แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น

กุมภาพันธ์ 4, 2010

วันนี้ ผมจะได้กล่าวถึง แนวทางบางประการในการบริหารงานตรวจสอบองค์กรที่ใช้คอมพิวเตอร์บางมุมมอง ในเบื้องต้น ทั้งนี้เพราะ มีท่านผู้อ่านที่ติดตามเรื่อง IT Audit และ Non – IT Audit บางท่านได้โทรศัพท์ หรือ e-mail มาคุยกับผมว่า เรื่องราวกำลังน่าสนใจมาก แต่ก็เริ่มสับสนที่จะทำความเข้าใจในภาพโดยรวม ที่เกี่ยวข้องกับ IT Audit และการนำไปอธิบายต่อให้กับเพื่อนร่วมงาน เนื่องจากผมได้เริ่มอธิบายแบบผสมผสานในมุมมองต่าง ๆ ของการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ในลักษณะของ Top Down บ้าง ในลักษณะของ Bottom Up บ้าง

โดยเฉพาะอย่างยิ่ง ผมได้นำหลักการบริหารยุคใหม่ที่เกี่ยวข้องกับ GRC – Governance Risk Management ที่สร้าง Integrated – Driven Performance และนำภาพของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามหลักการ COSO – ERM มาผสมผสานกับ CobiT โดยเชื่อมโยงกับกระบวนการบริหารการจัดการที่ดี ในมุมมองต่าง ๆ รวมทั้ง วิธีการนำเสนอในการจัดทำแผนการตรวจสอบในหลายลักษณะ ซึ่งขึ้นกับเป้าประสงค์ของการตรวจสอบ และขอบเขตการตรวจสอบ รวมทั้งศักยภาพของทรัพยากรขององค์กรที่มีความแตกต่างกัน

ถึงแม้จะมีการยกตัวอย่าง การตรวจสอบในบางลักษณะที่ใช้คอมพิวเตอร์ด้วยกัน แต่กระบวนการทำงานในการประมวลผลข้อมูลแตกต่างกัน รูปแบบหลักฐานการตรวจสอบที่ไม่เหมือนกัน วิธีการตรวจสอบยังแตกต่างกันมาก เป็นต้นนั้น ทำให้ท่านผู้อ่านที่ถูกดึงเข้ามาให้เข้าใจในภาพการบริหารองค์กรยุคใหม่โดยรวมที่แยกกันได้ยาก ระหว่างการตรวจสอบทางด้าน IT และ Non – IT Audit เพื่อก้าวไปสู่การประเมินผลกระทบของความเสี่ยงในระดับต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk ที่มีผลต่อ COSO – ERM เพื่อการบรรลุวัตถุประสงค์ของธุรกิจในมุมมองต่าง ๆ

ก่อนที่ผมจะอธิบายในเชิงลึกต่อไป ผมจึงใคร่ขอย้อนกลับไปในมุมมองเบื้องต้นของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ บางมุมมอง เพื่อทบทวนความเข้าใจของท่านผู้อ่านในวันนี้ ดังนี้ครับ…

การนำคอมพิวเตอร์มาใช้อย่างแพร่หลายของกิจการต่าง ๆ ในปัจจุบันได้ก่อให้เกิดผลกระทบในด้านต่าง ๆ ซึ่งรวมทั้งงานตรวจสอบองค์กรที่ระบบงานต่าง ๆ ประมวลผลด้วยคอมพิวเตอร์ ผู้ตรวจสอบจึงควรได้ทราบถึงวิวัฒนาการของการตรวจสอบกิจการที่นำคอมพิวเตอร์มาใช้ในงานด้านต่าง ๆ การเปลี่ยนแปลงวัตถุประสงค์ ขอบเขต และแนวการตรวจสอบ ตั้งแต่อดีตจนถึงปัจจุบันที่เกิดขึ้นแล้วแนวโน้มการเปลี่ยนแปลงในอนาคต และแนวความคิดในการพัฒนาการตรวจสอบ ให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่เป็นไปอย่างรวดเร็ว และแนวความคิดในการพิจารณาความเสี่ยงเพื่อการเข้าถึงจุดควบคุมหลักต่าง ๆ ที่เกี่ยวข้องกับ Risk IT และ IT Risk (ซึ่งมีความหมายแตกต่างกัน) ที่มีผลต่อ Business Risk ในมุมมองต่าง ๆ จะมีประโยชน์ในการวางแผนและการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ประมวลข้อมูล

ผู้ตรวจสอบกับการเปลี่ยนแปลงทางเทคโนโลยีที่เกี่ยวกับการบันทึกข้อมูล
ในฐานะผู้ตรวจสอบเมื่อมีการเปลี่ยนแปลงใหม่ ๆ เกิดขึ้น ย่อมรู้สึกว่ามีปัญหา เช่น เดิมมนุษย์เคยบันทึกข้อมูลไว้บนก้อนหิน เมื่อต่อ ๆ มารู้จักทำกระดาษ รู้จักเย็บเป็นเล่ม รู้จักทำเป็นแผ่น Ledger Card หรือแบบฟอร์มต่าง ๆ ก็บันทึกข้อมูลบนสิ่งเหล่านี้แทน ในปัจจุบันเราสามารถบันทึกข้อมูลบนสื่อข้อมูลต่าง ๆ เช่น Magnetic Tap, Magnetic Disk, Floppy Disk ฯลฯ

ทุกครั้งที่มีการเปลี่ยนแปลงก็เกิดข้อสงสัยเกี่ยวกับความเชื่อถือในวิธีการบันทึกแบบใหม่ ๆ ทั้งในเรื่องการรักษาความลับของข้อมูล และความปลอดภัยของสื่อข้อมูล แม้จะถูกคัดค้านในระยะแรก ๆ แม้กระทั่งในปัจจุบัน สำหรับในบางองค์กร แต่การค้นพบเหล่านั้นก็ทำให้วิทยาการและธุรกิจเจริญก้าวหน้าขึ้น ซึ่งอาจสรุปได้ว่า การพัฒนาการตรวจสอบและการตรวจสอบด้านคอมพิวเตอร์ เป็นเรื่องจำเป็นอย่างยิ่งยวดในทุกองค์กร ทั้งในปัจจุบันและในอนาคต

วิชาชีพตรวจสอบก็ถูกผลักดันให้ต้องคิดค้นวิธีการตรวจสอบใหม่ ๆ ที่จะมาประเมิน และทดสอบความถูกต้องของระบบงาน และความเชื่อถือได้ของข้อมูลที่เปลี่ยนแปลงไปตามเทคโนโลยีใหม่ ๆ จึงจำเป็นที่ผู้ตรวจสอบจะต้องติดตามและศึกษาวิธีการตรวจสอบใหม่ ๆ เพื่อทดแทนวิธีการตรวจสอบบางอย่างที่ใช้อยู่เดิม ซึ่งไม่เหมาะสมกับเทคโนโลยีและสภาพแวดล้อมที่มีวิวัฒนาการทางด้านการพัฒนาเทคโนโลยีอย่างรวดเร็วในปัจจุบัน

สภาพการตรวจสอบด้าน IT ในปัจจุบัน
ผู้ตรวจสอบส่วนใหญ่ยังต้องการเพิ่มประสบการณ์ในการตรวจสอบงานที่ประมวลผลด้วยคอมพิวเตอร์มากขึ้น เมื่อเทียบกับระบบงานที่ยุ่งยากซับซ้อนในปัจจุบัน การฝึกอบรมผู้ที่จะมาทำงานด้านนี้มีปัญหาหลายประการ การตรวจสอบที่ทำกันอยู่ในปัจจุบันยังใช้ขอบเขต ทิศทาง และวิธีการที่น่าจะปรับปรุงได้ในหลายประการ เช่น การใช้คอมพิวเตอร์เป็นเครื่องมือช่วยในการตรวจสอบ และการกำหนดแนวทางการตรวจสอบจากความเข้าใจในระบบงานที่ประมวลผลโดยคอมพิวเตอร์ และเทคโนโลยีคอมพิวเตอร์ เช่น Terminal, Offline, Online, Communications, Storage Media, Programming, Database, System ต่าง ๆและการฝังระบบการควบคุม (Embedded) ไว้ในระบบงานอย่างอัตโนมัติตาม Logic ของการบริหารความเสี่ยงทั่วทั้งองค์กร เป็นต้น

สรุปปัญหาที่ได้เกิดขึ้นแล้ว
1. เทคโนโลยีด้านคอมพิวเตอร์ได้พัฒนาเร็วกว่าพัฒนาการทางด้านการตรวจสอบ และการสร้างระบบควบคุม ทั้งที่ผู้ตรวจสอบพยายามชี้ให้ผู้บริหารของกิจการต่าง ๆ เข้ามามีบทบาทในเรื่องการควบคุม แต่ก็ไม่เข้าไปช่วยเหลือในการสร้างระบบควบคุมอย่างจริงจัง ข้อแนะนำต่าง ๆ จากการตรวจสอบ มักจะไม่ได้คำนึงถึงความเห็นของผู้ปฏิบัติงานด้านต่าง ๆ
2. กิจการต่าง ๆ เปลี่ยนไปใช้ระบบงานใหม่ ๆ ที่ยุ่งยากซับซ้อน
3. การตรวจสอบด้านนี้ได้รับความสนใจอย่างจำกัด โดยเฉพาะอย่างยิ่งผู้บริหารระดับสูงที่มีระดับความเข้าใจ และการสนับสนุนที่แตกต่างกันมาก
4. ยังขาดบุคลากรที่มีความรู้และประสบการณ์ด้านนี้
5. ยังขาดวิธีการตรวจสอบที่จะทันกับการเปลี่ยนแปลงที่เกิดขึ้น
6. การตรวจสอบยังขาดการวางแผน และการควบคุมตามฐานความเสี่ยงที่ดี
7. ยังขาดการประสานงานที่ดีระหว่างผู้บริหาร เจ้าของงาน เจ้าหน้าที่ IT และผู้ตรวจสอบ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

กุมภาพันธ์ 2, 2010

สวัสดีครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ในวันนี้ก็จะเป็นหัวข้อสุดท้ายแล้วนะครับ ซึ่งเป็นเกณฑ์ที่กล่าวถึง ระบบที่สนับสนุนการบริหารการจัดการสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร ไปติดตามกันเลยครับว่าเกณฑ์ดังกล่าวจะมีแนวทางอย่างไรในการนำไปปฏิบัติ

2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กร

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ และผู้มีส่วนได้ส่วนเสียภายในองค์กร เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.6.1 การลดขั้นตอนและการอำนวยความสะดวกแก่พนักงานและผู้รับบริการภายในองค์กร

