัทได้ ส่งผลให้บริษัทสามารถเพิ่มยอดบริการ ยอดขาย รายได้ และลดต้นทุนในส่วนของกระบวนการสั่งซื้อสินค้า และอื่นๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายนอกโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายนอกได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายนอกองค์กร การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในการให้บริการผู้รับบริการภายนอกองค์กร (ประชาชน ลูกค้า ผู้ใช้บริการ หรือบริษัทคู่ค้า ฯลฯ) ได้อย่างรวดเร็ว รวมทั้งระบบสารสนเทศที่ช่วยในการสื่อสารภายนอกองค์กร โดยการสื่อสารระหว่างกันนั้น ข้อมูลสามารถถูกส่งออกไปได้ยังส่วนต่าง ๆ อย่างง่ายดาย ซึ่งองค์กรต่าง ๆ มีแนวโน้มที่จะเปลี่ยนรูปแบบการดำเนินธุรกิจมาเป็นแบบนี้มากขึ้นทุกขณะ เพื่อความสะดวกในการบริการจัดการและความสัมพันธ์ที่ดีกับลูกค้า

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการสามารถติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง และให้บริการผ่านทางช่องทางอิเล็กทรอนิกส์ด้วยความรวดเร็ว รวมทั้งมีความสะดวกในการใช้บริการ และสามารถสื่อสารกับภายนอกองค์กรเพื่อเป็นการให้ข้อมูลกับผู้มีส่วนได้เสียให้เกิดความเข้าใจ รวมทั้งการแจ้งข่าวสาร การประชาสัมพันธ์ต่างๆ นอกจากนี้ยังรวมถึงการประสานงานกับภายนอกองค์กรเพื่อให้การดำเนินงานมีประสิทธิภาพมากขึ้น
ตัวอย่าง : การแจ้งข้อมูลข่าวสารให้ผู้สนใจหรือผู้รับบริการทราบผ่านทาง e-mail และเว็บไซต์อย่างสม่ำเสมอ รวมถึงการเชื่อมโยงข้อมูลสำหรับการสื่อสารกับบริษัทคู่ค้าได้โดยตรงโดยไม่ต้องใช้สื่อตัวกลางและขั้นตอนการสื่อสารตัวกลางที่มีประสิทธิภาพต่ำทั้งหลาย นอกจากนี้องค์กรสามารถจัดตั้งเว็บไซต์ที่ทำงานและพร้อมให้บริการแก่ลูกค้าได้ตลอดเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ โดยการให้บริการ Online และการติดต่อรัฐวิสาหกิจได้หลายช่องทางและมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มี Website (คุณภาพของ Website ประเมินที่ 2.5.4)
– มีระบบ E-mail แจ้งข่าวให้บุคคลภายนอกที่สนใจ หรือ webboard ให้แสดงความคิดเห็น
– มี Call Center

• การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ

เป็นการเชื่อมโยงข้อมูลกับหน่วยงานอื่น ซึ่งแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล Database Management System (DBMS) ทำให้สามารถแลกเปลี่ยนและใช้ข้อมูลร่วมกันได้ ลดความซ้ำซ้อนในการจัดเก็บของข้อมูล (Data Redundancy) และลดเอกสารที่ประชาชนจำเป็นต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็ว ลดค่าใช้จ่าย และเกิดความพึงพอใจต่อผู้ใช้บริการ

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับจัดเก็บข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงและดึงข้อมูลกับหน่วยงานต่างๆ และแต่ละหน่วยงานจะต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้นด้วย

แนวทางโดยสรุป : การเชื่อมโยงข้อมูลระหว่างรัฐวิสาหกิจกับหน่วยงานอื่น โดยผ่านทางเครือข่ายสารสนเทศ เพื่อทำให้สามารถใช้ข้อมูลร่วมกันได้ และสามารถลดความซ้ำซ้อนของงาน รวมถึงเอกสารที่ประชาชน / ผู้ใช้บริการ ต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงานให้แก่ประชาชน/ผู้ใช้บริการ เกิดผลสัมฤทธิ์และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : บริษัทเอกชนต้องการข้อมูลปริมาณข้าวในแต่ละปีของประเทศไทยที่ผลิตและส่งออกได้ จึงทำการขอข้อมูลจากกระทรวงเกษตร กระทรวงเกษตรจึงดึงข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ แล้วก็ให้ข้อมูลแก่บริษัทเอกชนนั้น เป็นการลดขั้นตอน และเอกสารอื่นๆของทางราชการที่ทางกระทรวงเกษตรต้องใช้ในการขอข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ อีกตัวอย่างได้แก่ระบบ EDI (Electronic Data Interchange) ของกรมศุลกากร ซึ่งเป็นหน่วยงานแรกที่นำระบบ EDI มาใช้ ระบบ EDI เป็นวิธีการดำเนินธุรกิจ ซึ่งทุกกิจกรรมนับตั้งแต่การสั่งสินค้า จนถึงการจ่ายเงินจะกระทำโดยการแลกเปลี่ยนข้อมูลธุรกิจ ผ่านคอมพิวเตอร์ขององค์กรที่เกี่ยวข้อง โดยแทนที่วิธีการเดินเอกสารแบบเดิม ซึ่งจากข้อมูลของกรมศุลกากรในส่วนของประโยชน์ที่ได้รับ คือ สามารถออกของได้รวดเร็ว ลดความผิดพลาดของข้อมูล ลดต้นทุนการบริหารสินค้าคงคลัง ลดค่าใช้จ่ายทางด้านเอกสาร ประหยัดเวลาในการติดต่อ มีระบบข้อมูลข่าวสารที่ทันสมัย และได้เปรียบคู่แข่งที่อยู่นอกระบบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเชื่อมโยงข้อมูลกับหน่วยงานภายนอก/หน่วยงานอื่นเพื่อช่วยลดความซ้ำซ้อนของงาน/เอกสารที่ประชาชนต้องมาติดต่อและสามารถดำเนินการได้จริง ทำให้ผู้ใช้บริการ/ประชาชนได้รับความครบทุกบริการที่เป็นไปได้ และได้รับความสะดวกอย่างชัดเจน

• One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว

รัฐวิสาหกิจสามารถให้บริการที่จุดเดียวได้เสร็จสิ้น ในกรณีที่เป็นการให้บริการภายในหน่วยงานเดียว ผู้ขอรับบริการติดต่อที่จุดเดียว ไม่ต้องติดต่อหลายจุด หลายขั้นตอน ในกรณีที่การให้บริการที่จำเป็นต้องติดต่อหลายหน่วยงาน ผู้ขอรับบริการไม่จำเป็นต้องเดินทางไปติดต่อกับทุกหน่วยงาน หากแต่ติดต่อผ่านหน่วยงานใดหน่วยงานหนึ่งเพียงหน่วยงานเดียวเท่านั้น

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับดึงข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับหน่วยงานอื่น และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น อย่างหน่วยงานราชการที่ให้บริการ เช่น โรงพยาบาล สถานีอนามัย มีการเชื่อมโยงกับฐานข้อมูลกลาง ซึ่งใช้ในการปรับปรุง แก้ไขข้อมูลเพิ่มเติม ซึ่งระบบที่เป็นข้อมูลของทางราชการนี้ ประชาชนหรือผู้ใช้บริการสามารถติดต่อหรือดำเนินการธุรกรรมต่างๆได้ที่จุดเดียว ผู้ใช้บริการไม่จำเป็นต้องไปติดต่อกับหน่วยงานภาครัฐที่เกี่ยวข้องทุกหน่วยงาน

สำหรับบางรัฐวิสาหกิจ เนื่องจากกระบวนการวิธีการให้บริการที่เป็นอยู่ในปัจจุบัน อาจจะเป็นในลักษณะของ Manual และมีการติดต่อกับลูกค้าหรือผู้ใช้บริการโดยตรง ดังนั้นการนำระบบสารสนเทศเข้ามาใช้ อาจจะส่งผลกระทบต่อกระบวนการวิธีการให้บริการแบบเดิม (Traditional Processing) เพราะฉะนั้นรัฐวิสาหกิจจำเป็นที่จะต้องมีการเปลี่ยนแปลง ทั้งในส่วนของบุคลากร กฎระเบียบข้อบังคับ วัฒนธรรมองค์กร และส่วนอื่น ๆ ที่มีผลโดยตรง

แนวทางโดยสรุป : One Stop Service เป็นการให้บริการต่าง ๆ ของรัฐวิสาหกิจ ณ ศูนย์บริการร่วม และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกัน ณ ศูนย์บริการร่วม เพื่อให้ประชาชน / ผู้ใช้บริการสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติ ได้ ณ ศูนย์บริการร่วมเพียงแห่งเดียว

ตัวอย่าง : โครงการ OSCAR (One-Stop-Change-of-Address-Reporting-Services) เป็นการให้บริการของสิงคโปร์ ซึ่งช่วยให้การเปลี่ยนที่อยู่ของชาวสิงคโปร์เป็นไปอย่างสะดวกรวดเร็ว โดยประชาชนแจ้งเปลี่ยนที่อยู่กับหน่วยงานเพียงหน่วยงานเดียว หน่วยงานอื่นๆ ที่มีฐานข้อมูลเกี่ยวกับที่อยู่นั้น จะเปลี่ยนตาม โดยที่ไม่ต้องไปแจ้งกับทุกองค์กรที่รับผิดชอบในการเปลี่ยนที่อยู่ของประชาชน

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีจุด One Stop Service และให้บริการได้ครอบคลุมในงานของหน่วยงานรัฐวิสาหกิจ
– จุด One Stop Service สามารถร่วมให้บริการที่เกี่ยวเนื่องกับหน่วยงานอื่นได้ เช่น ชำระ/บริการของหน่วยงานอื่นที่เกี่ยวเนื่อง
– มีการจัดทำ One Stop Service กับหน่วยงานภายนอกอื่นและอยู่ที่หน่วยงานภายนอกอื่น

2.5.2 ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กรได้

ระบบสารสนเทศที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล โดยจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ของแต่ละระบบงาน (Transaction Processing System) และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับระบบของหน่วยงานอื่นภายนอกองค์กร และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกัน รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น เพื่อความปลอดภัยในการใช้ข้อมูลร่วมกัน

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นภายนอกองค์กรได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ของภาครัฐความเร็วสูงที่มีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ตัวอย่าง : การให้บริการทะเบียนราษฎร์ของกรมการปกครอง กระทรวงมหาดไทย ซึ่งระบบสารสนเทศของกรม การปกครอง ที่มีระบบการจัดการฐานข้อมูล (Database Management System) ทะเบียนราษฎร์ซึ่งสามารถเชื่อมโยง และดึงข้อมูลทะเบียนราษฎร์ จากระบบฐานข้อมูลของสำนักงานทะเบียนจังหวัดทั้ง 75 แห่งได้ ซึ่งสามารถ Share ข้อมูลกับหน่วยงานอื่น เพื่อให้บริการประชาชนได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กร
– การ Share ข้อมูลเพื่อให้กระทรวงเจ้าสังกัดได้ข้อมูลที่ต้องการ
– ข้อมูลมีความทันกาล
– มี Security ที่ดีในการเข้าถึงข้อมูล

2.5.3 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

การมีระบบสารสนเทศที่เหมาะสม และสามารถรองรับการดำเนินงานหรือแผนงานต่างๆ เพื่อสนับสนุนนโยบายของรัฐบาลได้อย่างมีประสิทธิภาพ

องค์กรจะต้องมีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศ ที่สามารถจะนำมาใช้สนับสนุน หรือรองรับนโยบายต่างๆของรัฐบาล เช่น การปิดบัญชีรายไตรมาส การปิดบัญชีรายปีเพื่อส่งงบการเงินให้สำนักงาน ตรวจเงินแผ่นดิน เป็นต้น ก็จะต้องมีระบบสารสนเทศด้านการบัญชี (Accounting Information System) ที่สามารถปิดบัญชีได้อย่างทันเวลา และมีความถูกต้อง โดยอาจจะมีแผนงานในเรื่องของงบประมาณในการจัดซื้อ จัดเตรียมหรือการวางระบบ IT Infrastructure หรือ Network Architecture รวมทั้งจะต้องมีแผนงานในเรื่องของการวิเคราะห์และออกแบบระบบที่ดี (System and Analysis Design Method) ประกอบกับแนวโน้มหรือการเปลี่ยนแปลงของเทคโนโลยีใหม่ๆที่จะเกิดขึ้นในอนาคต ซึ่งแผนงานดังกล่าวสามารถแสดงถึงความพร้อม และรองรับ Application Software ใหม่ๆ ที่ แต่ละองค์กรจะต้องพัฒนาขึ้น