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในกระบวนงานภายในขององค์กร โดยสามารถนำมาใช้สนับสนุนการปฏิบัติงานขององค์กรได้ ซึ่งสามารถลดระยะเวลา / ลดขั้นตอน การปฏิบัติงานภายในองค์กรได้ เช่น ระบบการจองห้องประชุม ระบบการลาหยุด ซึ่งสามารถลดขั้นตอนโดยส่งผ่านถึงผู้มีอำนาจอนุมัติโดยตรง โดยไม่ต้องส่งผ่านตัวกลาง หรือ ลดแบบฟอร์มกระดาษ ซึ่งผู้ยื่นเรื่องสามารถทราบผลการพิจารณาได้ด้วยตัวเอง และในเวลาอันรวดเร็ว เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายในโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายในได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายในองค์กร การติดต่อระหว่างหน่วยงานภายในรัฐวิสาหกิจได้หลายช่องทาง

ระบบสารสนเทศสามารถนำเข้ามาช่วยในการสื่อสารภายในองค์กรได้อย่างรวดเร็ว โดยสามารถนำมาถ่ายทอดนโยบาย ข้อมูลสำคัญต่าง ๆ จากระดับบนสู่ระดับล่าง (ระดับผู้บริหาร สู่ ระดับพนักงาน) และในทางกลับกันก็สามารถรับฟังความคิดเห็น หรือรับข้อมูลสำคัญจากระดับล่างขึ้นสู่ระดับบนได้ จากความสำเร็จของระบบเครือข่ายอินเตอร์เน็ต ทำให้องค์กรส่วนหนึ่งได้นำเทคโนโลยีนี้ไปใช้สำหรับบุคลากรภายในองค์กรเอง เรียกว่า ระบบอินทราเน็ต (Intranet) ซึ่งเป็นระบบปิดที่ให้บริการสื่อสาร การปฏิบัติงานร่วมกัน และการอำนวยการเฉพาะภายในองค์กร โดยความสามารถในการเผยแพร่ข้อมูลผ่านระบบดังกล่าว ทำให้ขอบเขตการบริหารงานขยายตัวออกไปมาก ผู้บริหารสามารถใช้จดหมายอิเล็กทรอนิกส์ เอกสารเว็บ (Web documents) และซอฟต์แวร์กลุ่ม (work-group software) ในการสื่อสารกับพนักงานนับพันคนได้บ่อยเท่าที่ต้องการ หรือแม้แต่ใช้ในการสื่อสารกับกลุ่มพนักงานที่ออกไปทำหน้าที่เฉพาะด้านที่อยู่ไกลออกไปมาก

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการภายในองค์กรสามารถติดต่อกันได้หลายช่องทาง และให้บริการด้วยความรวดเร็ว รวมทั้ง มีความสะดวกในการใช้บริการระหว่างหน่วยงาน และเกิดความเข้าใจภายในองค์กรเอง และสนับสนุนการดำเนินงานขององค์กร รวมทั้งถ่ายทอดนโยบาย ข่าวสาร และข้อมูลสำคัญต่าง ๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ และการติดต่อระหว่างหน่วยงานภายในรัฐวิสาหกิจได้หลายช่องทาง และมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มีระบบกระจายข่าวสาร/ข้อมูลให้เหมาะสมเฉพาะกลุ่ม/ฝ่าย
– ในแต่ละฝ่ายจะสามารถ distribute ข่าวสารกันภายในฝ่ายได้

2.6.2 การนำระบบสารสนเทศมาใช้เพื่อลดต้นทุนการผลิตหรือต้นทุนการให้บริการ

ระบบสารสนเทศที่เกี่ยวข้องกับการผลิต อาจเชื่อมโยงถึงระดับการวางกลยุทธ์ โดยระบบฯ จะช่วยเหลือในการจัดเตรียมวัตถุประสงค์ของการผลิตสินค้าในระยะยาว เช่น การหาสถานที่ตั้งโรงงานใหม่ หรือการให้ข้อมูลเกี่ยวกับการใช้เทคโนโลยีการผลิตแบบใหม่
ในระดับผู้บริหารงาน ระบบฯ ช่วยวิเคราะห์และตรวจสอบค่าใช้จ่าย และการใช้ทรัพยากรในการผลิตสินค้า
ระดับผู้ชำนาญการ ระบบฯ สร้างและเผยแพร่แบบสินค้าใหม่ ๆ หรือความรู้ที่เกี่ยวข้องกับการผลิต
ในระดับผู้ปฏิบัติการ ระบบฯ จะสนับสนุนการติดตามสถานะการทำงานในกระบวนการผลิต

แนวทางโดยสรุป : การนำระบบสารสนเทศเพื่อเพิ่มประสิทธิภาพหรือช่วยลดต้นทุนของการผลิต / การให้บริการ ซึ่งผลที่ได้สามารถสะท้อนถึงต้นทุนการผลิต / การให้บริการอย่างเป็นรูปธรรม

ตัวอย่าง : รัฐวิสาหกิจที่เกี่ยวข้องกับการผลิตสินค้า อาจนำระบบฯ มาใช้เพื่อช่วยในการสั่งซื้อสินค้าแต่ละครั้งให้สอดคล้องตามปริมาณการใช้งาน หรือเพื่อให้มีราคาต่ำสุด (Economic order quantity) หรือกรณีที่ค่าใช้จ่ายส่วนใหญ่ขององค์กรเป็นการบริหารงาน อาจนำระบบฯ มาช่วยในการปรับปรุงการทำงานให้มีประสิทธิภาพและลดระยะเวลาการทำงาน ทำให้สามารถลดบุคลากรและค่าใช้จ่ายของวัสดุสำนักงาน ซึ่งทำให้องค์กรสามารถประหยัดค่าใช้จ่ายในส่วนนี้ได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการนำระบบสารสนเทศเข้ามาช่วยในการลดต้นทุน ซึ่งเป็นต้นทุนหลัก/ค่าใช้จ่ายหลักขององค์กร โดยเห็นผลที่เกิดขึ้นได้อย่างชัดเจน
– มีการประเมินความคุ้มค่าของระบบสารสนเทศที่นำมาใช้ทั้งในเชิงปริมาณและเชิงคุณภาพ

2.6.3 ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้

ระบบ Back Office คือ ระบบที่ประกอบฟังก์ชันงานหลักในส่วนของการบริหารจัดการภายในองค์กร เช่น ระบบคงคลัง ระบบงานการเงินและระบบงานบัญชี ระบบทรัพยากรมนุษย์ ระบบงานการผลิต และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูลหลักขององค์กร และมีการเชื่อมโยง และ Share ข้อมูลระหว่างหน่วยงานอื่นภายในองค์กรได้ โดยที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล

แนวทางโดยสรุป : ระบบ Back Office ที่สามารถ Share ข้อมูลระหว่างหน่วยงานภายในได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ภายในองค์กร ซึ่งมีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดี เพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– สามารถ Share ข้อมูลระหว่างหน่วยงานภายในองค์กรได้
– สามารถ Share ข้อมูลระหว่างฝ่าย/บุคคลอย่างเหมาะสม
– มี Security ที่ดีในการเข้าถึงข้อมูล และเห็นข้อมูลได้เฉพาะตามสิทธิ์ที่มี

2.6.4 การนำระบบสารสนเทศเพื่อสนับสนุนให้เป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

ระบบสารสนเทศสามารถช่วยส่งเสริมด้านการเรียนรู้ได้อย่างสะดวก โดยเฉพาะอย่างยิ่งในสภาวะแวดล้อมที่มีความเปลี่ยนแปลงอย่างรวดเร็ว จึงมีความจำเป็นต้องให้บุคลากรเรียนรู้สิ่งใหม่ ๆ โดยอาศัยช่องทางของระบบฯ ที่มีจุดเด่นในความคล่องตัวในการเผยแพร่ และเข้าถึงจากจุดต่าง ๆ รวมถึงความรวดเร็วในการปรับเปลี่ยนเนื้อหา นอกจากนี้ ยังประยุกต์ให้สามารถใช้เป็นเครื่องมือในการสะสม และรวมรวมข้อมูลความรู้ความชำนาญของบุคคลให้คงอยู่ภายในองค์กรได้

แนวทางโดยสรุป : ระบบสารสนเทศที่ช่วยสนับสนุนการรับรู้ข้อมูลข่าวสาร และสามารถประมวลผลความรู้ในด้านต่าง ๆ เพื่อนำมาประยุกต์ใช้ในการดำเนินงานขององค์กรได้อย่างถูกต้อง รวดเร็วและเหมาะสมกับสถานการณ์ รวมทั้ง ต้องส่งเสริมและพัฒนาความรู้ความสามารถ สร้างวิสัยทัศน์ และปรับเปลี่ยนทัศนคติของบุคลากรในองค์กรให้เป็นบุคลากรที่มีประสิทธิภาพ และมีการเรียนรู้ร่วมกัน

ตัวอย่าง :
1. การใช้ระบบเครือข่ายที่มีอยู่และพัฒนาเป็น Web based Training ที่มีหลักสูตรที่หลากหลายและสามารถเข้าใช้ได้ตลอดเวลา
2. ใช้หลักสูตรแบบโปรแกรมสำเร็จรูปที่ช่วยในการฝึกอบรมเพื่อให้ความเข้าใจมากขึ้น
3. สำหรับองค์กรที่มีบุคลากระจัดกระจายตามที่ต่าง ๆ อาจใช้ระบบ e-learning มาปรับใช้ให้เหมาะสม
4. การจัดทำห้องสมุดอิเล็กทรอนิกส์เพื่อให้เกิดความสะดวกในการเข้าใช้บริการ
5. ทางด้านการเผยแพร่ความรู้อาจมีการเขียนบทความภายในและขึ้นตามเว็บไซต์ภายในของแต่ละฝ่ายเพื่อเป็นการถ่ายทอดความรู้ทั้งภายในและภายนอกองค์กร

สำหรับหัวข้อของ CG & ITG และองค์ประกอบที่เกี่ยวข้องนี้ ผมจะนำเสนออะไรในครั้งหน้า โปรดติดตามต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หากองค์กรหรือประเทศไม่ได้กำหนดวิสัยทัศน์ / ทิศทาง ที่ต้องการก้าวเดิน เพื่อความสำเร็จในอนาคต องค์กรจะกำหนดกลยุทธ์และแผนการดำเนินงานอย่างไร ติดตามตรวจสอบได้อย่างไร

มกราคม 30, 2010

ท่านผู้อ่านลองคิดดูสิครับว่า หากท่านเป็นผู้บริหารองค์กร หรือเป็นคณะกรรมการชุดต่าง ๆ ท่านจะมีแนวทางบริหารและกระบวนการจัดการอย่างไร จึงจะสามารถแน่ใจได้อย่างสมเหตุสมผลว่า แผนการดำเนินงานของท่านจะเป็นไปตามกลยุทธ์ เพื่อก้าวไปสู่เป้าหมายในอนาคตได้อย่างถูกต้อง มีทิศทางได้อย่างมีคุณภาพหรือไม่ หากขาดการกำหนดวิสัยทัศน์ หรือพันธกิจ ที่จะใช้เป็นเข็มทิศในการดำเนินงาน?