แนวทางโดยสรุป : การดำเนินการหรือแผนงาน ที่แสดงถึงความพร้อมที่จะตอบสนองต่อนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วยสนับสนุนได้อย่างมีประสิทธิภาพ

ตัวอย่าง : นโยบาย 30 บาท รักษาทุกโรคของรัฐบาล ซึ่งส่งผลให้โรงพยาบาลของรัฐทุกแห่งจะต้องมีระบบสารสนเทศ เช่น ระบบฐานการจัดการฐานข้อมูล (DBMS) ของโรงพยาบาลแต่ละแห่ง ซึ่งระบบฐานข้อมูลจะต้องสามารถเก็บข้อมูล ประวัติของผู้ที่สนใจเข้าร่วมโครงการ 30 บาทรักษาทุกโรค รองรับจำนวนผู้ที่จะมาสมัครเข้าเป็นสมาชิก และสามารถที่จะเชื่อมโยงเข้ากับฐานข้อมูลของโรงพยาบาลแต่ละแห่งของรัฐบาลได้ และสามารถที่จะใช้ข้อมูลร่วมกัน เพื่อให้เกิดความสะดวกรวดเร็วในการให้บริการ และการปฏิบัติงานของเจ้าหน้าที่ เช่น หากผู้ใช้บริการทำบัตร 30 บาทรักษาทุกโรคกับโรงพยาบาลที่หนึ่ง ก็จะต้องสามารถนำบัตรเดียวกันนี้ไปใช้กับโรงพยาบาลของรัฐบาลอีกที่หนึ่งได้ โดยโรงพยาบาลที่มีการเชื่อมโยงข้อมูลจากระบบฐานข้อมูลของโรงพยาบาลที่มีข้อมูลของผู้ใช้บริการอยู่แล้ว ก็สามารถที่จะนำข้อมูลของผู้ใช้บริการดังกล่าวมาใช้ได้ทันที ไม่จำเป็นต้องมีการลงบันทึกประวัติผู้ใช้หรือทำการสมัครสมาชิกใหม่ ซึ่งเป็นการจัดเก็บข้อมูลที่ซ้ำซ้อน และสูญเสียเวลาในการปฏิบัติงานโดยไม่จำเป็น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศเพื่อนำมาใช้สนับสนุนหรือรองรับนโยบายต่าง ๆ ของรัฐ เช่น การปิดบัญชีรายไตรมาสได้ภายใน 45 วัน และปิดบัญชีรายปีได้ภายใน 90 วัน เป็นต้น
– ได้ดำเนินการตามนโยบายที่สำคัญขององค์กรที่มีความจำเป็นต้องนำระบบสารสนเทศเข้ามาใช้อย่างสมบูรณ์

2.5.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

เว็บไซต์เป็นช่องทางที่ได้รับความนิยมในปัจจุบัน ดังนั้นจึงจำเป็นจะต้องมีข้อมูลที่เหมาะสมและทันกาลเพื่ออำนวยความสะดวกและเป็นข้อมูลสำหรับผู้ที่สนใจให้สามารถติดตามได้อย่างสม่ำเสมอ

แนวทางโดยสรุป : การเปิดเผยข้อมูลผ่านทางเว็บไซต์ทั้งทางด้านการเงินและมิใช่การเงินโดยมีเนื้อหาที่เพียงพอเหมาะสมกับความต้องการของผู้ที่สนใจติดตามข้อมูล รวมถึงมีการปรับปรุงข้อมูลให้ทันสมัยอยู่เสมอ และสะดวกในการเข้าถึงหรือค้นหาข้อมูล อย่างไรก็ตามข้อมูลที่เปิดเผยต้องอยู่ในกรอบที่องค์กรสามารถเปิดเผยต่อสาธารณชนได้

ตัวอย่าง : เว็บไซต์ควรประกอบด้วยข้อมูลทางด้านการเงินและไม่ใช่การเงิน เช่น รายงานประจำปี ผลการดำเนินงาน ผู้บริหาร โครงสร้างองค์กร ข้อมูลทางสถิติต่าง ๆ ข่าวสารสำคัญขององค์กร รายละเอียดของช่องการติดต่อกับองค์กรที่มีสาระพอเพียงและมีข้อมูลที่ทันกาล เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ความทันสมัยของข้อมูลในเว็บไซต์ และความสะดวกในการค้นหาข้อมูล
– รายละเอียดในเว็บไซต์ เช่น
o มีประวัติ ภารกิจ โครงสร้าง
o มีที่อยู่ เบอร์โทรศัพท์ (ลงระดับฝ่าย) e-mail
o มีข่าวทั่วไป ข่าวของหน่วยงาน
o มีภาษาเพื่อเลือกแสดงผลมากกว่า 1 ภาษา
o มี link ทั่วไป และ link ที่เกี่ยวข้อง
o มีข้อมูลกฎระเบียบ ขั้นตอนบริการ แบบฟอร์มดาวน์โหลด
o มีคำแนะนำ website หรือ ผัง website
o เปิดเผยรายงานประจำปี
o การเปิดเผยข้อมูลด้านการเงินรายปี/รายไตรมาส
o มีการเปิดเผยข้อมูลด้านผลการดำเนินงาน (Operation)

ในความตั้งใจจริงของผมแล้ว ผมตั้งใจไว้ว่าจะจบการนำเสนอในเรื่องของเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศฯ ในวันนี้ แต่ด้วยความที่มีหลักเกณฑ์และประเด็นในการพิจารณาที่สำคัญและค่อนข้างละเอียด ผมจึงขอยกประเด็นการพิจารณาด้านระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรไปนำเสนอในครั้งต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คู่มือ/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มกราคม 17, 2010

หลังจากที่ผมได้นำเสนอ กระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร COSO – ERM ทั้ง 8 ประการ ต่อเนื่องกันมาหลายครั้งแล้ว โดยในครั้งที่ผ่านมา ผมได้จบเรื่องของการติดตามผลและการตรวจสอบ ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นสุดท้าย แต่นั่นก็ไม่ได้หมายความว่า การบริหารความเสี่ยงทั่วทั้งองค์กรจะสิ้นสุดเพียงเท่านี้ เพราะยังมีข้อจำกัดในการบริหารความเสี่ยงขององค์กรอีกหลายประการที่คณะกรรมการ ผู้บริหาร จะต้องทำความเข้าใจ

การบริหารความเสี่ยงขององค์กรทั่วไป ที่มีประสิทธิผลไม่ได้มีกำหนดไว้ว่าวิธีการใด จะเป็นการออกแบบและการปฏิบัติที่ดี การบริหารความเสี่ยง เป็นเพียงหลักประกันอย่างสมเหตุสมผลให้กับคณะกรรมการ และผู้บริหาร องค์กร ในการที่จะบริหารความเสี่ยงขององค์กรให้บรรลุผลสำเร็จ

การบรรลุผลสำเร็จขององค์กรขึ้นอยู่กับข้อจำกัดที่มีอยู่ในทุกกระบวนการบริหาร รวมถึงความเป็นจริงที่ว่าการตัดสินของบุคคลในการตัดสินใจมีข้อบกพร่องและรายละเอียดต่าง ๆ ที่อาจเกิดขึ้นเนื่องจากจุดด้อยของบุคคลนั้น เช่น ข้อผิดพลาดทั่วไปหรือจากประสิทธิภาพพนักงาน

ในการพิจารณาข้อจำกัดของการบริหารความเสี่ยงต้องพิจารณาแนวคิด 3 ประการดังนี้
– ประการแรก ความเสี่ยงเป็นเรื่องที่เกี่ยวข้องอนาคต ซึ่งมีความไม่แน่นอน
– ประการที่สอง การบริหารความเสี่ยงขององค์กรต้องดำเนินการในระดับที่แตกต่างกันเพื่อตอบสนองต่อวัตถุประสงค์ที่แตกต่างกัน
– ประการที่สาม การบริหารความเสี่ยงขององค์กรไม่สามารถเป็นเครื่องรับประกันในการตอบสนองต่อวัตถุประสงค์ประเภทต่าง ๆ ได้ทั้งหมด

ความรู้เรื่องข้อจำกัดประการแรกที่ควรทราบคือ ไม่มีใครที่สามารถทำนายอนาคตได้อย่างถูกต้อง ความรู้ในเรื่องที่สองคือ เหตุการณ์ที่เกิดขึ้นจริงอยู่นอกการควบคุมโดยทั่วไปของฝ่ายบริหาร ประการที่สามคือ ไม่มีกระบวนการใดจะสามารถดำเนินการได้ตามที่ได้ตั้งใจไว้

ข้อจำกัดของการตัดสินใจกับการบริหารความเสี่ยง
ประสิทธิผลของการบริหารความเสี่ยงถูกจำกัดโดยศักยภาพของบุคคลในการตัดสินใจทางการบริหาร การตัดสินใจเกิดขึ้นจากการตัดสินใจของบุคคลในเวลาที่มีอยู่ โดยมีพื้นฐานจากข้อมูลที่มีอยู่ในขณะนั้นและภายใต้แรงกดดันของการดำเนินงานเพื่อบรรลุเป้าหมาย

ข้อจำกัดในการแจงรายละเอียด
การบริหารความเสี่ยงขององค์กรที่ได้รับการออกแบบมาอย่างดี สามารถแจงรายละเอียดได้ บุคลากรอาจไม่เข้าใจข้อแนะนำ โดยอาจตัดสินผิดพลาด หรืออาจเกิดความผิดพลาดเนื่องจากการไม่ได้รับการดูแลเอาใจใส่ การไม่สนใจ หรือความเหนื่อยล้าหรือจากวัฒนธรรมขององค์กรที่มีจุดอ่อนอย่างสำคัญ

ข้อจำกัดของการสมรู้ร่วมคิดของพนักงาน
พฤติกรรมการสมรู้ร่วมคิดของพนักงานตั้งแต่ 2 คนขึ้นไปสามารถส่งผลต่อการบริหารความเสี่ยงขององค์กรได้ การปฏิบัติของแต่ละคนในการกระทำและปิดบังการปฏิบัติที่มักเลือกข้อมูลทางการเงินหรือข้อมูลในการบริหารอื่น ๆ ในเรื่องที่ไม่สามารถระบุได้โดยกระบวนการบริหารความเสี่ยง เช่น อาจมีการสมรู้ร่วมคิดกันระหว่างพนักงานที่ปฏิบัติงานในหน้าที่การควบคุมที่สำคัญ หรือพนักงานอื่น ๆ ที่ไม่สนใจในผลกระทบขององค์กร

ข้อจำกัดด้านต้นทุนกับผลตอบแทน
การมีทรัพยากรที่จำกัดและองค์กรต้องพิจารณาความสัมพันธ์ระหว่างต้นทุนกับผลประโยชน์เพื่อตัดสินใจ รวมทั้งเรื่องที่เกี่ยวข้องเพื่อตอบสนองความเสี่ยงและการดำเนินกิจกรรมการควบคุม

การวัดต้นทุนกับผลตอบแทนเพื่อการนำไปปฏิบัติในการระบุเหตุการณ์และความสามารถในการประเมินความเสี่ยงและการตอบสนองที่เกี่ยวข้อง และการทำกิจกรรมการควบคุมในระดับความแม่นยำที่แตกต่างกัน

การพัฒนาเรื่องต้นทุนที่เพิ่มขึ้นนั้นสามารถทำได้ง่ายกว่า ต้นทุนโดยตรง ทั้งหมดเกี่ยวข้องกับการตั้งความสามารถหรือการกำหนดการควบคุม และจะต้องพิจารณาต้นทุนทางอ้อมที่สามารถวัดได้ด้วย

อย่างไรก็ตามในการพิจารณาเรื่องต้นทุนนี้นั้นจะทำได้ยากก็เนื่องจากปัจจัยเรื่องสภาพแวดล้อม เช่น ความผูกพันของฝ่ายบริหารต่อค่านิยมเรื่องจริยธรรมหรือความสามารถของบุคคล และการได้มาซึ่งข้อมูลข่าวสารภายนอก

ส่วนทางด้านผลประโยชน์อาจขึ้นอยู่กับการประเมินค่าของผู้ประเมินมากขึ้น เช่น ถ้าความสูญเสียนั้นเกิดความเบี่ยงเบนไปจากที่เป็นอยู่ อันเนื่องมาจากประสิทธิผลของการบริหารความเสี่ยงขององค์กร ผลประโยชน์ที่ที่เกิดขึ้นมักไม่ได้สังเกตเห็น หรือประโยชน์ของการตอบสนองความเสี่ยง เช่น โปรแกรมการฝึกอบรมที่มีประสิทธิผลจะเห็นได้อย่างชัดเจนแต่ยากที่จะบอกถึงคุณภาพ

การพิจารณาเรื่องต้นทุนกับผลตอบแทนนี้มีความหลากหลายขึ้นอยู่กับธรรมชาติขององค์กร การค้นหาความสมดุลที่เหมาะสมจึงเป็นเรื่องที่มีความท้าทายต่อผู้บริหารองค์กรเป็นอย่างมาก

การกระทำผิดกฎเกณฑ์ ละเลย ของฝ่ายบริหาร
การบริหารความเสี่ยงขององค์กรจะเกิดประสิทธิผลได้ขึ้นอยู่กับบุคลากรที่ทำหน้าที่ทางด้านนี้ แม้องค์กรมีการบริหารและการควบคุมที่มีประสิทธิผล เช่น มีระดับของความซื่อสัตย์ต่อองค์กรและความตระหนักถึงเรื่องการควบคุมสูง ผู้บริหารก็อาจ Overrideหรือ ละเลย กระทำผิดกฎเกณฑ์ กระบวนการบริหารความเสี่ยงได้ ไม่มีระบบการบริหารหรือการควบคุมใดที่ไม่มีข้อผิดพลาด และระบบที่ผิดพลาดกับผู้ที่ทำผิดพลาดจะต้องตั้งใจที่จะค้นหาวิธีการหยุดข้อผิดพลาดนั้น

อย่างไรก็ตามการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผลจะปรับปรุงความสามารถขององค์กรในการป้องกันและก้าวข้ามกิจกรรมเหล่านั้นไปได้

ความหมายของการ Override ของฝ่ายบริหารคือ การประพฤติออกนอกกรอบนโยบายหรือกระบวนการเพื่อวัตถุประสงค์ที่ไม่ถูกต้องตามกฎ เช่น ผลประโยชน์ของแต่ละบุคคลหรือการเสนอเงื่อนไขทางการเงินขององค์กรหรือสถานะที่มีการปฏิบัติตาม ผู้บริหารหรือสมาชิกของฝ่ายบริหารระดับสูง อาจ Override กระบวนการบริหารความเสี่ยงเพื่อเหตุผลหลายประการ เช่น

– เพิ่มการรายงานรายได้ หรือเพิ่มความสำเร็จ ให้ครอบคลุมในส่วนที่ไม่เกี่ยวข้อง
– เพิ่มการรายงานผลความสำเร็จ ให้พอกับงบประมาณจริง
– แสดงถึงการบรรลุเป้าหมาย เพื่อให้เกิดการจ่ายโบนัสตามผลการปฏิบัติงาน
– ปกปิดการไม่ปฏิบัติตามความต้องการของกฎหมาย ระเบียบ คำสั่ง

การ Override ของฝ่ายบริหารแสดงถึงการปฏิบัติของฝ่ายบริหารในการแยกตัวมาจากการกำหนดนโยบาย หรือกระบวนการเพื่อเป้าหมายที่ถูกต้องตามกฎหมาย การทำการ Override มักจะไม่ทำเป็นลายลักษณ์อักษรหรือเปิดเผย

ครั้งหน้าผมจะมาพูดถึงเรื่องบทบาทและการกำกับดูแลการบริหารความเสี่ยง โปรดติดตามต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรณีมาบตาพุด กับการบริหารความเสี่ยงที่เกี่ยวข้องกับ Compliance Risk ที่มีผลกระทบต่อความเชื่อมั่นของประเทศ

มกราคม 14, 2010

ผมได้เขียนกรณีมาบตาพุดที่มีผลกระทบต่อความเชื่อมั่นของประเทศอย่างร้ายแรงมาหลายครั้งแล้ว ทั้งนี้ก็เพราะ ผมมีความเป็นห่วงและกังวลอย่างลึกซึ้งต่อผลที่ตามมาในระยะยาว ที่มองจากมุมมองของนักลงทุนนานาชาติ และในประเทศ ที่น่าจะมีการค้นหาต้นเหตุ (Root Cause) ของเหตุการณ์ที่นำมาสู่ความเสี่ยงที่มีการจัดการล่าช้า จนเป็นเหตุให้มีผลกระทบทางลบ และความเชื่อมั่นของประเทศครั้งสำคัญ ที่น่าจะนำไปใช้เป็นกรณีศึกษา หรือบทเรียน (Lesson – Learned) เพื่อใช้ป้องกันความเสี่ยง และจัดให้มีการควบคุมและการบริหารอย่างเหมาะสม ทั้งในระดับชาติ และในระดับองค์กรได้เป็นอย่างดี

ตามความเข้าใจของผม ภาครัฐที่เป็นผู้ควบคุมกฎเกณฑ์ และการปฏิบัติตามกฎหมาย และกติกาของสังคม โดยใช้กรอบรัฐธรรมนูญ ปี 2550 เป็นสำคัญนั้น ยังไม่มีหรือขาดผู้ที่รับผิดชอบในการติดตาม การปฏิบัติที่เกี่ยวข้องกับรัฐธรรมนูญ มาตราที่ 67 ว่าด้วยการจัดตั้งองค์การอิสระที่มีหน้าที่ศึกษาผลกระทบร้ายแรงต่อสุขภาพ (HIA) ผลกระทบร้ายแรงต่อสิ่งแวดล้อม (EIA) ผลกระทบต่อทรัพยากรธรรมชาติ +++ จากการลงทุน…ทำให้โครงการการลงทุน 76 โครงการในระยะแรกถูกศาลปกครองสั่งระงับการดำเนินงาน ซึ่งต่อมาศาลฯได้ผ่อนผันให้ 15 โครงการ จึงเหลือโครงการที่มีปัญหาฯ 65 โครงการ ซึ่งหลายโครงการเป็นโครงการขนาดใหญ่ ได้รับความเดือดร้อนเป็นอย่างยิ่งตามข่าวที่ผ่านมานั้น +++

เพื่อให้เกิดความกระชับตามวรรคก่อน ผมใคร่ขอสรุปว่า Root Cause หรือสาเหตุของผลกระทบที่ต้องการปรับปรุงก็คือ ทางการควรจัดตั้งหรือจัดให้มีองค์การอิสระ ตามรัฐธรรมนูญ ปี 2550 ฉบับที่ 67 (2) โดยเร็ว และจัดให้มีการดำเนินการตามระเบียบและวิธีการที่กำหนดไว้ในกฎหมายลูก ซึ่งต้องจัดตั้งเป็น พรบ. เหตุการณ์กรณีมาบตาพุดก็ไม่น่าจะเกิดขึ้น หรือมีปัญหาน้อยลง นี่คือการบริหารความเสี่ยงและการจัดการเชิงรุกที่มีศักยภาพ และสร้างคุณค่าเพิ่มในทุกมุมมองที่เกี่ยวข้อง และกับผู้มีผลประโยชน์ร่วมทุกฝ่าย รวมทั้งการสร้างความน่าเชื่อถือให้กับนักลงทุนนานาชาติ และนักลงทุนในประเทศได้เป็นอย่างดี

ทั้งนี้ ผมขออธิบายเพิ่มเติมเพื่อสร้างความเข้าใจของการควบคุมความเสี่ยงจากต้นเหตุ หรือสาเหตุ ซึ่งจะได้ผลดีอย่างยิ่งต่อการบริหารและการจัดการ เพราะหากมีความเข้าใจที่คลาดเคลื่อน และผู้ที่เกี่ยวข้องจัดให้มีการควบคุมความเสี่ยงและการบริหารจัดการจากผลลัพธ์ (Out put / Out come) หรือกระบวนการดำเนินการ (Process) แทนการควบคุมที่ Root Cause การบริหารและการจัดการควบคุมความเสี่ยงจะได้ผลอย่างจำกัดมาก แผนภาพด้านล่างนี้ จะช่วยให้ท่านผู้อ่านได้เข้าใจถึงความแตกต่างที่มีนัยสำคัญยิ่งตามที่ได้กล่าวข้างต้น โดยขอให้ท่านพิจารณาว่า อะไรคือ Root Cause หรือ Cause อะไรคือ Effect หรือผลกระทบ ซึ่งเทียบได้กับ Out put / Out come เพื่อการควบคุมที่มีคุณภาพ ดังนี้ครับ

จากแผนภาพข้างต้น ถ้าเราไปควบคุมหรือแก้ไขที่ปลายเหตุ (จาก Effect) เช่น การเสียชื่อเสียง การขาดความเชื่อมั่น การลงทุนของประเทศไทยโดยรวม ++ ท่านจะไปควบคุมและแก้ไขอย่างไรที่จะได้ผลในระยะยาว และสามารถสร้างความมั่นใจให้กับนักลงทุนนานาชาติ และในประเทศได้ แต่ถ้าหากท่านเข้าใจว่า การแก้ไขที่ต้นเหตุ (Cause / Root Cause) เช่น การสร้างความเข้าใจและการให้ความสำคัญและจริงจังกับความเอาใจใส่ในการปฏิบัติตามกฎหมาย กฎเกณฑ์ การหาความรู้ในเรื่องที่เกี่ยวข้อง การจัดลำดับความสำคัญของแผนงานและโครงการที่ต้องดำเนินการ เช่น การจัดตั้งให้มีองค์การอิสระ ตามมาตรา 67(2) ของรัฐธรรมนูญ พ.ศ. 2550 และดำเนินการและจัดให้มีวิธีการสนองตอบต่อกฎหมายหลักของชาติ

ซึ่งหากหน่วยงานที่เกี่ยวข้องกับการพิจารณาเรื่องกฎหมาย กฎเกณฑ์ เข้าใจเรื่องดังกล่าวดี +++ ก็น่าจะเป็นการป้องกันและควบคุมความเสี่ยงจากต้นเหตุที่มีผลกระทบต่อความเชื่อมั่นของประเทศไทยโดยรวม ได้เป็นอย่างดี มิใช่เพียงผลกระทบต่อกรณีมาบตาพุดเท่านั้น

หลักการบริหารความเสี่ยงง่าย ๆ ก็คือ การพิจารณาถึงวัตถุประสงค์ การระบุเหตุการณ์ที่มีความเสี่ยงต่อการบรรลุวัตถุประสงค์ตามที่ต้องการ และจัดให้มีการควบคุมหรือดำเนินการเพื่อลดความเสี่ยง ตามเหตุการณ์ที่คาดว่าจะเกิดขึ้นให้อยู่ในระดับที่ประเทศและองค์กรยอมรับได้เป็นสำคัญ

กรณีมาบตาพุด เราวิเคราะห์เหตุการณ์หลังจากความเสียหายและผลกระทบในทางลบได้เกิดขึ้นมาแล้ว จึงเป็นการง่ายที่จะระบุถึงต้นเหตุ หรือสาเหตุ ซึ่งเป็นที่มาของปัญหาที่เกิดขึ้นในปัจจุบัน แต่ในกรณีที่ยังไม่มีปัญหาเกิดขึ้น การวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ จึงเป็นเรื่องที่ท้าทายกว่ามาก เพราะต้องการความเข้าใจ หลักการบริหารความเสี่ยงแบบบูรณาการขององค์กร ที่สามารถนำมาประยุกต์ใช้ได้กับความเสี่ยงในระดับชาติได้อย่างลงตัว

กรณีมาบตาพุด ถึงแม้จะเกิดขึ้นได้ไม่นาน ผลเสียหายที่เกิดขึ้นมาแล้วตามข่าวก็คือ การลงทุนโครงการ 10,000 ล้านบาทในการสร้างแผงพลังไฟฟ้าจากดวงอาทิตย์ ของประเทศออสเตรเลีย ได้ย้ายจากประเทศไทยไปประเทศมาเลเซียเรียบร้อย+++ นับว่าเป็นการเสียโอกาสในการสร้างมูลค่าและตลาดแรงงานของชาติ และการเติบโตของ GDP ไปในระดับหนึ่ง โดยไม่รวมโครงการลงทุนต่าง ๆ ที่ยังไม่เกิดขึ้น และยังอยู่ในแผนงานการลงทุนของนานาชาติที่ไม่อาจคาดคะเนได้จากเหตุการณ์ครั้งนี้ด้วย