ความเข้มแข็งในการบริหารองค์กรและประเทศแบบบูรณาการ

ท่านลองดูแผนภาพด้านบนนี้นะครับ ท่านจะได้คำตอบ หรืออาจมีคำถามที่น่าสนใจว่า เราจะบริหารองค์กรหรือประเทศอย่างบูรณาการได้อย่างไร จะมีประสิทธิผล ประสิทธิภาพเพียงใด จะมีการติดตามและตรวจสอบกันอย่างไรว่า องค์กรหรือประเทศของเราอยู่ในเส้นทาง หรือระดับความคาดหวังที่ผู้มีผลประโยชน์ร่วมในระดับองค์กร หรือในระดับประเทศ พึงประสงค์และคาดหวังไว้

ในแนวทางการบริหารยุคใหม่ ที่ต้องการบริหารในลักษณะหลอมรวม หรือเป็นพวง กระบวนการจัดการต่าง ๆ ที่เรียกว่า GRC – Governance + Risk Management + Compliance ซึ่งเป็นการบริหารและการขับเคลื่อนในลักษณะ Integrity Driven Performance โดยใช้ทรัพยากรอย่างคุ้มค่าและประหยัด ลดความซ้ำซ้อนในกระบวนการทำงาน เพื่อขับเคลื่อนองค์กรและประเทศไปสู่การเติบโตอย่างยั่งยืน ที่ผสมผสานกันระหว่างการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยงอย่างเป็นกระบวนการ และการปฏิบัติตามกฎหมาย กฎเกณฑ์ และกติกาของสังคมอย่างเคร่งครัด และได้มาตรฐาน อันเป็นที่ยอมรับได้โดยทั่วไปนั้น น่าจะมีปัญหาในทางปฏิบัติเป็นอย่างมาก

โดยเฉพาะอย่างยิ่ง ในกรณีที่องค์กรหรือประเทศมีทรัพยากรจำกัด ประเทศไทยในปัจจุบันมีงบเพื่อใช้ในการพัฒนาประเทศ เหลือเพียงประมาณร้อยละ 12 ของงบประมาณรายจ่าย ซึ่งนับว่าน้อยมาก เมื่อพิจารณาถึงปัจจัยต่าง ๆ ที่เกี่ยวกับโครงสร้างพื้นฐานการพัฒนาประเทศ หรือ Infrastructure ในเรื่องต่าง ๆ และเมื่อพิจารณาควบคู่กันไปกับภาระรายจ่ายเพื่อสังคม ซึ่งนับวันจะมีเม็ดเงินสูงขึ้นมาก เมื่อเทียบกับรายได้นั้น ยิ่งน่าเป็นห่วง เพราะเม็ดเงินเพื่อการพัฒนาและการลงทุน จะลดน้อยอยู่ในระดับที่น่าใจหาย หรือถ้าหากพิจารณาในมุมมองของการบริหารความเสี่ยงระดับประเทศ หากมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) อย่างเป็นกระบวนการ และตามหลักการด้วยความเข้าใจจริง ๆ ก็จะเห็นภาพในความจำเป็นที่องค์กรหรือประเทศจะต้องกำหนดให้มีวิสัยทัศน์ เพื่อกำหนดทิศทางก้าวเดินไปสู่ความมั่นคงทางด้านต่าง ๆ เช่น ด้านเศรษฐกิจการเงิน ทางด้านการทหาร ทางด้านการเมือง ทางด้านสังคม ความพึงพอใจของสังคมภายในประเทศและระหว่างประเทศ ซึ่งขึ้นกับการกำหนดระดับความสำคัญ หรือน้ำหนักความสำคัญของปัจจัยหลัก ๆ ที่เกี่ยวข้องกัน ซึ่งเราจะนำไปคุยกันในตอนต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มกราคม 29, 2010

ครั้งที่แล้ว ผมได้กล่าวถึงเรื่องของการบริหารความเสี่ยงว่า การบริหารความเสี่ยงขององค์กรจะบรรลุผลสำเร็จหรือไม่ ขึ้นอยู่กับข้อจำกัดต่าง ๆ ที่มีอยู่ในกระบวนการบริหาร รวมถึงการพิจารณาตัดสินใจของผู้บริหารในรายละเอียดต่าง ๆ ที่เกิดขึ้นกันไปแล้ว วันนี้ผมจะมาเล่าให้ฟังว่าคณะกรรมการ คณะกรรมการตรวจสอบ ผู้บริหาร ผู้ตรวจสอบภายใน รวมถึงพนักงานทุกคนในองค์กร มีส่วนทำให้องค์กรบรรลุผลสำเร็จในการบริหารความเสี่ยงขององค์กรได้อย่างไร ไปติดตามบทบาทและการกำกับดูแลการบริหารความเสี่ยงกันครับ

คณะกรรมการบริหารและพนักงานทุกคนในองค์กร มีหน้าที่ในการบริหารความเสี่ยงขององค์กร CEO หรือ ผู้อำนวยการ เป็นผู้รับผิดชอบสูงสุด และอาจถือว่าเป็น “เจ้าของ” งานในการบริหารความเสี่ยงขององค์กร ผู้อำนวยการ ผู้จัดการอื่น ๆ ต้องสนับสนุนปรัชญาเรื่องความเสี่ยง สนับสนุนการปฏิบัติตามความเสี่งที่ยอมรับได้หรือ Risk Appetite และจัดการหน้าที่ต่าง ๆ ที่เป็นองค์ประกอบของการบริหารความเสี่ยงในหน้าที่ที่ได้รับมอบหมาย ตามวัฒนธรรมความเสี่ยงขององค์กรให้เกิดประสิทธิผล

คำจำกัดความ Risk Appetite หรือความเสี่ยงที่ยอมรับได้
– จำนวน หรือข้อความของความเสี่ยงในภาพกว้าง ที่องค์กรสามารถยอมรับได้เพื่อสร้างมูลค่าให้กับผู้มีผลประโยชน์ร่วม
– ใช้เป็นแนวทางในการกำหนดกลยุทธ์องค์กร เพื่อการจัดสรรทรัพยากรอย่างเหมาะสม
– การกำหนด Risk Appetite ขึ้นอยู่กับ
• ปัจจัยภายใน – ระดับของการหลีกเลี่ยงความเสี่ยง
• ปัจจัยภายนอก – ระดับของความไม่แน่นอนของสภาพแวดล้อมทางธุรกิจขององค์กร

แนวทางในการกำหนด Risk Appetite สามารถกำหนดได้จากการพิจารณาถึงประเด็นต่าง ๆ ต่อไปนี้
– ความต้องการของผู้มีผลประโยชน์ร่วม
– วัตถุประสงค์องค์กรเชิงกลยุทธ์
– ปัจจัยการสร้างมูลค่าองค์กร
– ความเสี่ยงที่อาจส่งผลต่อวัตถุประสงค์ขององค์กร

บุคลากรอื่น ๆ มีหน้าที่ในการกำหนดแนวทางและวิธีการบริหารความเสี่ยงขององค์กร คณะกรรมการบริหารจะเตรียมการดูแลที่สำคัญเรื่องการบริหารความเสี่ยงขององค์กร จำนวนของคณะที่ปรึกษาจากภายนอก จะเป็นผู้ให้ข้อมูลข่าวสารที่เป็นประโยชน์ในการบริหารความเสี่ยงขององค์กร อย่างไรก็ตามคณะบุคคลจากภายนอก เช่น บริษัทที่ปรึกษาด้านบริหารความเสี่ยง ที่ปรึกษา ผู้ตรวจสอบภายนอก ฯลฯ ไม่ได้มีความรับผิดชอบในประสิทธิผลของการบริหารความเสี่ยงขององค์กร แต่สามารถช่วยองค์กรให้บรรลุเป้าหมายตามที่ต้องการได้

โครงสร้างการบริหารความเสี่ยงขององค์กรทั่วไป
โครงสร้างการบริหารความเสี่ยงของแต่ละองค์กรนั้น ไม่มีรูปแบบที่เป็นมาตรฐานเพียงแบบเดียว หากต้องมีการปรับใช้ให้เหมาะสมกับแต่ละองค์กร โดยพิจารณาจากวัฒนธรรม ความซับซ้อนของการดำเนินงาน ประเภทของธุรกิจ และลักษณะของธุรกิจเป็นองค์ประกอบ

อย่างไรก็ตาม สิ่งที่สำคัญของโครงสร้างการบริหารความเสี่ยง คือการที่คณะกรรมการและผู้บริหารทุกระดับมีบทบาท และมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยงขององค์กร

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลขององค์กร จะช่วยในการประเมิน ควบคุม และติดตามความเสี่ยงของแต่ละหน่วยธุรกิจ/หน่วยงาน และทำให้เกิดความมั่นใจการปฏิบัติงานในการบริหารความเสี่ยงที่ได้ผล

โครงสร้างการบริหารความเสี่ยงที่มีประสิทธิผลควรประกอบด้วย
– คณะกรรมการหรือ อนุกรรมการที่มีความรับผิดชอบโดยตรงในการกำกับดูแลการบริหารความเสี่ยง
– คณะกรรมการบริหารความเสี่ยงที่ได้รับการแต่งตั้งให้ทำหน้าที่ในการพัฒนาการบริหารความเสี่ยง อย่างน้อยควรประกอบด้วยผู้บริหารระดับสูงขององค์กร เช่น กรรมการผู้จัดการ และรองกรรมการผู้จัดการ
– หน่วยงานหรือผู้รับผิดชอบในการนำเอาวิสัยทัศน์ขององค์กรในส่วนที่เกี่ยวกับการบริหารความเสี่ยงไปกำหนดเป็นนโยบายและปฏิบัติ

บทบาทและความรับผิดชอบในการบริหารความเสี่ยง
บุคคลที่ได้รับมอบหมายให้รับผิดชอบในการจัดการความเสี่ยงในแต่ละเรื่อง ควรมีคุณสมบัติดังนี้
– สามารถทบทวนประสิทธิภาพของแนวปฏิบัติการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน
– สามารถจัดให้มีกิจกรรมต่าง ๆ ดังต่อไปนี้ได้อย่างมีประสิทธิภาพและประสิทธิผล
• การกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
• การประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการความเสี่ยงในปัจจุบันแล้ว
• การกำหนดเวลาที่แน่นอนในแต่ละขั้นตอนการดำเนินการให้เป็นไปตามแผนที่กำหนดไว้

บทบาทหน้าที่ของผู้บริหารความเสี่ยง

คณะกรรมการบริหารขององค์กร
– กำหนดนโยบายและกลยุทธ์การบริหารความเสี่ยงที่สำคัญ
– สอบทานความเสี่ยง ติดตาม และประเมินผลการบริหารความเสี่ยงในภาพรวม
– มีความเข้าใจถึงความเสี่ยงที่อาจมีผลกระทบร้ายแรงต่อองค์กร และทำให้มั่นใจว่ามีการดำเนินการที่เหมาะสมเพื่อจัดการความเสี่ยงนั้น ๆ
– ให้ข้อเสนอแนะ ให้ความเห็นชอบในการบริหารความเสี่ยงขององค์กร

คณะกรรมการตรวจสอบองค์กร
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมเพื่อจัดการความเสี่ยงทั่วทั้งองค์กร
– กำกับดูแลและติดตามการบริหารความเสี่ยงอย่างเป็นอิสระ
– ติดตามประสิทธิภาพการทำงานของหน่วยงานตรวจสอบภายใน ในลักษณะติดตามการตรวจสอบตามฐานความเสี่ยง
– รายงานต่อคณะกรรมการและผู้มีผลประโยชน์ร่วมเกี่ยวกับประสิทธิภาพและประสิทธิผลของการควบคุมภายใน
– การสอบทานแผนการบริหารความเสี่ยง
– ให้ข้อเสนอแนะการบริหารความเสี่ยง
– สื่อสารกับคณะกรรมการบริหารความเสี่ยง เพื่อให้เข้าใจความเสี่ยงที่สำคัญ และเชื่อมโยงกับการควบคุมภายใน

คณะกรรมการหรืออนุกรรมการบริหารความเสี่ยง
– พิจารณาและกำหนดนโยบาย โครงสร้าง และกรอบการจัดวางระบบการบริหารความเสี่ยงขององค์กร
– กำหนดกรอบการจัดวางระบบการควบคุมภายในให้เป็นไปตามมาตรฐานการควบคุมภายใน ตามระเบียบคณะกรรมการตรวจเงินแผ่นดิน (คตง.) และของกระทรวงการคลัง หรือหน่วยงานภาครัฐที่เกี่ยวข้อง
– กำกับดูแล และสนับสนุนให้ทุกส่วนงานขององค์กร มีระบบการควบคุมภายในตามระเบียบ คตง. หรือหน่วยงานภาครัฐที่เกี่ยวข้อง และมีกระบวนการบริหารความเสี่ยงของส่วนงาน
– กำหนดระดับความเสี่ยงที่สามารถยอมรับได้ และกำหนดกรอบการบริหารความเสี่ยง
– พิจารณาความเสี่ยงที่มีนัยสำคัญ และใช้วิธีจัดการความเสี่ยงอย่างมีประสิทธิภาพและประสิทธิผล
– ติดตามดูแลการพัฒนาระบบการควบคุมภายใน และระบบการบริหารความเสี่ยงขององค์กร
– ติดตามกระบวนการบ่งชี้และประเมินความเสี่ยง
– นำแผนการบริหารความเสี่ยงทั่วทั้งองค์กรไปสู่การปฏิบัติ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าหมายได้อย่างมีคุณภาพ และสอดคล้องกับหลักการบริหารความเสี่ยงทั่วทั้งองค์กร
– พิจารณารายงานที่เกี่ยวกับการควบคุมภายใน และการบริหารความเสี่ยง
– สนับสนุนให้ผู้บริหาร และพนักงานมีความตระหนักถึงความสำคัญของการควบคุมภายใน และการบริหารความเสี่ยง
– ติดตาม และประเมินความเพียงพอ ประสิทธิภาพ และประสิทธิผลของการจัดการความเสี่ยงในแต่ละด้าน และให้ข้อแนะนำเพื่อปรับปรุงแก้ไขการจัดการความเสี่ยง
– รายงานต่อคณะกรรมการเกี่ยวกับความเสี่ยง และการจัดการความเสี่ยง
– สื่อสารกับคณะกรรมการตรวจสอบเกี่ยวกับความเสี่ยงที่สำคัญ

ผู้อำนวยการสำนักงาน/กรรมการผู้จัดการ
– ติดตามความเสี่ยงที่สำคัญทั้งองค์กร และทำให้มั่นใจได้ว่ามีแผนการจัดการที่เหมาะสม
– ส่งเสริมนโยบายการบริหารความเสี่ยง และทำให้มั่นใจว่ากระบวนการบริหารความเสี่ยงได้รับการปฏิบัติทั่วทั้งองค์กร

รองผู้อำนวยการสำนักงาน/รองกรรมการผู้จัดการ
– ติดตามความเสี่ยงทางกลยุทธ์ และความเสี่ยงด้านการปฏิบัติการที่สำคัญ และทำให้มั่นใจได้ว่ามีแผนการจัดการความเสี่ยงที่เหมาะสม
– ส่งเสริมวัฒนธรรมการบริหารความเสี่ยง และทำให้มั่นใจได้ว่า ผู้อำนวยการฝ่ายให้ความสำคัญกับการบริหารความเสี่ยงในฝ่ายของตน

ผู้อำนวยการฝ่าย
– ทำให้มั่นใจว่าการปฏิบัติงานรายวันมีการประเมิน จัดการและรายงานความเสี่ยงอย่างเพียงพอ
– ส่งเสริมพนักงานในฝ่ายงานให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง

หัวหน้างานหรือพนักงาน
– ระบุและรายงานความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานต่อผู้อำนวยการฝ่าย และเข้าร่วมใจการจัดทำแผนจัดการความเสี่ยง และนำแผนไปปฏิบัติ

หน่วยงานหรือผู้รับผิดชอบการบริหารความเสี่ยง
– ปฏิบัติหน้าที่ประจำวันแทนคณะกรรมการบริหารความเสี่ยง
– จัดทำนโยบายความเสี่ยง กรอบและกระบวนการให้กับหน่วยธุรกิจ/หน่วยงาน และเสนอคณะกรรมการบริหารความเสี่ยงเพื่ออนุมัติ
– ให้การสนับสนุนและแนะนำกระบวนการบริหารความเสี่ยงแก่หน่วยงานต่าง ๆ ภายในองค์กรตามที่มีการร้องขอ

ผู้ตรวจสอบภายใน
– ทำให้มั่นใจว่ามีการควบคุมภายในที่เหมาะสมต่อการจัดการความเสี่ยงและการควบคุมเหล่านั้นได้รับการปฏิบัติตามภายในองค์กร
– ทำให้มั่นใจว่าได้มีการนำระบบการบริหารความเสี่ยงมาปรับใช้อย่างเหมาะสมและมีการปฏิบัติตามทั่วทั้งองค์กร
– สอบทานการปฏิบัติงานของหน่วยงานการบริหารความเสี่ยงและการปฏิบัติงานของ Risk Manager ทุกหน่วยงาน โดยเฉพาะอย่างยิ่ง การบริหารแผนงานและโครงการ
– สื่อสารกับหน่วยงานการบริหารความเสี่ยง เพื่อทำความเข้าใจเกี่ยวกับความเสี่ยง และดำเนินการตรวจสอบภายในตามแนวความเสี่ยง
– รายงานผลการบริหารความเสี่ยงและการควบคุมภายในตามฐานความเสี่ยงให้กับคณะกรรมการตรวจสอบ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบ IT Audit ทางด้าน General Control และ Application Control (ต่อ)

มกราคม 24, 2010

ครั้งนี้ ผมตั้งใจจะนำเสนอการตรวจสอบทางด้าน Application Control ในองค์กรที่ใช้คอมพิวเตอร์ แต่ก่อนจะถึงเรื่อง Application Control ที่ใช้คอมพิวเตอร์ ผมใคร่ขอทบทวนการตรวจสอบ IT Audit ทางด้าน General Control อีกสักเล็กน้อยนะครับว่า มุมมองทางด้าน General Control กับ Application Control มีความสัมพันธ์และเกี่ยวข้องกันด้วยเสมอ เพราะหาก General Control มีจุดอ่อน จะมีผลกระทบต่อ Application Control อย่างหลีกเลี่ยงไม่ได้ ในทุกมุมมองที่เกี่ยวข้อง คือ Input – Process – Output

ท่านลองดูแผนภาพสรุปในบางมุมมองของ General Control และ Application Control ในองค์กรที่ใช้คอมพิวเตอร์ และโปรดทบทวนคำอธิบายเรื่อง IT Audit ที่ได้กล่าวมาตั้งแต่ต้น ท่านจะพบกับความท้าทายในรูปแบบต่าง ๆ ที่ต้องใช้ทักษะและศักยภาพในองค์ความรู้ที่เกี่ยวข้องกับ IT และ Business ซึ่งแยกกันไม่ได้เช่นกัน เพราะ Process ของการขับเคลื่อน Business Objective จะอาศัยเทคโนโลยีที่ไปขับเคลื่อน Business Process จาก IT Activities ในมุมมองต่าง ๆ ที่เกี่ยวข้องต่อไป

Understanding Controls on IT Environment

Understanding Controls on IT Environment

การผสมผสานองค์ความรู้ที่เกี่ยวข้อง ในการตรวจสอบของผู้ตรวจสอบและของผู้กำกับงานตรวจสอบ ทางด้าน IT และทางด้าน Manual จึงควรเข้าใจการบริหารและการจัดการองค์กรที่ต้องอาศัย IT ในภาพโดยรวม โดยเฉพาะอย่างยิ่ง หากนำหลักการของ GRC (Governance + Risk Management + Compliance) มาประยุกต์ใช้ในภาพโดยรวม ซึ่งเป็นการขับเคลื่อน Business Process ในลักษณะ Integrity – Driven Performance ซึ่งท่านที่สนใจสามารถติดตามได้จากหัวข้อที่เกี่ยวข้องในเว็บนี้

ผมใคร่ขอย้ำว่า การกำหนดขอบเขตการตรวจสอบ เพื่อให้ได้เป้าประสงค์ของการตรวจสอบในเวลาที่ต้องการ เป็นสิ่งที่ผู้ตรวจสอบต้องเข้าใจถึงองค์ประกอบที่เกี่ยวข้องเป็นอย่างมาก เพื่อให้การตรวจสอบมุ่งตรงประเด็น และเป็นไปตามการปฏิบัติอย่างที่ได้รับมอบหมาย ซึ่งอาจต้องใช้เทคนิคผสมผสาน ระหว่างการตรวจสอบเต็มรูปแบบ (Formal) และการตรวจสอบเป็นเรื่อง ๆ หรือดำเนินการในลักษณะของ Surprise Check ได้ เช่น การตรวจสอบทางด้าน IT Process ตามหลักการของ CobiT มี 4 Domain นั้น วัตถุประสงค์ในการตรวจสอบทางด้าน IT Process ต้องการเน้นเรื่องใด หรือ Domain ใด ใน 4 Domain หลักทางด้าน IT Process ซึ่งประกอบไปด้วย Planning and Organization หรือ Domain อื่น ซึ่งจะเกี่ยวข้องกับ Business Requirement ตามคุณลักษณะ 7 ประการ ของ CobiT หรือจะประเมินจุดอ่อน และความเสี่ยงจาก IT Resource ซึ่งมีองค์ประกอบ 5 ประการที่เกี่ยวเนื่องกันตามที่แสดงไว้ในแผนภาพ และอธิบายไว้ในหัวข้อนี้เมื่อวันที่ 7 มกราคม 2553 เป็นต้น