กรณีมาบตาพุดนี้รัฐบาลได้เร่งตั้งองค์การอิสระเฉพาะกาล ให้ได้ใน 60 วัน เพื่อเร่งการปฏิบัติตามระเบียบที่กำหนดไว้ในรัฐธรรมนูญ ปี 2550 มาตรา 67 (2) ซึ่งหากดำเนินการได้ทันตามกำหนด และมีผลกระทบในทางลบจากการดำเนินงานขององค์การอิสระต่อทั้ง 65 โครงการในครั้งนี้แล้ว ก็น่าจะช่วยลดปัญหาต่าง ๆ จากความไม่เชื่อมั่นของนักลงทุนลงได้มาก หากทางรัฐบาลได้มีการประชาสัมพันธ์ และได้มีการชี้แจงเรื่องนี้อย่างชัดเจนให้กับผู้มีผลประโยชน์ร่วมได้เข้าใจอย่างกว้างขวางและเป็นรูปธรรม

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

วิสัยทัศน์ของประเทศไทย คือ ประเทศที่พัฒนาแล้วในปี 2563 และเติบโตอย่างยั่งยืนได้อย่างมั่นคง กับ GRC ในมุมมองระดับประเทศ

มกราคม 14, 2010

ผมเข้าใจในเบื้องต้นของผมเองว่า วิสัยทัศน์ของประเทศไทยในขณะนี้ น่าจะยังไม่ชัดเจน หรืออาจยังไม่ได้กำหนดให้เป็นรูปธรรม หรือไม่มีการสื่อสารที่มีคุณภาพและแพร่หลายพอให้บุคคลที่สนใจและผู้ที่เกี่ยวข้อง ได้ทราบทิศทางของประเทศในอนาคต ที่จะใช้เป็นตัวกำหนดแนวทางหรือกรอบในการดำเนินงาน กรอบความคิด เพื่อก้าวไปสู่การกำหนดนโยบาย กลยุทธ์ แผนงานระดับชาติที่จะมอบหมายต่อไปยัง กระทรวง ทบวง กรมต่าง ๆ ที่เกี่ยวข้อง

รวมทั้งกำหนดวาระแห่งชาติ ซึ่งเป็นเครื่องมือในการช่วยบริหารกิจการของบ้านเมืองให้เป็นไปตามพระราชกฤษฎีกา พ.ศ. 2546 ว่าด้วยการบริหารกิจการบ้านเมืองที่ดี โดยกำหนดตัวชี้วัดที่สอดคล้องกับกลยุทธ์และแผนการดำเนินงานแห่งชาติอย่างเหมาะสม และสอดคล้องกับระยะเวลาในการก้าวไปสู่วิสัยทัศน์ที่ตั้งใจไว้ว่า ประเทศไทยเป็นประเทศที่พัฒนาแล้ว ในปี 2563 ในอีก 10 ปีข้างหน้าได้อย่างมั่นใจ และสมเหตุสมผล

หลักการของ GRC ซึ่งย่อมาจาก Governance + Risk Management + Compliance เป็น Statement ค่อนข้างใหม่ในประเทศไทย เพราะมีเป้าหมายและคำจำกัดความที่แตกต่างกันในแต่ละ wording และ meaning ของ GRC ที่เราเคยรู้จักกันมานานแล้ว เนื่องจาก GRC เป็นการเน้นการสร้างคุณค่าเพิ่มจากการบริหารแบบบูรณาการที่สร้างความสัมพันธ์ระหว่างการบริหาร Governance (CG+ITG) ควบคู่กันไปกับการบริหารความเสี่ยง (Risk Management) โดยให้ความสำคัญกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ และมาตรฐานที่เกี่ยวข้องที่สอดคล้องกับนานาชาติ รวมทั้งกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง กติกา ของสังคมในชาติโดยคำนึงถึงความคาดหวังของผู้มีผลประโยชน์ร่วม (Stakeholder Expectation) ในทุกระดับ โดยคำนึงถึง Global Governance + Public Governance + Social Governance เป็นสำคัญอีกด้วย

หลักการของ GRC เป็นเรื่องของการขับเคลื่อนวิสัยทัศน์ (Vision & Objectives) ซึ่งเปรียบเทียบได้กับ Input ผ่านกระบวนการที่เรียกว่า Process ในที่นี้จะหมายถึง Integrity – Driven Performance ระดับชาติ เพื่อให้ได้เป้าหมายตาม Vision & Objectives ของประเทศในระยะเวลาที่กำหนด

ผมขอขยายความในความหมายของ GRC เฉพาะในมุมมองของ Compliance เพื่อให้เกิดความเข้าใจได้ดียิ่งขึ้นตามแผนภาพ ดังนี้ครับ

สำหรับรายละเอียดอื่น ๆ เอาไว้คุยกันในวันหลังนะครับ

การที่ผมนำเรื่อง GRC กับ Vision ของประเทศมาคุยกับท่านผู้อ่านในวันนี้ ก็เพราะ ผมเข้าใจว่า หากประเทศมี Vision ที่ชัดเจน และทุกฝ่ายเข้าใจตรงกัน ทิศทางการดำเนินงานของหน่วยงานต่าง ๆ ทั้งภาครัฐ และเอกชน ก็สามารถสนับสนุนให้วิสัยทัศน์ของประเทศเป็นความจริงได้ในที่สุด

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง (ต่อ)

มกราคม 13, 2010

ในครั้งที่แล้ว ผมได้อธิบายการตรวจสอบทางด้าน IT Audit ที่เกี่ยวข้องกับการบริหารความเสี่ยง จากมุมเปิด (Exposure) ของจุดอ่อนที่อาจจะมีในกระบวนการบริหารในการจัดการทางด้าน IT Process เพื่อบรรลุ Business Objective ในมุมมองต่าง ๆ ซึ่งได้กล่าวและเน้นให้เห็นถึงความสำคัญความเข้าใจกระบวนการบริหารที่เกี่ยวข้องกันและแยกกันไม่ได้ระหว่าง Business Objective และ IT Objective ซึ่งพิจารณาได้ว่าเริ่มมีความซับซ้อนในมุมมองของการบริหารความเสี่ยงที่โยงใยกันระหว่างความเสี่ยงทางด้าน Business และความเสี่ยงทางด้าน IT และผลกระทบที่มีต่อภาพรวมของความเสี่ยงของทั้งองค์กร (Portfolio View of Risk) ทั้งในมุมมองของ IT และ Business

โดยความเป็นจริง ความเข้าใจถึง Portfolio View of Risk ตามมุมมองของ IT และ Business ซึ่งมีเป้าหมายในการ Focus ความเสี่ยงที่แตกต่างกัน เพราะมุมมองของ IT จะเกี่ยวข้องและเน้นถึง Information ที่สัมพันธ์กับ IT Balanced Scorecard ส่วนมุมมองของ Business จะเกี่ยวข้องกับ Business Scorecard ซึ่งมุมมองทั้ง 2 มีความสัมพันธ์กันอย่างลึกซึ้ง โดยเฉพาะมุมมองของการบริหารความเสี่ยงและการควบคุมภายใน และมีผลอย่างสำคัญต่อการสร้าง Business Value ที่มาจากฐานความเข้าใจของ Risk Driver และ Value Driver ที่ผมจะกล่าวต่อไป

วันนี้ผมกำลังพาท่านผู้ตรวจสอบเข้าสู่กระบวนการตรวจสอบทางด้าน General Control ขององค์กรที่ใช้คอมพิวเตอร์ต่อจากครั้งก่อน โดยมีมุมมองที่เน้นทางด้านกระบวนการบริหาร (Process) เพื่อบรรลุวัตถุประสงค์การควบคุมสารสนเทศที่ดี ตามหลักการของ CobiT ทีละ Domain ดังนี้

สำหรับการอ่านแผนภาพบางตารางข้างต้น อาจจะตัวอักษรเล็กไปสำหรับบางท่านนั้น ขอให้ท่านดำเนินการต่อไปนี้เพื่อขยายแผนภาพทุกแผนภาพที่ต้องการให้ใหญ่ขึ้นดังนี้ ให้ท่านกด Ctrl ค้างไว้ พร้อมเลื่อนลูกกลิ้งเม้าส์ (Scroll) ไปด้านหน้า ทั้งภาพและตัวอักษรจะใหญ่ขึ้นตามที่ท่านต้องการ และกลับกัน หากท่านเลื่อนลูกกลิ้งไปด้านหลัง ทั้งภาพและตัวอักษรก็จะเล็กลง

ครั้งต่อไป ผมจะได้นำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

มกราคม 11, 2010

ครั้งที่แล้ว ผมได้กล่าวถึงเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ในส่วนที่ 2 โดยได้นำเสนอประเด็นที่ต้องพิจารณาด้านระบบสารสนเทศที่สนับสนุนการบริหารจัดการ และระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยงไปแล้ว ในวันนี้ผมจะนำเสนอต่อถึงการพิจารณาระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในครับ

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

2.3.1 การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศเข้ามาช่วยในการควบคุมภายในและตรวจสอบภายในเพื่อสร้างความมั่นใจได้ว่ารัฐวิสาหกิจปฏิบัติได้ตามระเบียบ กฎหมาย ข้อบังคับต่าง ๆ ตลอดจนความถูกต้องของข้อมูลด้านบัญชีและการเงิน

ระบบสารสนเทศสามารถนำมาช่วยสนับสนุนการควบคุมภายในและการตรวจสอบภายในเพื่อทำให้กระบวนการควบคุมภายในและตรวจสอบภายในขององค์กรมีประสิทธิภาพและประสิทธิผลมากยิ่งขึ้น

ทางด้านการควบคุมภายใน ระบบสารสนเทศสนับสนุนวิธีการดำเนินงาน โดยการทำงานของบุคลากรจะเปลี่ยนไปอยู่ในรูปแบบที่ต้องถูกควบคุมผ่านระบบฯ หรือได้รับการอนุญาตจากระบบฯ ซึ่งจะต้องทำตามหลักเกณฑ์ /วิธีการ / เงื่อนไขที่ได้กำหนดไว้ อันเป็นผลมาจากความสามารถของระบบสารสนเทศที่สามารถกำหนดวิธีการปฏิบัติงานโดยขึ้นอยู่กับกฎเกณฑ์ที่ได้กำหนดไว้อย่างเคร่งครัด

ทางด้านการตรวจสอบภายใน ระบบสารสนเทศสามารถนำมาใช้ในการสอบทานความถูกต้องของการดำเนินงาน เนื่องจากความสามารถของระบบสารสนเทศในการประมวลผล การเก็บรวบรวมและบันทึกข้อมูลได้อย่างเที่ยงตรงเพื่อนำมาใช้ในการตรวจสอบและอ้างอิงเมื่อต้องการ นอกจากนี้ตัวระบบสารสนเทศ สามารถตรวจสอบความผิดพลาดที่เกิดขึ้นได้โดยทันทีทำให้สามารถป้องกันความเสียหายที่จะเกิดขึ้นได้

แนวทางโดยสรุป : การนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาใช้เพื่อช่วยในการทำงานด้านควบคุมภายในและตรวจสอบภายในการปฏิบัติงานให้ถูกต้องตามกฎระเบียบ กฎหมาย ข้อบังคับต่างๆ โดยการปรับนำมาใช้ในองค์กรอย่างเหมาะสม และการนำระบบสารสนเทศเข้ามาใช้เพื่อสร้างมั่นใจได้ว่าระบบบัญชีที่ใช้มีความเหมาะสมกับองค์กร โดยสามารถเรียกดู/ตรวจสอบข้อมูลได้ตามต้องการ

ตัวอย่าง : การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศ มาใช้ทางด้านการควบคุมภายใน เช่น
– การบันทึกข้อมูลเพื่อป้องกันทรัพย์สินไม่ให้สูญหายโดยการเบิกของจากคลังพัสดุที่มีการบันทึกอุปกรณ์แต่ละรายการอย่างละเอียดและสามารถตรวจสอบได้ตลอดเวลา
– การกำหนดวงเงินของการอนุมัติตามตำแหน่งหรือหน้าที่ โดยต้องผ่านการทำรายการผ่านระบบอิเล็คทรอนิกส์ที่มีการตั้งกฎเกณฑ์ไว้ นอกจากนี้ยังสามารถนำมาควบคุมกระบวนการทำงาน / การผลิตให้เป็นไปตามมาตรฐานหรือข้อบังคับที่ได้กำหนด
– การกำหนดให้ต้องมี Login และการใส่รหัสผ่าน (Password) เมื่อมีการใช้งานในแต่ละวัน ทั้งนี้ เพื่อป้องกันมิให้บุคคลที่ไม่มีอำนาจหน้าที่สามารถเข้าไปเรียกใช้ข้อมูลขององค์กรได้
– การกำหนด Firewall ทั้งระดับเครือข่าย (Network) และโปรแกรมระบบงาน (Application) เพื่อควบคุมข้อมูลหรือข้อมูลแปลกปลอมเข้ามาในระบบ (อ้างอิงจาก : เอกสาร “ แนวปฏิบัติในการรักษาความปลอดภัยการให้บริการทางการเงินทางอิเล็กทรอนิกส์”, ธนาคารแห่งประเทศไทย)