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

มกราคม 22, 2010

สวัสดีครับท่านผู้บริหาร ผู้ตรวจสอบ และผู้อ่านทุกท่าน สำหรับการประเมินผลการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ปี 2553 นี้ จะมีเกณฑ์ในการพิจารณาที่ี่เกี่ยวข้องกับการจัดการระบบสารสนเทศอยู่หลายด้านด้วยกัน ซึ่งผมได้นำเสนอประเด็นที่จะต้องพิจารณากันไปแล้ว ในด้านของระบบสารสนเทศที่สนับสนุนการบริหารจัดการ ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน

วันนี้ผมจะำนำเสนอต่อในด้านของระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียจากภายนอกองค์กร และนโยบายต่าง ๆ ของรัฐบาล ที่องค์กรจะต้องพิจารณาและนำไปปฏิบัิติเืพื่อให้ได้ตามเกณฑ์การประเมินผลฯ ปี 2553 กันครับ

2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายนอกองค์กร รวมถึงนโยบายต่างๆ ของรัฐบาล

ระบบสารสนเทศที่ตอบสนองต่อความต้องการผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่างๆ ของรัฐบาล เป็นส่วนหนึ่งของการประเมินระบบสารสนเทศที่สนับสนุนการดำเนินงานตามพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ซึ่งประกอบด้วย

2.5.1 การลดขั้นตอนและการอำนวยความสะดวกแก่ผู้รับบริการ / ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน

• การลดระยะเวลาในการให้บริการแก่ผู้ใช้บริการ / อนุมัติ / อนุญาต

เป็นระบบสารสนเทศหรือเทคโนโลยีใดก็ตามที่นำมาใช้ในการสนับสนุนรัฐวิสาหกิจเพื่อที่จะสามารถลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ เพื่อก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงาน และได้รับความพึงพอใจจากผู้ใช้บริการ

กระบวนการในการที่จะนำระบบหรือเครือข่ายสารสนเทศ (Application Program and Information Network) เข้ามาใช้ในการลดระยะเวลาในการให้บริการนั้น มีอยู่หลายวิธีด้วยกัน เช่น การนำระบบคอมพิวเตอร์มาช่วยลดขั้นตอนการทำงาน ระบบคอมพิวเตอร์ที่สามารถตรวจสอบความถูกต้องจากข้อมูลของผู้ใช้บริการ และสามารถที่จะสรุปได้ว่าควรให้ดำเนินการต่อหรือไม่ควรให้ดำเนินการต่อ หรือการใช้เครือข่ายต่างๆ (Internet / Extranet) เข้ามาเชื่อมต่อ หากลักษณะของการให้บริการสามารถให้บริการผ่านเครือข่ายได้ ทำให้ลดระยะเวลา ระยะทาง ฯลฯ ดังเช่นการขอข้อมูลจากกรมทะเบียนการค้า ซึ่งมีข้อมูลให้บริการดาว์นโหลดผ่านทางอินเทอร์เน็ต เป็นต้น

แนวทางโดยสรุป : การนำระบบหรือเทคโนโลยีสารสนเทศเข้ามาใช้สนับสนุนในการลดระยะเวลาในการให้บริการ / อนุมัติ / อนุญาต แก่ผู้ใช้บริการได้ โดยมีการกำหนดว่าจะลดในขั้นตอนใด เป็นเวลาเท่าไร ทำให้ผู้ใช้บริการเกิดความพึงพอใจ เกิดผลสัมฤทธิ์ และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : การมีระบบบริการแบบอัตโนมัติซึ่งผู้ใช้บริการจะได้รับคำตอบและใช้บริการจากระบบได้ด้วยตนเอง ไม่ต้องใช้เจ้าหน้าที่คอยให้บริการ หรืออาจจะบริการแบบกึ่งอัตโนมัติ ประชาชน บริษัทเอกชน และหน่วยงานอื่นๆ สามารถเชื่อมโยงเข้ามาใช้บริการได้ทั้งทาง Intranet/Internet ซึ่งจากเดิมต้องเดินทางมาใช้บริการที่องค์กร ซึ่งอาจจะต้องใช้เวลาประมาณ 2-3 ชั่วโมง ซึ่งเมื่อนำระบบบริการแบบอัตโนมัติมาใช้ ทำให้สามารถลดเวลาในการดำเนินการได้ เหลือแค่ครึ่งชั่วโมง เป็นต้น ดังตัวอย่างจากบริษัท GUESS ที่ผลิตและขายเสื้อผ้าประเภทยีนส์ โดย GUESS ใช้ระบบและอุปกรณ์ Network ของ Cisco System ซึ่งใช้สำหรับสร้างเครือข่ายภายในบริษัท และอินเทอร์เน็ต สำหรับติดต่อกับ ลูกค้า กับ Supplier และใช้ Software ของ PeopleSoft และ Commerce One ในการสร้าง Website Apparel Buying Network (www.Apparelbuy.com) ซึ่งมีระบบที่เรียกว่า Guess’s core order processing system ทำให้ทั้งลูกค้า ร้านค้าขายปลีก รวมทั้ง Supplier สามารถติดต่อบริษัท ทั้งในเรื่องของการสั่งซื้อสินค้า การตรวจสอบ Catalog สินค้า และการจัดส่งได้ตลอด 24 ชั่วโมง ผ่านทางเว็บไซต์ของบริษัทได้ ส่งผลให้บริษัทสามารถเพิ่มยอดบริการ ยอดขาย รายได้ และลดต้นทุนในส่วนของกระบวนการสั่งซื้อสินค้า และอื่นๆ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการลดระยะเวลาการให้บริการได้ในส่วนของผู้ใช้บริการภายนอกโดยเห็นผลอย่างชัดเจนและมีการสำรวจหรือหลักฐานอ้างอิงว่าผู้ใช้บริการภายนอกได้มีความพึงพอใจ

• ความสะดวกในการให้บริการ เช่น การนำระบบสารสนเทศเข้ามาช่วยการสื่อสารภายนอกองค์กร การติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง หรือ การให้บริการ Online

ระบบสารสนเทศที่สามารถนำเข้ามาช่วยในการให้บริการผู้รับบริการภายนอกองค์กร (ประชาชน ลูกค้า ผู้ใช้บริการ หรือบริษัทคู่ค้า ฯลฯ) ได้อย่างรวดเร็ว รวมทั้งระบบสารสนเทศที่ช่วยในการสื่อสารภายนอกองค์กร โดยการสื่อสารระหว่างกันนั้น ข้อมูลสามารถถูกส่งออกไปได้ยังส่วนต่าง ๆ อย่างง่ายดาย ซึ่งองค์กรต่าง ๆ มีแนวโน้มที่จะเปลี่ยนรูปแบบการดำเนินธุรกิจมาเป็นแบบนี้มากขึ้นทุกขณะ เพื่อความสะดวกในการบริการจัดการและความสัมพันธ์ที่ดีกับลูกค้า

แนวทางโดยสรุป : เพื่อให้ผู้ใช้บริการสามารถติดต่อกับรัฐวิสาหกิจได้หลายช่องทาง และให้บริการผ่านทางช่องทางอิเล็กทรอนิกส์ด้วยความรวดเร็ว รวมทั้งมีความสะดวกในการใช้บริการ และสามารถสื่อสารกับภายนอกองค์กรเพื่อเป็นการให้ข้อมูลกับผู้มีส่วนได้เสียให้เกิดความเข้าใจ รวมทั้งการแจ้งข่าวสาร การประชาสัมพันธ์ต่างๆ นอกจากนี้ยังรวมถึงการประสานงานกับภายนอกองค์กรเพื่อให้การดำเนินงานมีประสิทธิภาพมากขึ้น
ตัวอย่าง : การแจ้งข้อมูลข่าวสารให้ผู้สนใจหรือผู้รับบริการทราบผ่านทาง e-mail และเว็บไซต์อย่างสม่ำเสมอ รวมถึงการเชื่อมโยงข้อมูลสำหรับการสื่อสารกับบริษัทคู่ค้าได้โดยตรงโดยไม่ต้องใช้สื่อตัวกลางและขั้นตอนการสื่อสารตัวกลางที่มีประสิทธิภาพต่ำทั้งหลาย นอกจากนี้องค์กรสามารถจัดตั้งเว็บไซต์ที่ทำงานและพร้อมให้บริการแก่ลูกค้าได้ตลอดเวลา

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการให้ความสะดวก Stakeholder เท่าที่พึงกระทำได้ โดยการให้บริการ Online และการติดต่อรัฐวิสาหกิจได้หลายช่องทางและมีการสำรวจหรือหลักฐานอ้างอิงว่าทุก Stakeholder มีความพึงพอใจ
– มี Website (คุณภาพของ Website ประเมินที่ 2.5.4)
– มีระบบ E-mail แจ้งข่าวให้บุคคลภายนอกที่สนใจ หรือ webboard ให้แสดงความคิดเห็น
– มี Call Center

• การเชื่อมโยงข้อมูลกับหน่วยงานอื่นเพื่อลดความซ้ำซ้อนของงาน / เอกสารที่ประชาชนต้องมาติดต่อ

เป็นการเชื่อมโยงข้อมูลกับหน่วยงานอื่น ซึ่งแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล Database Management System (DBMS) ทำให้สามารถแลกเปลี่ยนและใช้ข้อมูลร่วมกันได้ ลดความซ้ำซ้อนในการจัดเก็บของข้อมูล (Data Redundancy) และลดเอกสารที่ประชาชนจำเป็นต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็ว ลดค่าใช้จ่าย และเกิดความพึงพอใจต่อผู้ใช้บริการ

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับจัดเก็บข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงและดึงข้อมูลกับหน่วยงานต่างๆ และแต่ละหน่วยงานจะต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้นด้วย

แนวทางโดยสรุป : การเชื่อมโยงข้อมูลระหว่างรัฐวิสาหกิจกับหน่วยงานอื่น โดยผ่านทางเครือข่ายสารสนเทศ เพื่อทำให้สามารถใช้ข้อมูลร่วมกันได้ และสามารถลดความซ้ำซ้อนของงาน รวมถึงเอกสารที่ประชาชน / ผู้ใช้บริการ ต้องใช้ในการติดต่อ ก่อให้เกิดความสะดวกรวดเร็วในการปฏิบัติงานให้แก่ประชาชน/ผู้ใช้บริการ เกิดผลสัมฤทธิ์และความคุ้มค่าต่อภารกิจของรัฐ ทำให้สามารถดำเนินงานได้ทันต่อสถานการณ์

ตัวอย่าง : บริษัทเอกชนต้องการข้อมูลปริมาณข้าวในแต่ละปีของประเทศไทยที่ผลิตและส่งออกได้ จึงทำการขอข้อมูลจากกระทรวงเกษตร กระทรวงเกษตรจึงดึงข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ แล้วก็ให้ข้อมูลแก่บริษัทเอกชนนั้น เป็นการลดขั้นตอน และเอกสารอื่นๆของทางราชการที่ทางกระทรวงเกษตรต้องใช้ในการขอข้อมูลการส่งออกข้าวจากกรมการค้าต่างประเทศ อีกตัวอย่างได้แก่ระบบ EDI (Electronic Data Interchange) ของกรมศุลกากร ซึ่งเป็นหน่วยงานแรกที่นำระบบ EDI มาใช้ ระบบ EDI เป็นวิธีการดำเนินธุรกิจ ซึ่งทุกกิจกรรมนับตั้งแต่การสั่งสินค้า จนถึงการจ่ายเงินจะกระทำโดยการแลกเปลี่ยนข้อมูลธุรกิจ ผ่านคอมพิวเตอร์ขององค์กรที่เกี่ยวข้อง โดยแทนที่วิธีการเดินเอกสารแบบเดิม ซึ่งจากข้อมูลของกรมศุลกากรในส่วนของประโยชน์ที่ได้รับ คือ สามารถออกของได้รวดเร็ว ลดความผิดพลาดของข้อมูล ลดต้นทุนการบริหารสินค้าคงคลัง ลดค่าใช้จ่ายทางด้านเอกสาร ประหยัดเวลาในการติดต่อ มีระบบข้อมูลข่าวสารที่ทันสมัย และได้เปรียบคู่แข่งที่อยู่นอกระบบ

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการเชื่อมโยงข้อมูลกับหน่วยงานภายนอก/หน่วยงานอื่นเพื่อช่วยลดความซ้ำซ้อนของงาน/เอกสารที่ประชาชนต้องมาติดต่อและสามารถดำเนินการได้จริง ทำให้ผู้ใช้บริการ/ประชาชนได้รับความครบทุกบริการที่เป็นไปได้ และได้รับความสะดวกอย่างชัดเจน

• One Stop Service ทั้งในการให้บริการต่าง ๆ ของรัฐวิสาหกิจที่จุดเดียว และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกันที่จุดเดียว

รัฐวิสาหกิจสามารถให้บริการที่จุดเดียวได้เสร็จสิ้น ในกรณีที่เป็นการให้บริการภายในหน่วยงานเดียว ผู้ขอรับบริการติดต่อที่จุดเดียว ไม่ต้องติดต่อหลายจุด หลายขั้นตอน ในกรณีที่การให้บริการที่จำเป็นต้องติดต่อหลายหน่วยงาน ผู้ขอรับบริการไม่จำเป็นต้องเดินทางไปติดต่อกับทุกหน่วยงาน หากแต่ติดต่อผ่านหน่วยงานใดหน่วยงานหนึ่งเพียงหน่วยงานเดียวเท่านั้น

โดยแต่ละหน่วยงานจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ที่จะใช้สำหรับดึงข้อมูล และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับหน่วยงานอื่น และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกันด้วย รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น อย่างหน่วยงานราชการที่ให้บริการ เช่น โรงพยาบาล สถานีอนามัย มีการเชื่อมโยงกับฐานข้อมูลกลาง ซึ่งใช้ในการปรับปรุง แก้ไขข้อมูลเพิ่มเติม ซึ่งระบบที่เป็นข้อมูลของทางราชการนี้ ประชาชนหรือผู้ใช้บริการสามารถติดต่อหรือดำเนินการธุรกรรมต่างๆได้ที่จุดเดียว ผู้ใช้บริการไม่จำเป็นต้องไปติดต่อกับหน่วยงานภาครัฐที่เกี่ยวข้องทุกหน่วยงาน

สำหรับบางรัฐวิสาหกิจ เนื่องจากกระบวนการวิธีการให้บริการที่เป็นอยู่ในปัจจุบัน อาจจะเป็นในลักษณะของ Manual และมีการติดต่อกับลูกค้าหรือผู้ใช้บริการโดยตรง ดังนั้นการนำระบบสารสนเทศเข้ามาใช้ อาจจะส่งผลกระทบต่อกระบวนการวิธีการให้บริการแบบเดิม (Traditional Processing) เพราะฉะนั้นรัฐวิสาหกิจจำเป็นที่จะต้องมีการเปลี่ยนแปลง ทั้งในส่วนของบุคลากร กฎระเบียบข้อบังคับ วัฒนธรรมองค์กร และส่วนอื่น ๆ ที่มีผลโดยตรง

แนวทางโดยสรุป : One Stop Service เป็นการให้บริการต่าง ๆ ของรัฐวิสาหกิจ ณ ศูนย์บริการร่วม และ / หรือการร่วมกับหน่วยงานอื่นเพื่อให้บริการร่วมกัน ณ ศูนย์บริการร่วม เพื่อให้ประชาชน / ผู้ใช้บริการสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติ ได้ ณ ศูนย์บริการร่วมเพียงแห่งเดียว

ตัวอย่าง : โครงการ OSCAR (One-Stop-Change-of-Address-Reporting-Services) เป็นการให้บริการของสิงคโปร์ ซึ่งช่วยให้การเปลี่ยนที่อยู่ของชาวสิงคโปร์เป็นไปอย่างสะดวกรวดเร็ว โดยประชาชนแจ้งเปลี่ยนที่อยู่กับหน่วยงานเพียงหน่วยงานเดียว หน่วยงานอื่นๆ ที่มีฐานข้อมูลเกี่ยวกับที่อยู่นั้น จะเปลี่ยนตาม โดยที่ไม่ต้องไปแจ้งกับทุกองค์กรที่รับผิดชอบในการเปลี่ยนที่อยู่ของประชาชน

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีจุด One Stop Service และให้บริการได้ครอบคลุมในงานของหน่วยงานรัฐวิสาหกิจ
– จุด One Stop Service สามารถร่วมให้บริการที่เกี่ยวเนื่องกับหน่วยงานอื่นได้ เช่น ชำระ/บริการของหน่วยงานอื่นที่เกี่ยวเนื่อง
– มีการจัดทำ One Stop Service กับหน่วยงานภายนอกอื่นและอยู่ที่หน่วยงานภายนอกอื่น

2.5.2 ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กรได้

ระบบสารสนเทศที่ต่างฝ่ายที่มีข้อมูลจะต้องหารือร่วมกันเพื่อ Share ข้อมูลในลักษณะของการเข้าสู่ข้อมูลของหน่วยงานอื่น โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล โดยจะต้องมีระบบการจัดการฐานข้อมูล (DBMS) ของแต่ละระบบงาน (Transaction Processing System) และระบบเครือข่าย (Network) ที่ใช้สำหรับเชื่อมโยงข้อมูลกับระบบของหน่วยงานอื่นภายนอกองค์กร และต้องมีการตกลงกันในเรื่องของมาตรฐานรูปแบบของข้อมูล (Data Definition) ที่จะใช้ร่วมกัน รวมถึงการกำหนดมาตรฐานของการเข้าถึงข้อมูลในเบื้องต้น เพื่อความปลอดภัยในการใช้ข้อมูลร่วมกัน

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถ Share ข้อมูลกับหน่วยงานอื่นภายนอกองค์กรได้อย่างมีประสิทธิภาพ โดยใช้มาตรฐานรหัสข้อมูลและมาตรฐานการแลกเปลี่ยนข้อมูลเดียวกัน ผ่านเครือข่าย Intranet ของภาครัฐความเร็วสูงที่มีระบบการกำกับการเข้าถึงข้อมูลที่เหมาะสม โดยมีระบบรักษาความปลอดภัยที่ดีเพื่อป้องกันผู้ที่ไม่มีสิทธิ์ใช้ข้อมูลเข้าถึงข้อมูลได้

ตัวอย่าง : การให้บริการทะเบียนราษฎร์ของกรมการปกครอง กระทรวงมหาดไทย ซึ่งระบบสารสนเทศของกรม การปกครอง ที่มีระบบการจัดการฐานข้อมูล (Database Management System) ทะเบียนราษฎร์ซึ่งสามารถเชื่อมโยง และดึงข้อมูลทะเบียนราษฎร์ จากระบบฐานข้อมูลของสำนักงานทะเบียนจังหวัดทั้ง 75 แห่งได้ ซึ่งสามารถ Share ข้อมูลกับหน่วยงานอื่น เพื่อให้บริการประชาชนได้

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– การ Share ข้อมูลกับหน่วยงานอื่นที่เกี่ยวข้องภายนอกองค์กร
– การ Share ข้อมูลเพื่อให้กระทรวงเจ้าสังกัดได้ข้อมูลที่ต้องการ
– ข้อมูลมีความทันกาล
– มี Security ที่ดีในการเข้าถึงข้อมูล

2.5.3 การดำเนินการหรือแผนงานเพื่อสนับสนุนนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วย เช่น การปิดบัญชีรายไตรมาส เป็นต้น

การมีระบบสารสนเทศที่เหมาะสม และสามารถรองรับการดำเนินงานหรือแผนงานต่างๆ เพื่อสนับสนุนนโยบายของรัฐบาลได้อย่างมีประสิทธิภาพ

องค์กรจะต้องมีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศ ที่สามารถจะนำมาใช้สนับสนุน หรือรองรับนโยบายต่างๆของรัฐบาล เช่น การปิดบัญชีรายไตรมาส การปิดบัญชีรายปีเพื่อส่งงบการเงินให้สำนักงาน ตรวจเงินแผ่นดิน เป็นต้น ก็จะต้องมีระบบสารสนเทศด้านการบัญชี (Accounting Information System) ที่สามารถปิดบัญชีได้อย่างทันเวลา และมีความถูกต้อง โดยอาจจะมีแผนงานในเรื่องของงบประมาณในการจัดซื้อ จัดเตรียมหรือการวางระบบ IT Infrastructure หรือ Network Architecture รวมทั้งจะต้องมีแผนงานในเรื่องของการวิเคราะห์และออกแบบระบบที่ดี (System and Analysis Design Method) ประกอบกับแนวโน้มหรือการเปลี่ยนแปลงของเทคโนโลยีใหม่ๆที่จะเกิดขึ้นในอนาคต ซึ่งแผนงานดังกล่าวสามารถแสดงถึงความพร้อม และรองรับ Application Software ใหม่ๆ ที่ แต่ละองค์กรจะต้องพัฒนาขึ้น

แนวทางโดยสรุป : การดำเนินการหรือแผนงาน ที่แสดงถึงความพร้อมที่จะตอบสนองต่อนโยบายต่าง ๆ ที่จำเป็นจะต้องนำระบบสารสนเทศเข้ามาช่วยสนับสนุนได้อย่างมีประสิทธิภาพ