การนำระบบสารสนเทศ และระบบเทคโนโลยีสารสนเทศมาใช้ทางด้านการตรวจสอบภายใน เช่น
-การนำเทคโนโลยีสารสนเทศ เฃ่น โปรแกรมสำเร็จรูปเพื่อช่วยในการตรวจสอบภายในมาใช้ในการช่วยตรวจสอบความผิดปกติของผลิตภัณฑ์ที่ได้จากการผลิต แทน/ควบคู่กับการทำงานโดยมนุษย์
– ในส่วนของระบบบัญชีที่นำมาใช้ในองค์กรสามารถแยกรายการได้ตามความต้องการและสามารถตรวจสอบหรือเรียกดูข้อมูลได้ในระยะเวลาอันสั้น เช่น สามารถเรียกดูข้อมูลการเบิกจ่ายงบประมาณของระดับฝ่าย หรือสามารถเรียกดูข้อมูลได้ตามสมควรกับองค์กร เช่น ตามระบบ ABC (Activity Based Costing)
– การออกแบบการตรวจสอบข้อมูลเข้าขณะนำเข้าระบบ เช่น การออกแบบการให้รหัสตรวจสอบ (Self-checking Digit Coding) เพื่อให้เครื่องรับข้อมูลทราบทันทีว่ามีข้อมูลที่กำลังป้อนเข้ามามีความผิดพลาด

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ผลการตรวจสอบภายใน (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลัง ถึงอุปสรรคหรือการดำเนินการใดไม่เป็นไปตามกฎหมาย ระเบียบ ข้อบังคับ หรือไม่ รวมทั้งผลการตรวจสอบภายในทางด้านการเงินและบัญชี (ทั้งองค์กร) ที่ผ่านมาในปี 2549 และย้อนหลังในประเด็นปัญหาที่พบ
– การดำเนินการพิจารณาปัญหา/แก้ไขปัญหา โดยพิจารณาเฉพาะกรณีที่สามารถนำระบบสารสนเทศและระบบเทคโนโลยีสารสนเทศ เข้ามาช่วยในการดำเนินการได้ ซึ่งควรครอบคลุมการพิจารณาใน 3 ประเด็น ดังนี้
• Compliance Audit
• Operation Audit
• Efficiency Audit

2.3.2 ระบบที่ช่วยการควบคุมและการตรวจสอบเพื่อสร้างความมั่นใจได้ว่าระบบสารสนเทศมีความปลอดภัยและข้อมูลมีความถูกต้อง (Computer Audit)

ในการนำระบบสารสนเทศเข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้มีความปลอดภัยและถูกต้องจึงต้องมีการควบคุมและควบคู่ไปกับการตรวจสอบ โดยครอบคลุมในเรื่องทั่วไปเกี่ยวกับระบบสารสนเทศขององค์กรดังนี้
– การควบคุมกระบวนการพัฒนาระบบงาน (Implementation controls) ตรวจสอบกระบวนการพัฒนาระบบงานในจุดต่าง ๆ เพื่อให้มั่นใจได้ว่ากระบวนการพัฒนาฯ อยู่ในความควบคุมและการบริหารที่ดี การตรวจสอบการพัฒนาซอฟต์แวร์ควรที่จะมีการตรวจสอบทบทวนอย่างเป็นทางการ ในแต่ละขั้นตอนการพัฒนาซอฟต์แวร์ที่สำคัญเพื่อเปิดโอกาสให้ผู้ใช้และผู้บริหารมีโอกาสยอมรับหรือปฏิเสธระบบงานเป็นระยะก่อนที่ระบบงานจะพัฒนาเสร็จเรียบร้อย การตรวจสอบระบบงานควรจะตรวจการเข้าไปมีส่วนร่วมของผู้ใช้ในแต่ละขั้นตอนของการพัฒนาฯ และนำทฤษฎีการวิเคราะห์ค่าใช้จ่ายผลตอบแทนมาใช้ศึกษาความเป็นไปได้ของโครงการ การตรวจสอบจะต้องคำนึงถึงการประกันคุณภาพในระหว่างที่ทำการพัฒนา การเปลี่ยนแปลงระบบงาน และการทดสอบระบบงาน รวมทั้งเอกสารประกอบระบบงานนั้น
– การควบคุมซอฟต์แวร์ (Software Control) มีความจำเป็นสำหรับซอฟต์แวร์ประเภทต่างๆ ที่นำมาใช้ประกอบระบบงาน การควบคุมซอฟต์แวร์ตรวจสอบการใช้ซอฟต์แวร์ระบบและป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานเนื่องจากซอฟต์แวร์ระบบมีความสำคัญต่อการควบคุมการทำงานของซอฟต์แวร์อื่น ๆ และเป็นตัวที่เข้าไปแก้ไขเปลี่ยนแปลงข้อมูลโดยตรง
– การควบคุมทางกายภาพ (Physical hardware controls) เป็นการป้องกันทางกายภาพเพื่อไม่ให้ใช้เครื่องคอมพิวเตอร์และอุปกรณ์ต่าง ๆ และตรวจสอบความผิดปกติของอุปกรณ์ทุกชนิด การป้องกันนี้รวมไปถึงการป้องกันอัคคีภัย การป้องกันไม่ให้อุณหภูมิและความชื้นในห้องเก็บอุปกรณ์สูงหรือต่ำเกินไป การป้องกันข้อมูลเสียหายด้วยการทำสำเนาข้อมูล การรักษาให้ฮาร์ดดิกส์สามารถให้บริการได้ตลอดเวลาที่ต้องการ เป็นต้น
– การควบคุมการปฏิบัติงานเครื่องคอมพิวเตอร์ (Computer operations controls) ประยุกต์ใช้กับงานของฝ่ายคอมพิวเตอร์เพื่อให้ขั้นตอนการปฏิบัติเกี่ยวกับอุปกรณ์บันทึกข้อมูลและการประมวลผลข้อมูลเป็นไปตามขั้นตอนที่กำหนด ได้แก่ การจัดสภาพแวดล้อมให้เหมาะสมกับการทำงานของคอมพิวเตอร์ การใช้ซอฟต์แวร์ การทำสำเนาข้อมูลและการฟื้นสภาพข้อมูลในกรณีที่โปรแกรมไม่ทำงานตามปกติ เป็นต้น
– การควบคุมความปลอดภัยข้อมูล (Data security controls) เป็นการปกป้องข้อมูลที่มีค่ายิ่งขององค์กรที่เก็บอยู่ในดิกส์หรือเทปหรืออุปกรณ์ใดก็แล้วแต่ ให้พ้นจากการใช้งาน การเปลี่ยนแปลง และการทำลายโดยบุคคลที่ไม่ได้รับอนุญาต การปกป้องนี้ต้องทำทั้งในขณะที่แฟ้มข้อมูลกำลังถูกใช้งานและเก็บรักษาไว้ ในสภาพการทำงานที่ข้อมูลมีการป้อนเข้ามาจากเครื่องเทอร์มินอล ข้อมูลที่แปลกปลอมเข้ามาจะต้องถูกกำจัดออกจากระบบ
– ระเบียบวินัยผู้บริหาร มาตรฐาน และขั้นตอนการปฏิบัติงาน (Administrative disciplines, standards, and procedures) หมายถึงการกำหนดมาตรฐาน กฎเกณฑ์ ขั้นตอนการปฏิบัติงาน และวินัยในการรักษาความปลอดภัย เพื่อให้มั่นใจได้ว่าการรักษาความปลอดภัยทั่วไปและการรักษาความปลอดภัยโปรแกรมประยุกต์ได้รับการจัดตั้งและนำไปปฏิบัติอย่างจริงจัง

ตัวอย่าง : ระบบสารสนเทศมีความปลอดภัย เช่น
1) การจัดทำคู่มือการปฏิบัติงานและแบบฟอร์มมาตรฐานในการรับส่งงานระหว่างเจ้าหน้าที่ศูนย์คอมพิวเตอร์และผู้ใช้ (Users)
2) การสอบทานกระบวนการหรือวิธีการจัดเก็บเอกสารหรือ media ที่ใช้ประกอบการออกแบบระบบงาน รวมทั้งวิธีการเก็บหรือดูแลรักษา Source Program อย่างสม่ำเสมอ
3) จัดให้มีระบบการบำรุงรักษาที่ต่อเนื่องเหมาะสมและครอบคลุมครุภัณฑ์คอมพิวเตอร์และอุปกรณ์ทุกประเภท
4) กำหนดให้มีการจัดทำทะเบียนคุมการติดตั้งหรือการนำ software จากภายนอกเข้ามาใช้กับเครื่องคอมพิวเตอร์ในหน่วยงาน
5) กำหนดผู้มีหน้าที่รับผิดชอบศึกษาทบทวนระบบรักษาความปลอดภัยและกำหนดสิทธิในการเข้าถึงระบบงานและฐานข้อมูลที่สำคัญ
6) การปรับปรุงพัฒนาระบบและสิทธิหรือ User ID ในการเข้าถึงระบบงานและระบบข้อมูลเป็นระยะ
7) จัดให้มีการตรวจสอบข้อมูลหรือเอกสารที่จะนำเข้าระบบ รวมทั้งจัดให้มีการรายงานจากโปรแกรมระบบงานสำหรับใช้ในการตรวจสอบหรือสอบทานความถูกต้องของข้อมูลก่อนการส่งต่อ
8) กำหนดระบบการจัดเก็บและสำรองแฟ้มข้อมูล ฐานข้อมูล และรายงานต่างๆ ให้เหมาะสมกับการใช้งาน
9) กำหนดให้มีวิธีการ Backup หรือทำสำเนา Source Program ระบบงานและเอกสารประกอบที่สำคัญอย่างน้อย 2 ชุด และแยกสถานที่จัดเก็บ รวมทั้งจัดทำทะเบียนคุมไว้เป็นหลักฐาน
10) จัดให้มีการสำรองข้อมูลให้ครบถ้วนตามความเหมาะสมของแต่ละระบบงานและตามเวลาที่กำหนด เช่น จัดเก็บทุกสิ้นวัน ทุกสัปดาห์ หรือทุกเดือนตามความจำเป็นและความเหมาะสม
11) จัดให้มีการทดสอบความถูกต้องของข้อมูลที่สำรองไว้เป็นครั้งคราวและทำรายงานผลการทดสอบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การมีกระบวนการ Computer Audit ตามรายละเอียดข้างต้น
– การแก้ไขปัญหาหลังจากดำเนินการ Computer Audit

2.3.3 การดำเนินงานตามแผนงาน/โครงการด้านสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ

ในการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กร เช่น ระบบ ERP ระบบงานธุรกิจหลัก (Core System) เป็นต้น เข้ามาใช้ในองค์กรนั้น เพื่อสร้างความมั่นใจได้ว่าระบบฯ ที่นำมาใช้จะมีการดำเนินงานเป็นไปตามแผนงาน มีความปลอดภัยและถูกต้อง ไม่เกิดผลกระทบต่อระบบงานเดิม และเป็นไปตามแผนงาน / โครงการ จึงต้องมีการติดตาม ควบคุมและควบคู่ไปกับการตรวจสอบ

หมายเหตุ : ในกรณีที่รัฐวิสาหกิจไม่มีการนำระบบสารสนเทศที่มีมูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัยสำคัญ มาดำเนินการหรือดำเนินการแล้วเสร็จแล้ว น้ำหนักของการประเมินผลข้อนี้จะเฉลี่ยไปที่หัวข้อ 2.3.1

2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล

2.4.1 ระบบสารสนเทศที่สนับสนุนการเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากรทุกตำแหน่งที่องค์กรต้องการและที่บุคลากรทุกคนมีอยู่ (Competency Inventory)