ตัวอย่าง : นโยบาย 30 บาท รักษาทุกโรคของรัฐบาล ซึ่งส่งผลให้โรงพยาบาลของรัฐทุกแห่งจะต้องมีระบบสารสนเทศ เช่น ระบบฐานการจัดการฐานข้อมูล (DBMS) ของโรงพยาบาลแต่ละแห่ง ซึ่งระบบฐานข้อมูลจะต้องสามารถเก็บข้อมูล ประวัติของผู้ที่สนใจเข้าร่วมโครงการ 30 บาทรักษาทุกโรค รองรับจำนวนผู้ที่จะมาสมัครเข้าเป็นสมาชิก และสามารถที่จะเชื่อมโยงเข้ากับฐานข้อมูลของโรงพยาบาลแต่ละแห่งของรัฐบาลได้ และสามารถที่จะใช้ข้อมูลร่วมกัน เพื่อให้เกิดความสะดวกรวดเร็วในการให้บริการ และการปฏิบัติงานของเจ้าหน้าที่ เช่น หากผู้ใช้บริการทำบัตร 30 บาทรักษาทุกโรคกับโรงพยาบาลที่หนึ่ง ก็จะต้องสามารถนำบัตรเดียวกันนี้ไปใช้กับโรงพยาบาลของรัฐบาลอีกที่หนึ่งได้ โดยโรงพยาบาลที่มีการเชื่อมโยงข้อมูลจากระบบฐานข้อมูลของโรงพยาบาลที่มีข้อมูลของผู้ใช้บริการอยู่แล้ว ก็สามารถที่จะนำข้อมูลของผู้ใช้บริการดังกล่าวมาใช้ได้ทันที ไม่จำเป็นต้องมีการลงบันทึกประวัติผู้ใช้หรือทำการสมัครสมาชิกใหม่ ซึ่งเป็นการจัดเก็บข้อมูลที่ซ้ำซ้อน และสูญเสียเวลาในการปฏิบัติงานโดยไม่จำเป็น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– มีการดำเนินการหรือแผนงานที่เกี่ยวข้องกับระบบสารสนเทศเพื่อนำมาใช้สนับสนุนหรือรองรับนโยบายต่าง ๆ ของรัฐ เช่น การปิดบัญชีรายไตรมาสได้ภายใน 45 วัน และปิดบัญชีรายปีได้ภายใน 90 วัน เป็นต้น
– ได้ดำเนินการตามนโยบายที่สำคัญขององค์กรที่มีความจำเป็นต้องนำระบบสารสนเทศเข้ามาใช้อย่างสมบูรณ์

2.5.4 การเปิดเผยข้อมูลต่างๆ ผ่านทางเว็บไซต์อย่างเหมาะสม

เว็บไซต์เป็นช่องทางที่ได้รับความนิยมในปัจจุบัน ดังนั้นจึงจำเป็นจะต้องมีข้อมูลที่เหมาะสมและทันกาลเพื่ออำนวยความสะดวกและเป็นข้อมูลสำหรับผู้ที่สนใจให้สามารถติดตามได้อย่างสม่ำเสมอ

แนวทางโดยสรุป : การเปิดเผยข้อมูลผ่านทางเว็บไซต์ทั้งทางด้านการเงินและมิใช่การเงินโดยมีเนื้อหาที่เพียงพอเหมาะสมกับความต้องการของผู้ที่สนใจติดตามข้อมูล รวมถึงมีการปรับปรุงข้อมูลให้ทันสมัยอยู่เสมอ และสะดวกในการเข้าถึงหรือค้นหาข้อมูล อย่างไรก็ตามข้อมูลที่เปิดเผยต้องอยู่ในกรอบที่องค์กรสามารถเปิดเผยต่อสาธารณชนได้

ตัวอย่าง : เว็บไซต์ควรประกอบด้วยข้อมูลทางด้านการเงินและไม่ใช่การเงิน เช่น รายงานประจำปี ผลการดำเนินงาน ผู้บริหาร โครงสร้างองค์กร ข้อมูลทางสถิติต่าง ๆ ข่าวสารสำคัญขององค์กร รายละเอียดของช่องการติดต่อกับองค์กรที่มีสาระพอเพียงและมีข้อมูลที่ทันกาล เป็นต้น

ในกรณีที่แผนงานไม่ชัดเจน หรือ ผลลัพธ์ไม่สอดคล้องกับหัวข้อประเมิน จะพิจารณาจาก :
– ความทันสมัยของข้อมูลในเว็บไซต์ และความสะดวกในการค้นหาข้อมูล
– รายละเอียดในเว็บไซต์ เช่น
o มีประวัติ ภารกิจ โครงสร้าง
o มีที่อยู่ เบอร์โทรศัพท์ (ลงระดับฝ่าย) e-mail
o มีข่าวทั่วไป ข่าวของหน่วยงาน
o มีภาษาเพื่อเลือกแสดงผลมากกว่า 1 ภาษา
o มี link ทั่วไป และ link ที่เกี่ยวข้อง
o มีข้อมูลกฎระเบียบ ขั้นตอนบริการ แบบฟอร์มดาวน์โหลด
o มีคำแนะนำ website หรือ ผัง website
o เปิดเผยรายงานประจำปี
o การเปิดเผยข้อมูลด้านการเงินรายปี/รายไตรมาส
o มีการเปิดเผยข้อมูลด้านผลการดำเนินงาน (Operation)

ในความตั้งใจจริงของผมแล้ว ผมตั้งใจไว้ว่าจะจบการนำเสนอในเรื่องของเกณฑ์การประเมินผลการบริหารจัดการสารสนเทศฯ ในวันนี้ แต่ด้วยความที่มีหลักเกณฑ์และประเด็นในการพิจารณาที่สำคัญและค่อนข้างละเอียด ผมจึงขอยกประเด็นการพิจารณาด้านระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียภายในองค์กรไปนำเสนอในครั้งต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

คู่มือ/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มกราคม 17, 2010

หลังจากที่ผมได้นำเสนอ กระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร COSO – ERM ทั้ง 8 ประการ ต่อเนื่องกันมาหลายครั้งแล้ว โดยในครั้งที่ผ่านมา ผมได้จบเรื่องของการติดตามผลและการตรวจสอบ ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นสุดท้าย แต่นั่นก็ไม่ได้หมายความว่า การบริหารความเสี่ยงทั่วทั้งองค์กรจะสิ้นสุดเพียงเท่านี้ เพราะยังมีข้อจำกัดในการบริหารความเสี่ยงขององค์กรอีกหลายประการที่คณะกรรมการ ผู้บริหาร จะต้องทำความเข้าใจ

การบริหารความเสี่ยงขององค์กรทั่วไป ที่มีประสิทธิผลไม่ได้มีกำหนดไว้ว่าวิธีการใด จะเป็นการออกแบบและการปฏิบัติที่ดี การบริหารความเสี่ยง เป็นเพียงหลักประกันอย่างสมเหตุสมผลให้กับคณะกรรมการ และผู้บริหาร องค์กร ในการที่จะบริหารความเสี่ยงขององค์กรให้บรรลุผลสำเร็จ

การบรรลุผลสำเร็จขององค์กรขึ้นอยู่กับข้อจำกัดที่มีอยู่ในทุกกระบวนการบริหาร รวมถึงความเป็นจริงที่ว่าการตัดสินของบุคคลในการตัดสินใจมีข้อบกพร่องและรายละเอียดต่าง ๆ ที่อาจเกิดขึ้นเนื่องจากจุดด้อยของบุคคลนั้น เช่น ข้อผิดพลาดทั่วไปหรือจากประสิทธิภาพพนักงาน

ในการพิจารณาข้อจำกัดของการบริหารความเสี่ยงต้องพิจารณาแนวคิด 3 ประการดังนี้
– ประการแรก ความเสี่ยงเป็นเรื่องที่เกี่ยวข้องอนาคต ซึ่งมีความไม่แน่นอน
– ประการที่สอง การบริหารความเสี่ยงขององค์กรต้องดำเนินการในระดับที่แตกต่างกันเพื่อตอบสนองต่อวัตถุประสงค์ที่แตกต่างกัน
– ประการที่สาม การบริหารความเสี่ยงขององค์กรไม่สามารถเป็นเครื่องรับประกันในการตอบสนองต่อวัตถุประสงค์ประเภทต่าง ๆ ได้ทั้งหมด

ความรู้เรื่องข้อจำกัดประการแรกที่ควรทราบคือ ไม่มีใครที่สามารถทำนายอนาคตได้อย่างถูกต้อง ความรู้ในเรื่องที่สองคือ เหตุการณ์ที่เกิดขึ้นจริงอยู่นอกการควบคุมโดยทั่วไปของฝ่ายบริหาร ประการที่สามคือ ไม่มีกระบวนการใดจะสามารถดำเนินการได้ตามที่ได้ตั้งใจไว้

ข้อจำกัดของการตัดสินใจกับการบริหารความเสี่ยง
ประสิทธิผลของการบริหารความเสี่ยงถูกจำกัดโดยศักยภาพของบุคคลในการตัดสินใจทางการบริหาร การตัดสินใจเกิดขึ้นจากการตัดสินใจของบุคคลในเวลาที่มีอยู่ โดยมีพื้นฐานจากข้อมูลที่มีอยู่ในขณะนั้นและภายใต้แรงกดดันของการดำเนินงานเพื่อบรรลุเป้าหมาย

ข้อจำกัดในการแจงรายละเอียด
การบริหารความเสี่ยงขององค์กรที่ได้รับการออกแบบมาอย่างดี สามารถแจงรายละเอียดได้ บุคลากรอาจไม่เข้าใจข้อแนะนำ โดยอาจตัดสินผิดพลาด หรืออาจเกิดความผิดพลาดเนื่องจากการไม่ได้รับการดูแลเอาใจใส่ การไม่สนใจ หรือความเหนื่อยล้าหรือจากวัฒนธรรมขององค์กรที่มีจุดอ่อนอย่างสำคัญ

ข้อจำกัดของการสมรู้ร่วมคิดของพนักงาน
พฤติกรรมการสมรู้ร่วมคิดของพนักงานตั้งแต่ 2 คนขึ้นไปสามารถส่งผลต่อการบริหารความเสี่ยงขององค์กรได้ การปฏิบัติของแต่ละคนในการกระทำและปิดบังการปฏิบัติที่มักเลือกข้อมูลทางการเงินหรือข้อมูลในการบริหารอื่น ๆ ในเรื่องที่ไม่สามารถระบุได้โดยกระบวนการบริหารความเสี่ยง เช่น อาจมีการสมรู้ร่วมคิดกันระหว่างพนักงานที่ปฏิบัติงานในหน้าที่การควบคุมที่สำคัญ หรือพนักงานอื่น ๆ ที่ไม่สนใจในผลกระทบขององค์กร

ข้อจำกัดด้านต้นทุนกับผลตอบแทน
การมีทรัพยากรที่จำกัดและองค์กรต้องพิจารณาความสัมพันธ์ระหว่างต้นทุนกับผลประโยชน์เพื่อตัดสินใจ รวมทั้งเรื่องที่เกี่ยวข้องเพื่อตอบสนองความเสี่ยงและการดำเนินกิจกรรมการควบคุม