เป็นระบบฐานข้อมูลด้านทรัพยากรมนุษย์ ซึ่งในระบบฐานข้อมูลนี้ นอกเหนือจากการเก็บข้อมูลด้านแฟ้มบุคคล ของพนักงานแต่ละคน ซึ่งโดยทั่วไปจะประกอบด้วย ข้อมูลใบสมัคร ข้อมูลประวัติบุคคล ข้อมูลประวัติพนักงาน ข้อมูลการจ่ายเงินเดือน ข้อมูลการประเมินผลงาน ข้อมูลตำแหน่ง และข้อมูลการลาออกหรือขาดงานแล้ว จะต้องมีการเก็บข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการและความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory) โดยจะมี Basic Competencies สำหรับแต่ละงาน คือ Know-How, Problem Solving, และ Accountability ซึ่ง Know-How จะประกอบด้วย 3 ด้านหลักๆ คือ ด้านบริหารจัดการ (Managerial) ด้านเทคนิค (Technical) และด้านความสัมพันธ์ (Human Relations) ส่วน Problem Solving และ Accountability นั้นสามารถมองได้หลายมิติ ขึ้นอยู่กับประเภท และความสำคัญของแต่ละงาน

การเก็บรวบรวมข้อมูลด้าน Competency ของบุคลากร นั้นจะต้องมีระบบฐานข้อมูลที่มีการจัดเก็บเป็นระบบการจัดการฐานข้อมูลทรัพยากรบุคคล (Human Resource Database Management System) โดยเฉพาะเป็นระบบที่สามารถจัดการข้อมูลของพนักงาน ตรวจสอบความชำนาญเฉพาะด้านของพนักงานแต่ละคน การอบรม ค่าตอบแทน สวัสดิการต่างๆ เป็นต้น

แนวทางโดยสรุป : เป็นระบบฐานข้อมูลด้านทรัพยากรบุคคล (HR Database) ที่มีการเก็บรวบรวมข้อมูลด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคนที่องค์กรมีอยู่ (Competency Inventory)

ตัวอย่าง : ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้สามารถให้ข้อมูล ด้านความสามารถเฉพาะด้านของบุคลากรทุกตำแหน่งที่องค์กรต้องการ และความสามารถของบุคลากรแต่ละคน ที่องค์กรมีอยู่ (Competency Inventory) ได้ เช่น หากเจ้าหน้าที่คนหนึ่งมีความสามารถด้านสารสนเทศ ก็จะต้องสามารถมีข้อมูลที่ระบุได้ว่า เจ้าหน้าที่ดังกล่าวอยู่ในสายงานใด เช่น สายงาน Database สายงาน Network และสายงาน Web Application ซึ่งหากเกิดความผิดพลาดในกระบวนการทำงานด้านสารสนเทศเกิดขึ้น ทางองค์กรก็สามารถที่จะมีข้อมูลเพื่อวิเคราะห์ได้ว่า ควรมีการปรับปรุงวิธีการทำงาน ควรจะจัดอบรมความรู้ในเรื่องงานด้านสารสนเทศ หรือการสรรหาบุคคลที่มีความสามารถเฉพาะด้านเป็นพิเศษเข้ามาทำงาน หรือหากองค์กรมีนโยบายใหม่เข้ามา และมีส่วนงานที่เกี่ยวข้องกับด้านสารสนเทศด้วย ระบบฐานข้อมูลด้านทรัพยากรบุคคลนี้ก็จะสามารถระบุได้ว่า บุคลากรคนใดที่มีความชำนาญด้านสารสนเทศเป็นพิเศษ ทำให้สามารถจัดหาบุคคลมาปฏิบัติงานได้อย่างถูกต้อง และมีประสิทธิภาพ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเก็บข้อมูล Competency ครบทุกคน และชนิดของข้อมูลที่เก็บมีความเหมาะสม และสามารถค้นหาบุคลากรตาม Competency ทีต้องการได้

2.4.2 การยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวมการจัดการด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร

กระบวนการหรือวิธีการในการยกระดับความรู้และความสามารถของ CEO / CFO / CIO ในการผนวกรวม การจัดการร่วมกันระหว่างกระบวนการหรือแผนที่เป็นรูปธรรม ด้านเทคโนโลยีกับการวางนโยบายเพื่อพัฒนาองค์กร โดยมีวิธีการส่งเสริมความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

โดยอาจจะมีกระบวนการวิธีการที่แตกต่างกันในการให้ความรู้ด้านสารสนเทศแก่ CEO / CFO / CIO ซึ่งจะให้ความสำคัญทางด้านประโยชน์ของสารสนเทศ และแนะนำถึงการนำมาสารสนเทศนี้มาใช้ในองค์กร เพื่อสนับสนุนการปฏิบัติงาน หรือภารกิจหลักขององค์กรได้อย่างมีประสิทธิภาพ รวมทั้งการวางนโยบายเพื่อพัฒนาองค์กรโดยมีสารสนเทศเป็นเครื่องมือสนับสนุน ซึ่งอาจจะใช้วิธีการสัมมนา หรือใช้วิธีแบบ Online Training เป็นต้น

แนวทางโดยสรุป : การยกระดับความรู้ให้กับ CEO / CFO / CIO เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสาร และประโยชน์ของเทคโนโลยีต่างๆ ที่จะนำมาช่วยในการพัฒนาองค์กรได้อย่างคุ้มค่า และไปในทิศทางเดียวกับวิสัยทัศน์ ภารกิจ และนโยบายขององค์กร

ตัวอย่าง : การส่งเสริมความรู้ให้กับ CEO / CFO / CIO เช่น จัดนำเสนอโดยผู้เชี่ยวชาญหรือผู้ทรงคุณวุฒิที่หน่วยงานด้านสารสนเทศเป็นผู้คัดเลือก โดยให้มีการนำเสนอผ่านทางระบบ Video Conference ซึ่งอาจจะชี้ให้เห็นได้ด้วยว่า หากนำสารสนเทศ อย่าง Video Conference มาใช้ในการประชุมแล้วสามารถที่จะลดระยะเวลา ลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินงานขององค์กรได้ ซึ่ง CEO / CFO / CIO ที่ได้เรียนรู้ จะเล็งเห็นถึงความสำคัญของการใช้เทคโนโลยีสารสนเทศ และสามารถที่จะนำเทคโนโลยีเข้าไปผนวกกับการวางนโยบายเพื่อพัฒนาองค์กร อาทิเช่น การวางนโยบายขององค์กรในเรื่องของการติดต่อสื่อสารทั้งภายในและภายนอกองค์กร โดยจัดให้มีการนำระบบเทคโนโลยีด้านการสื่อสารทางไกล (Telecommunication) เข้ามาใช้เพื่อลดต้นทุนในส่วนของค่าใช้จ่ายในการเดินทาง สามารถติดต่อสื่อสารกันได้โดยไม่ขึ้นกับสถานที่ ระยะทาง และเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีแผนการอบรมที่ชัดเจนสำหรับผู้บริหารแต่ละท่าน (CEO, CFO, CIO)
– การนำความรู้มาใช้ประโยชน์กับองค์กรอย่างเป็นรูปธรรม หรือนำมาใช้เป็นนโยบายในการดำเนินงานขององค์กร

2.4.3 การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจและรองรับระบบสารสนเทศที่องค์กรมีอยู่

ระบบสารสนเทศใหม่ ๆ ได้นำเข้ามาสู่องค์กรอย่างสม่ำเสมอเพื่อให้สอดคล้องกับการดำเนินงานขององค์กรและปรับเปลี่ยนให้ทันตามเทคโนโลยีเพื่อเพิ่มประสิทธิภาพการทำงาน อย่างไรก็ตาม มักจะพบปัญหาในทางปฏิบัติเมื่อบุคลากรไม่มีความพร้อมที่จะใช้ระบบงานใหม่เนื่องจากบุคลากรดังกล่าวยังคงคุ้นเคยกับการทำงานลักษณะเดิม ทำให้เสียโอกาสในการใช้ระบบให้มีประสิทธิภาพและเป็นการสิ้นเปลืองงบประมาณในส่วนดังกล่าว ดังนั้นรัฐวิสาหกิจควรหาแนวทางเพื่อให้บุคลากรมีความคุ้นเคยและปรับเปลี่ยนการทำงานเพื่อรองรับกับระบบที่ได้เปลี่ยนแปลงไป

แนวทางโดยสรุป : การพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่

ตัวอย่าง : หากองค์กรมีระบบสารสนเทศใหม่ หรือมีใช้อยู่แล้วในองค์กร แต่จากการสำรวจพบว่า บุคลากรยังไม่สามารถใช้ระบบดังกล่าวได้อย่างถูกต้อง รวดเร็ว และมีประสิทธิภาพ ดังนั้นการพัฒนาความรู้ความสามารถของบุคลากรในองค์กรให้เข้าใจ และสามารถใช้ระบบสารสนเทศที่องค์กรมีอยู่จึงเป็นกระบวนการสำคัญในการผลักดัน ส่งเสริมให้บุคลากรสามารถใช้เทคโนโลยีได้ โดยอาจจะใช้วิธีของการจัดอบรม หรือ การสอนในรูปแบบของ Online Training หรือ e-Learning เพื่อให้บุคลากรสามารถที่จะศึกษา เรียนรู้ และใช้ระบบสารสนเทศดังกล่าวได้อย่างมีประสิทธิภาพ ตัวอย่างเช่น มหาวิทยาลัยด้านสารสนเทศแห่งหนึ่งต้องการให้อาจารย์และผู้ช่วยสอนสามารถทำ e-Learning ในรายวิชาที่อาจารย์คนนั้น ๆ สอนด้วยตนเอง โดยการนำคู่มือวิธีการทำ e-Learning ขึ้นบน Intranet ภายในมหาวิทยาลัย อาจารย์และผู้ช่วยสอนสามารถที่จะเรียนรู้และฝึกปฏิบัติทำได้ด้วยตนเอง ทั้งในรายละเอียดของ Code ในโปรแกรมที่ใช้สร้าง เช่น Dreamwaver การสร้างและใช้ Template รวมทั้ง Format ต่างๆ โปรแกรมที่ใช้ตัดต่อวิดีโอ อย่างเช่น Microsoft Producer, Microsoft Ulead และอื่นๆเป็นต้น ทำให้มหาวิทยาลัยสามารถลดค่าใช้จ่ายในการจ้างพนักงานเพื่อทำ e-Learning โดยเฉพาะ และยังเพิ่มความรู้ความสามารถให้กับบุคลากรในมหาวิทยาลัย

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการฝึกอบรมและการประเมินหลังการฝึกอบรมว่า USER ใช้ประโยชน์ระบบสารสนเทศอย่างเต็มศักยภาพเพียงใด

ครั้งหน้าเราไปต่อประเด็นการพิจารณาระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล และระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรกันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

รากแก้วแห่งความเชื่อมั่นต่อประเทศไทยได้ถูกทำลายลงไปแล้ว!?!