การวัดต้นทุนกับผลตอบแทนเพื่อการนำไปปฏิบัติในการระบุเหตุการณ์และความสามารถในการประเมินความเสี่ยงและการตอบสนองที่เกี่ยวข้อง และการทำกิจกรรมการควบคุมในระดับความแม่นยำที่แตกต่างกัน

การพัฒนาเรื่องต้นทุนที่เพิ่มขึ้นนั้นสามารถทำได้ง่ายกว่า ต้นทุนโดยตรง ทั้งหมดเกี่ยวข้องกับการตั้งความสามารถหรือการกำหนดการควบคุม และจะต้องพิจารณาต้นทุนทางอ้อมที่สามารถวัดได้ด้วย

อย่างไรก็ตามในการพิจารณาเรื่องต้นทุนนี้นั้นจะทำได้ยากก็เนื่องจากปัจจัยเรื่องสภาพแวดล้อม เช่น ความผูกพันของฝ่ายบริหารต่อค่านิยมเรื่องจริยธรรมหรือความสามารถของบุคคล และการได้มาซึ่งข้อมูลข่าวสารภายนอก

ส่วนทางด้านผลประโยชน์อาจขึ้นอยู่กับการประเมินค่าของผู้ประเมินมากขึ้น เช่น ถ้าความสูญเสียนั้นเกิดความเบี่ยงเบนไปจากที่เป็นอยู่ อันเนื่องมาจากประสิทธิผลของการบริหารความเสี่ยงขององค์กร ผลประโยชน์ที่ที่เกิดขึ้นมักไม่ได้สังเกตเห็น หรือประโยชน์ของการตอบสนองความเสี่ยง เช่น โปรแกรมการฝึกอบรมที่มีประสิทธิผลจะเห็นได้อย่างชัดเจนแต่ยากที่จะบอกถึงคุณภาพ

การพิจารณาเรื่องต้นทุนกับผลตอบแทนนี้มีความหลากหลายขึ้นอยู่กับธรรมชาติขององค์กร การค้นหาความสมดุลที่เหมาะสมจึงเป็นเรื่องที่มีความท้าทายต่อผู้บริหารองค์กรเป็นอย่างมาก

การกระทำผิดกฎเกณฑ์ ละเลย ของฝ่ายบริหาร
การบริหารความเสี่ยงขององค์กรจะเกิดประสิทธิผลได้ขึ้นอยู่กับบุคลากรที่ทำหน้าที่ทางด้านนี้ แม้องค์กรมีการบริหารและการควบคุมที่มีประสิทธิผล เช่น มีระดับของความซื่อสัตย์ต่อองค์กรและความตระหนักถึงเรื่องการควบคุมสูง ผู้บริหารก็อาจ Overrideหรือ ละเลย กระทำผิดกฎเกณฑ์ กระบวนการบริหารความเสี่ยงได้ ไม่มีระบบการบริหารหรือการควบคุมใดที่ไม่มีข้อผิดพลาด และระบบที่ผิดพลาดกับผู้ที่ทำผิดพลาดจะต้องตั้งใจที่จะค้นหาวิธีการหยุดข้อผิดพลาดนั้น

อย่างไรก็ตามการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผลจะปรับปรุงความสามารถขององค์กรในการป้องกันและก้าวข้ามกิจกรรมเหล่านั้นไปได้

ความหมายของการ Override ของฝ่ายบริหารคือ การประพฤติออกนอกกรอบนโยบายหรือกระบวนการเพื่อวัตถุประสงค์ที่ไม่ถูกต้องตามกฎ เช่น ผลประโยชน์ของแต่ละบุคคลหรือการเสนอเงื่อนไขทางการเงินขององค์กรหรือสถานะที่มีการปฏิบัติตาม ผู้บริหารหรือสมาชิกของฝ่ายบริหารระดับสูง อาจ Override กระบวนการบริหารความเสี่ยงเพื่อเหตุผลหลายประการ เช่น

– เพิ่มการรายงานรายได้ หรือเพิ่มความสำเร็จ ให้ครอบคลุมในส่วนที่ไม่เกี่ยวข้อง
– เพิ่มการรายงานผลความสำเร็จ ให้พอกับงบประมาณจริง
– แสดงถึงการบรรลุเป้าหมาย เพื่อให้เกิดการจ่ายโบนัสตามผลการปฏิบัติงาน
– ปกปิดการไม่ปฏิบัติตามความต้องการของกฎหมาย ระเบียบ คำสั่ง

การ Override ของฝ่ายบริหารแสดงถึงการปฏิบัติของฝ่ายบริหารในการแยกตัวมาจากการกำหนดนโยบาย หรือกระบวนการเพื่อเป้าหมายที่ถูกต้องตามกฎหมาย การทำการ Override มักจะไม่ทำเป็นลายลักษณ์อักษรหรือเปิดเผย

ครั้งหน้าผมจะมาพูดถึงเรื่องบทบาทและการกำกับดูแลการบริหารความเสี่ยง โปรดติดตามต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรณีมาบตาพุด กับการบริหารความเสี่ยงที่เกี่ยวข้องกับ Compliance Risk ที่มีผลกระทบต่อความเชื่อมั่นของประเทศ

มกราคม 14, 2010

ผมได้เขียนกรณีมาบตาพุดที่มีผลกระทบต่อความเชื่อมั่นของประเทศอย่างร้ายแรงมาหลายครั้งแล้ว ทั้งนี้ก็เพราะ ผมมีความเป็นห่วงและกังวลอย่างลึกซึ้งต่อผลที่ตามมาในระยะยาว ที่มองจากมุมมองของนักลงทุนนานาชาติ และในประเทศ ที่น่าจะมีการค้นหาต้นเหตุ (Root Cause) ของเหตุการณ์ที่นำมาสู่ความเสี่ยงที่มีการจัดการล่าช้า จนเป็นเหตุให้มีผลกระทบทางลบ และความเชื่อมั่นของประเทศครั้งสำคัญ ที่น่าจะนำไปใช้เป็นกรณีศึกษา หรือบทเรียน (Lesson – Learned) เพื่อใช้ป้องกันความเสี่ยง และจัดให้มีการควบคุมและการบริหารอย่างเหมาะสม ทั้งในระดับชาติ และในระดับองค์กรได้เป็นอย่างดี

ตามความเข้าใจของผม ภาครัฐที่เป็นผู้ควบคุมกฎเกณฑ์ และการปฏิบัติตามกฎหมาย และกติกาของสังคม โดยใช้กรอบรัฐธรรมนูญ ปี 2550 เป็นสำคัญนั้น ยังไม่มีหรือขาดผู้ที่รับผิดชอบในการติดตาม การปฏิบัติที่เกี่ยวข้องกับรัฐธรรมนูญ มาตราที่ 67 ว่าด้วยการจัดตั้งองค์การอิสระที่มีหน้าที่ศึกษาผลกระทบร้ายแรงต่อสุขภาพ (HIA) ผลกระทบร้ายแรงต่อสิ่งแวดล้อม (EIA) ผลกระทบต่อทรัพยากรธรรมชาติ +++ จากการลงทุน…ทำให้โครงการการลงทุน 76 โครงการในระยะแรกถูกศาลปกครองสั่งระงับการดำเนินงาน ซึ่งต่อมาศาลฯได้ผ่อนผันให้ 15 โครงการ จึงเหลือโครงการที่มีปัญหาฯ 65 โครงการ ซึ่งหลายโครงการเป็นโครงการขนาดใหญ่ ได้รับความเดือดร้อนเป็นอย่างยิ่งตามข่าวที่ผ่านมานั้น +++

เพื่อให้เกิดความกระชับตามวรรคก่อน ผมใคร่ขอสรุปว่า Root Cause หรือสาเหตุของผลกระทบที่ต้องการปรับปรุงก็คือ ทางการควรจัดตั้งหรือจัดให้มีองค์การอิสระ ตามรัฐธรรมนูญ ปี 2550 ฉบับที่ 67 (2) โดยเร็ว และจัดให้มีการดำเนินการตามระเบียบและวิธีการที่กำหนดไว้ในกฎหมายลูก ซึ่งต้องจัดตั้งเป็น พรบ. เหตุการณ์กรณีมาบตาพุดก็ไม่น่าจะเกิดขึ้น หรือมีปัญหาน้อยลง นี่คือการบริหารความเสี่ยงและการจัดการเชิงรุกที่มีศักยภาพ และสร้างคุณค่าเพิ่มในทุกมุมมองที่เกี่ยวข้อง และกับผู้มีผลประโยชน์ร่วมทุกฝ่าย รวมทั้งการสร้างความน่าเชื่อถือให้กับนักลงทุนนานาชาติ และนักลงทุนในประเทศได้เป็นอย่างดี

ทั้งนี้ ผมขออธิบายเพิ่มเติมเพื่อสร้างความเข้าใจของการควบคุมความเสี่ยงจากต้นเหตุ หรือสาเหตุ ซึ่งจะได้ผลดีอย่างยิ่งต่อการบริหารและการจัดการ เพราะหากมีความเข้าใจที่คลาดเคลื่อน และผู้ที่เกี่ยวข้องจัดให้มีการควบคุมความเสี่ยงและการบริหารจัดการจากผลลัพธ์ (Out put / Out come) หรือกระบวนการดำเนินการ (Process) แทนการควบคุมที่ Root Cause การบริหารและการจัดการควบคุมความเสี่ยงจะได้ผลอย่างจำกัดมาก แผนภาพด้านล่างนี้ จะช่วยให้ท่านผู้อ่านได้เข้าใจถึงความแตกต่างที่มีนัยสำคัญยิ่งตามที่ได้กล่าวข้างต้น โดยขอให้ท่านพิจารณาว่า อะไรคือ Root Cause หรือ Cause อะไรคือ Effect หรือผลกระทบ ซึ่งเทียบได้กับ Out put / Out come เพื่อการควบคุมที่มีคุณภาพ ดังนี้ครับ

จากแผนภาพข้างต้น ถ้าเราไปควบคุมหรือแก้ไขที่ปลายเหตุ (จาก Effect) เช่น การเสียชื่อเสียง การขาดความเชื่อมั่น การลงทุนของประเทศไทยโดยรวม ++ ท่านจะไปควบคุมและแก้ไขอย่างไรที่จะได้ผลในระยะยาว และสามารถสร้างความมั่นใจให้กับนักลงทุนนานาชาติ และในประเทศได้ แต่ถ้าหากท่านเข้าใจว่า การแก้ไขที่ต้นเหตุ (Cause / Root Cause) เช่น การสร้างความเข้าใจและการให้ความสำคัญและจริงจังกับความเอาใจใส่ในการปฏิบัติตามกฎหมาย กฎเกณฑ์ การหาความรู้ในเรื่องที่เกี่ยวข้อง การจัดลำดับความสำคัญของแผนงานและโครงการที่ต้องดำเนินการ เช่น การจัดตั้งให้