มกราคม 7, 2010

สวัสดีปีใหม่ท่านผู้อ่านทุกท่านครับ ผมไม่ค่อยมีความสุขมากนักในช่วงปีใหม่นี้ มิใช่เพราะเรื่องส่วนตัว แต่เป็นเพราะเรื่องข่าวคราวความน่าเชื่อถือ ความเชื่อมั่น ความไว้วางใจ ที่ส่งผลกระทบอย่างรุนแรงต่อประเทศ ทั้งในระดับประเทศ และระหว่างประเทศ ซึ่งน่าจะเกิดจาก Policy Risk + Regulatory Risk + Compliance Risk + Strategic Risk อันเกิดจากกรณีมาบตาพุด + การยกเลิกสัญญาหวยออนไลน์ + การสั่งรื้อสัญญาสัมปทาน BMCL และอื่น ๆ

ทั้ง ๆ ที่หน่วยงานผู้กำกับภาครัฐได้ลงนามหรืออนุมัติ จัดทำสัญญา ให้ก่อสร้าง ให้ดำเนินการตามข้อตกลงต่าง ๆ ไปแล้ว ในที่สุดก็มีการให้ระงับการก่อสร้างโครงการต่าง ๆ ที่มาบตาพุด ยกเลิกหวยออนไลน์ที่มีสัญญาให้ติดตั้งตู้ออนไลน์ 1.2 หมื่นตู้ หรือสัญญาสัมปทานรถไฟฟ้าสายสีน้ำเงิน เพื่อหวังคุมค่าโดยสารจูงใจประชาชนให้ใช้บริการ ทั้ง ๆ ที่น่าจะพิจารณาเรื่องนี้ก่อนที่จะให้สัมปทาน โดยหน่วยงานของรัฐและผู้ที่เกี่ยวข้องได้อ้างว่า การดำเนินการดังกล่าว รวมทั้งการแก้ไขสัญญาไม่กระทบกระเทือนต่อความเชื่อมั่นของเอกชนที่ลงทุนกับรัฐ รวมทั้งให้หน่วยงานที่เกี่ยวข้องทบทวนวงเงินจ้างที่ปรึกษาอีกครั้ง ++++++

เหตุการณ์โดยสรุปข้างต้นตามเนื้อข่าวในสื่อต่าง ๆ นั้น มีผลกระทบอย่างรุนแรงต่อความเชื่อมั่น ความน่าเชื่อถือ ความไว้วางใจ การเคารพกติกาและกฎเกณฑ์ของสังคม ตามหลักการบริหารและการจัดการที่ดี ที่ส่งผลกระทบต่อเนื่องไปยังเครดิตของประเทศ ที่ประเทศไทยของเราจะมีต้นทุนทางเศรษฐกิจ และการเงิน จากความไม่น่าเชื่อถือของประเทศเพิ่มขึ้นอย่างมหาศาล สร้างความเสียเปรียบในการแข่งขันระดับชาติ และระดับองค์กร ที่เป็นตัวเงิน และไม่ใช่ตัวเงิน ทั้งในระยะสั้นและในระยะยาวอย่างประมาณค่าไม่ได้

ในหลักการของการกำกับดูแลกิจการที่ดี ซึ่งทางรัฐบาลได้ออกพระราชกฤษฎีกาว่าด้วยการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ที่ประกอบไปด้วยหลักการบริหารความเสี่ยง การควบคุมภายใน และการสร้างประสิทธิผลและประสิทธิภาพในมุมมองต่าง ๆ เพื่อสร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม หรือ Stakeholders เพื่อการเติบโตอย่างยั่งยืนในระดับองค์กร และในระดับประเทศนั้น ไม่น่าเป็นไปได้ในทางปฏิบัติ เพราะหากมีการนำหลักการบริหารความเสี่ยงที่เชื่อมโยงกับวิสัยทัศน์ และพันธกิจของประเทศแล้ว สิ่งที่ทางการได้ดำเนินการมา น่าจะขัดแย้งอย่างรุนแรงกับหลักการบริหารความเสี่ยง ที่จะก่อให้เกิดความเสียหายที่ไม่อาจยอมรับได้ (Risk Appetite) ทั้งนี้อาจพิจารณาได้จาก การตัดสินใจใด ๆ ที่มองต่างมุมที่ต่างคาบเวลากัน หรือมองต่างมุมและตีความที่แตกต่างกัน จากหน่วยงานกำกับที่มีอิสระแตกต่างกันของภาครัฐ ก็มีผลแตกต่างกันในทางปฏิบัติอย่างมากมาย

หากหน่วยงานภาครัฐมีการบริหารความเสี่ยงภายใต้หลักการกำกับดูแลกิจการที่ดี เหตุการณ์ดังกล่าวข้างต้น ภายใต้กรอบการบริหารความเสี่ยง และความเสียหายที่ยอมรับได้ หรือยอมรับไม่ได้ ในมุมมองต่าง ๆ จะต้องมีการพิสูจน์อย่างชัดเจน และมีการบริหารจัดการอย่างเป็นระบบ ภายใต้ร่ม Corporate Governance – CG ที่มีผลต่อ Global Governance จากการดำเนินงานของภาครัฐที่เรียกว่า Public Governance และ Social Governance ที่เกี่ยวข้องกับการบริหารความเสี่ยงในมิติต่าง ๆ ตามที่ผมเคยได้กล่าวไปแล้ว และอาจจะนำมาทบทวนอีกในบางมุมมองในทางสร้างสรรค์ต่อไป

ผลที่ตามมาของกรณีข้างต้นที่ปรากฏเป็นข่าวตามมา ซึ่งแสดงถึงผลสะท้อนของการไม่ปฏิบัติตามกติกาของสังคม ทั้งในระดับสากล และในระดับประเทศ ก็คือ ข่าวจากหนังสือพิมพ์กรุงเทพธุรกิจ ฉบับที่ 7777 วันพฤหัสบดีที่ 7 มกราคม 2553 ที่กล่าวว่า “เจโทรรับต้นเหตุมาบตาพุด – จี้รัฐแก้ปัญหาภายใน 3 เดือน ญี่ปุ่นเมินลงทุนไทยชาติแรก” ตามมาด้วยข่าว “จีเทค” ขู่ฟ้องรัฐบาล 1.2 หมื่นล้าน กรณีรัฐบาลสั่งยกเลิกหวยออนไลน์ เป็นการตอกย้ำถึงความไม่น่าเชื่อถือของประเทศไทยในสายตาของสังคม ทั้งในและต่างประเทศ

ประเทศไทยจะหวังอะไร หากคนในชาติ และนานาชาติ ขาดความเชื่อมั่น หรือไม่เชื่อถือ ไม่ไว้วางใจในนโยบายของชาติ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ที่มีต่อกันแล้วเป็นลายลักษณ์อักษร +++

นอกเหนือจากเหตุการณ์ความไม่สงบ หรือความไม่เรียบร้อยของบ้านเมือง ทั้งทางการเมือง การปกครอง และความมั่นคง ที่มีข่าวคราวน่าสงสัยในเรื่องมาตรฐานการดำเนินงานที่แตกต่างกัน +++ ซึ่งก็ส่งผลอย่างร้ายแรงต่อความเชื่อมั่น ตามหลักการปฏิบัติที่เท่าเทียมกัน การดำเนินการอย่างโปร่งใส +++ ตามหลักธรรมาภิบาล

ผลกระทบต่อความไม่เชื่อมั่นเพียงอย่างเดียว ก็จะนำมาซึ่งความล้มเหลวของประเทศในระยะยาวไปอีกนาน ถึงแม้ว่าจะมีการเปลี่ยนแปลงทางการเมืองหรือไม่ก็ตาม ประเทศที่มีความเจริญและมั่งคั่งทางเศรษฐกิจจะต้องมีความมั่นคง และเสถียรภาพทางการเมือง ตัวอย่างเช่น ประเทศมาเลเซียใช้การเมืองนำเศรษฐกิจ เพราะหากการเมืองมั่นคงหรือนิ่ง ความเชื่อถือหรือเชื่อมั่นก็จะเกิดขึ้น ส่งผลดีต่อเศรษฐกิจและการดำเนินงานในภาพรวม

สำหรับกรณีของไทยเรา นอกเหนือจากความไม่มั่นคงทางการเมือง และความแตกแยกทางความคิด และการกระทำในรูปแบบต่าง ๆ ที่เห็นได้ชัดเจนแล้ว เรายังมีความไม่มั่นคงทางด้านความเชื่อถือ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดต่อการพัฒนาประเทศ เปรียบเสมือนหนึ่งรากแก้ว ซึ่งเป็นหลักของต้นไม้ใหญ่ได้ถูกทำลาย หรือเสียหายอย่างมากต่อการดำเนินงานที่เป็นไปตามกติกาของสังคม

ผมมีความเห็นส่วนตัวว่า การให้น้ำหนักความสำคัญของความเชื่อถือระหว่างประเทศต่อประเทศไทย น่าจะมีความสำคัญและมีน้ำหนักมาก ในกระบวนการบริหารและการจัดการบริหารความเสี่ยง เพื่อสร้างดุลยภาพในการเติบโตอย่างยั่งยืนตามหลักการกำกับดูแลกิจการที่ดี ซึ่งทางการน่าจะเป็นผู้นำและปฏิบัติได้ดีในภาคปฏิบัติให้เป็นรูปธรรม โดยนำกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM และหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งเป็นการเน้น Integrity – Driven Performance มาขับเคลื่อนความน่าเชื่อถือ และเป็นตัวอย่างที่ดีในการบริหารความเสี่ยงตามกลไกที่รัฐบาลมีอยู่แล้วให้เป็นรูปธรรมต่อไป

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control บางมุมมอง

มกราคม 7, 2010

ครั้งที่แล้ว ผมได้อธิบายการวางแผนการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบการควบคุมภายในทั่วไป ของการบริหารศูนย์คอมพิวเตอร์ และการจัดการทางด้านคอมพิวเตอร์ (General Control) ซึ่งสามารถอธิบายโดยแผนภาพย่อ ๆ และเข้าใจได้สะดวก ดังนี้

จากภาพข้างต้น ผู้ตรวจสอบจะต้องกำหนดขอบเขตการตรวจสอบ ให้เป็นไปตามวัตถุประสงค์การตรวจสอบที่ต้องการ มิฉะนั้น การวางแผนการตรวจสอบเพื่อหาหลักฐานการตรวจสอบ และข้อสรุปที่เกี่ยวข้อง จะมีขอบเขตกว้างขวางที่อาจหาข้อสรุปได้ยาก และไม่อาจหาข้อยุติในการทำรายงานในกรอบเวลาที่กำหนดแล้วได้ เรื่องนี้ จึงเป็นเรื่องที่มีความสำคัญเป็นอย่างยิ่งต่อผู้ตรวจสอบ เพื่อกำหนดทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบตามขอบเขต และวัตถุประสงค์ที่เกี่ยวข้อง ทั้งนี้ขอให้ดูแผนภาพต่อไปนี้ประกอบการพิจารณาเพิ่มเติมจากข้อมูลที่ได้กล่าวมาก่อนหน้านี้

เมื่อท่านได้เห็นแผนภาพที่ 2 ข้างต้นแล้ว ผมใคร่ขอย้ำอีกครั้งหนึ่งว่า การกำหนดขอบเขตการตรวจสอบ ตามวัตถุประสงค์การตรวจสอบที่ชัดเจน ตามทรัพยากรที่กำหนดให้นั้น เป็นเรื่องสำคัญยิ่งต่อกระบวนการตรวจสอบโดยรวม ทั้งนี้ การระบุปัจจัยเสี่ยงที่อาจจะเกิดจากการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) จะเกี่ยวข้องและมีผลกระทบกับกระบวนการ (IT Process) ตามหลักการของ CobiT และความเสี่ยงของ IT Process ก็จะเกี่ยวข้องและเกี่ยวพันกับ Activities ทางด้าน IT และทางด้าน Business ที่จะมีผลต่อกระบวนการบริหาร เพื่อให้ได้คุณลักษณะของสารสนเทศที่ดี หรือให้ได้ผลตาม Business Requirements ที่ต้องการ ซึ่งจะประกอบด้วย ประสิทธิผลของข้อมูลและการจัดการ (Effectiveness), ประสิทธิภาพของข้อมูลและการจัดการ (Efficiency), การรักษาความลับและการเข้าถึงข้อมูล (Confidentiality), ความครบถ้วนถูกต้องของข้อมูล (Integrity), สภาพพร้อมใช้งานของสารสนเทศ (Availability), การปฏิบัติตามกฎหมาย กฎเกณฑ์ (Compliance), ความน่าเชื่อถือของสารสนเทศ เพื่อการบริหารและการจัดการ (Information Reliability)

มาถึงตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT Audit ควรจะมีความเข้าใจในองค์รวมของกระบวนการบริหาร และการจัดการสารสนเทศที่ดี และเพียงพอที่สามารถจะสรุปจุดอ่อน ที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหายในมุมมองต่าง ๆ ทั้งทางด้าน IT และทางด้าน Business ที่เกี่ยวข้อง และผู้ที่เกี่ยวข้องควรจะเข้าใจการบริหารและการจัดการที่ผสมผสานระหว่าง Business Objective และ IT Objective ตามมุมมองของ Business Balanced Scorecard และ IT Balanced Scorecard อย่างพอเพียงด้วย

ถึงขั้นตอนนี้ผู้ตรวจสอบและผู้กำกับงานตรวจสอบทางด้าน IT และทางด้าน Manual Audit อาจจะเริ่มสับสนถึงมุมมองของการระบุปัจจัยเสี่ยง ที่เริ่มผสมผสานกันและแยกกันไม่ได้ ระหว่าง Business Risk และ IT Risk เพราะส่วนใหญ่จะมีการมอบหมายงานตาม Function ซึ่งเน้นเป็นเรื่อง ๆ (Silo) มากกว่า Business Process ที่เป็นการผสมผสานระหว่าง IT Activities กับ Business Objective

เรื่องนี้จะเข้าใจได้ดีขึ้นนะครับ ถ้าหากผู้ตรวจสอบจะได้ดูแผนภาพที่อธิบายโดยย่อถึง กระบวนการบริหารที่มีผลกระทบต่อเป้าหมายของการบริหารและควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective เพื่อบรรลุวัตถุประสงค์ตามหลักการของ CobiT ภายใต้ร่ม IT Governance ต่อไปนี้ทีละ Domain ซึ่งจะนำเสนอในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มกราคม 7, 2010

สวัสดีครับ วันนี้ผมจะมาเล่าต่อถึงการรายงานผลความเสี่ยงของผู้ตรวจสอบภายในว่า ภายหลังจากที่ผู้ตรวจสอบภายในได้ประเมินผล และทำการติดตามผลแล้ว ผู้ตรวจสอบภายในควรจะต้องรายงานผลต่อคณะกรรมการบริหารความเสี่ยง ซึ่งจะต้องรายงานในเรื่องใด และทำอย่างไรนั้น ผมจะนำเสนอต่อเลยนะครับ

กิจกรรมและขั้นตอนการบริหารใดที่มีจุดอ่อนที่ผู้ตรวจสอบภายในควรจะต้องรายงาน แม้ว่าไม่มีคำตอบที่เป็นสากลที่ชัดเจน แต่การเปรียบเทียบการบรรลุผลตามกิจกรรมและ/หรือผลลัพธ์ของแผนงานกับการปฏิบัติงานจริง จะช่วยชี้ประเด็นที่ผู้ตรวจสอบภายในสามารถรายงานศักยภาพการบริหารความเสี่ยงในระดับต่าง ๆ อย่างเป็นกระบวนการได้

ในการพิจารณาสิ่งจำเป็นในการติดต่อสื่อสาร และการรายงานผลการตรวจสอบภายในที่ผู้ตรวจสอบพึงปฏิบัติก็คือ การให้ข้อสังเกตที่มีนัยสำคัญต่อคุณภาพการบริหารความเสี่ยงทั้ง 8 ขั้นตอนอย่างเป็นกระบวนการ และให้คำแนะนำเพื่อสร้างคุณค่าเพิ่มในด้านการควบคุมการบริหารความเสี่ยง ที่ยังอาจไม่เหมาะสมที่ผู้รับการตรวจสอบในสายงานที่เกี่ยวข้องอาจนำไปใช้ลดจุดอ่อน และสร้างจุดแข็ง เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า การบริหารความเสี่ยงของผู้ที่เกี่ยวข้องในระดับต่าง ๆ สามารถก้าวสู่การบรรลุวัตถุประสงค์ และเป้าหมายที่กำหนดได้

ทั้งนี้ ผู้ตรวจสอบภายในจะต้องมั่นใจในศักยภาพ ในความเป็นผู้ตรวจสอบภายในที่มีความรู้ในกระบวนการบริหารความเสี่ยงในระดับต่าง ๆ อย่างแท้จริง มิใช่เพียงแต่ระบุจุดอ่อนของผู้ได้รับการตรวจสอบ แต่ไม่ได้ให้คำแนะนำที่ชัดเจนในการเพิ่มคุณค่าของกระบวนการบริหารความเสี่ยงในการควบคุมภายในที่เหมาะสม

หากมีข้อโต้แย้งหรือความเห็นที่แตกต่างระหว่างผู้ได้รับการตรวจสอบกับผู้ตรวจสอบ ความเห็นที่แตกต่างและข้อเสนอแนะของฝ่ายตรวจสอบภายใน ควรจะได้รับการบันทึกไว้ในรายงานการตรวจสอบและดำเนินการตามมาตรฐานการตรวจสอบของสมาคมผู้ตรวจสอบภายในสากลด้วย

ผู้ตรวจสอบภายในควรจะรายงานผลในเรื่องใดบ้าง
ข้อมูลที่สร้างจากกิจรรมการปฏิบัติงานจะถูกรายงานผ่านช่องทางปกติไปสู่หัวหน้างานทันที หัวหน้างานอาจสื่อสารไปสู่เบื้องบนตามลำดับในองค์กร เพื่อให้ข้อมูลสิ้นสุดที่บุคลากรที่สามารถปฏิบัติได้

ช่องทางเลือกของการติดต่อสื่อสารควรมีอยู่เพื่อการรายงานผลข้อมูลที่อ่อนไหว เช่น เรื่องผิดกฎหมาย ผิดระเบียบ คำสั่ง หรือการปฏิบัติที่ไม่เหมาะสม การพบข้อบกพร่องของการบริหารความเสี่ยงควรถูกรายงานที่เฉพาะต่อความรับผิดชอบของปัจเจกบุคคลเพื่อหน้าที่หรือกิจกรรมที่เกี่ยวข้อง แต่อย่างน้อยเพื่อผู้บริหารระดับที่เหนือกว่าบุคคลนั้น และแน่นอนว่าจะต้องรายงานตามสายการบังคับบัญชาด้วยเสมอ

เรามาดูกันต่อนะครับว่า การรายงานความเสี่ยงนั้นมีประโยชน์อย่างไรต่อการบริหารความเสี่ยงกันบ้าง
1. ทำให้คณะกรรมการขององค์กร มั่นใจว่าความเสี่ยงขององค์กรสอดคล้องกับกลยุทธ์ความเสี่ยงที่ได้รับอนุมัติ และพิจารณาได้ว่าหน้าที่การบริหารความเสี่ยงได้รับการปฏิบัติอย่างมีประสิทธิผล และช่วยในการติดตามที่สำคัญในกรณีที่จำเป็น

2. หัวหน้ากลุ่มต่าง ๆ และผู้บริหารระดับสูงสามารถบ่งชี้และเข้าใจความเสี่ยงที่เกิดขึ้น และข้อกำหนดกิจกรรมการลดความเสี่ยงที่มีประสิทธิผลในระดับกลยุทธ์และระดับปฏิบัติการ

3. หัวหน้ากลุ่มและผู้บริหารระดับสูงสามารถยืนยันได้ว่าการควบคุมความเสี่ยงที่สำคัญได้ถูกนำไปปฏิบัติและดำเนินการอย่างประสบความสำเร็จ และหลีกเลี่ยงความผิดพลาดและล้มเหลวต่าง ๆ ที่จะมีผลต่อการบรรลุวัตถุประสงค์ขององค์กร

ตัวอย่างเอกสารการรายงานความเสี่ยง
– ตารางความเสี่ยง (Risk Matrix)
ตารางความเสี่ยง คือ ทะเบียนความเสี่ยงที่ประกอบไปด้วยข้อมูลของแต่ละความเสี่ยง

ตัวอย่างตารางความเสี่ยง

– แผนภาพความเสี่ยง (Risk Map)
แผนภาพความเสี่ยงจัดทำขึ้นเพื่อแสดงความเสี่ยงแต่ละเรื่องไว้ด้วยกัน และแสดงภาพใหญ่ของความเสี่ยงทั้งหมดและความสำคัญแต่ละเรื่อง

แผนภาพความเสี่ยงเป็นเครื่องมือช่วยในการ
– แสดงการประเมินความเสี่ยงเชิงคุณภาพ
– แสดงตำแหน่งของความเสี่ยง
– สนับสนุนการตัดสินใจในระดับความสำคัญของความเสี่ยงในภาพรวม

การติดตามผลและการรายงานความเสี่ยง

– แผนผังความเสี่ยง
แผนผังความเสี่ยงแสดงความสัมพันธ์ระหว่างโอกาสเกิดและผลกระทบของความเสี่ยงที่บ่งชี้ได้ นอกจากนี้ยังสามารถให้ผู้บริหารใช้เป็นเครื่องมือสำหรับวัดผลและรายงานความเสี่ยงขององค์กร

องค์ประกอบสำคัญของการติดตามผล

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หลักเกณฑ์การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการ ผู้จัดการผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน (ต่อ)

มกราคม 4, 2010

วันนี้ผมจะมาเล่าเนื้อหาบางประการที่เกี่ยวข้องกับ หลักเกณฑ์การพิจารณาให้ความเห็นชอบ การแต่งตั้งกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน ของ ธปท. ซึ่งเป็นผู้กำกับที่เข้มแข็ง และกำหนดแนวทางในการบริหารและการจัดการที่ค่อนข้างชัดเจน เพื่อชี้ทิศทางให้สถาบันการเงินก้าวไปสู่การเติบโตอย่างยั่งยืน ผมจะขอเล่าอย่างสรุปในเรื่องของคุณสมบัติของกรรมการฯ ดังนี้

คณะกรรมการฯ ต้องมีความซื่อสัตย์ สุจริตและชื่อเสียง (Honesty, Integrity and Reputation) เป็นไปตามที่ธนาคารแห่งประเทศไทยกำหนด

มีความรู้ ความสามารถ และประสบการณ์ (Competence, Capability and Experiences) ที่จำเป็นและเหมาะสมกับตำแหน่งหน้าที่ที่รับผิดชอบในระดับที่ผู้ประกอบวิชาชีพการเงินการธนาคารพึง มี และต้องไม่มีลักษณะต้องห้าม เช่น เป็นผู้ที่เคยมีการทำงานที่แสดงถึงการขาดมาตรฐานทางบัญชี มาตรฐานการบริหารความเสี่ยง หรือมาตรฐานทางวิชาชีพอื่น ๆ ในการดำเนินธุรกิจ ซึ่งกำหนดโดยหน่วยงานของรัฐ หรือหน่วยงานกำหนดมาตรฐานอื่น ทั้งในประเทศและต่างประเทศ เช่น การอำพรางฐานะทางการเงิน หรือผลการดำเนินงานที่แท้จริง การจงใจหลีกเลี่ยงการเปิดเผยข้อมูลในประเด็นอันเป็นสาระสำคัญ การถูกเพิกถอนใบอนุญาตประกอบวิชาชีพ เป็นต้น

กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินจะต้องไม่มีลักษณะต้องห้ามที่เกี่ยวกับประเด็นด้านสถานะทางการเงิน (Financial Soundness) เช่น ไม่มีปัญหาในการชำระเงินต้น หรือดอกเบี้ยกับสถาบันการเงิน หรือบริษัทที่ให้สินเชื่อ หรือเข้าข่ายจัดชั้นเป็นลูกหนี้ชั้นต่ำกว่ามาตรฐาน ชั้นสงสัย ชั้นสงสัยจะสูญ หรือสูญ ทั้งในประเทศและต่างประเทศ

ข้อยกเว้นเกี่ยวกับลักษณะต้องห้ามตามมาตรา 24 (7) (ข) แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551
เพื่อให้สอดคล้องกับหลักเกณฑ์การกำกับดูแลสถาบันการเงินแบบรวมกลุ่ม (Consolidated Supervision) ธนาคารแห่งประเทศไทยจึงอนุญาตให้ผู้จัดการ หรือผู้มีอำนาจในการจัดการของบริษัทที่ได้รับสินเชื่อ ได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินนั้น และเป็นบริษัทที่อยู่ในกลุ่มธุรกิจทางการเงินเดียวกันกับสถาบันการเงิน สามารถเป็นหรือทำหน้าที่กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินนั้นได้

ในกรณีที่สถาบันการเงินมีความจำเป็นจะต้องส่งกรรมการ ผู้จัดการ หรือผู้มีอำนาจในการจัดการของสถาบันการเงินของตนเข้าไปกำกับดูแลบริษัทที่ได้รับสินเชื่อ หรือได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินนั้น สมควรอนุญาตให้สถาบันการเงินสามารถส่งกรรมการฯ ไปเป็นผู้จัดการ หรือผู้มีอำนาจในการจัดการของบริษัทที่ได้รับสินเชื่อหรือได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินนั้นได้

หรืออีกนัยหนึ่ง ธนาคารแห่งประเทศไทยอนุญาตให้ผู้จัดการ หรือผู้มีอำนาจในการจัดการของบริษัทที่ได้รับสินเชื่อหรือได้รับการค้ำประกัน หรืออาวัล หรือมีภาระผูกพันอยู่กับสถาบันการเงินที่ได้รับการแต่งตั้งมาจากสถาบันการเงิน สามารถเป็นหรือทำหน้าที่กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินนั้นได้ เพราะเหตุแห่งความจำเป็นที่จะต้องกำกับดูแลลูกหนี้ดังกล่าว

สำหรับเนื้อหาที่เป็นรายละเอียดอื่น ๆ ของหลักเกณฑ์การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการฯ นอกเหนือจากที่ผมได้สรุปในบางประการข้างต้นแล้ว ท่านผู้อ่านสามารถติดตามได้จากประกาศของธนาคารแห่งประเทศไทย ที่ สนส. 14/2552 ครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »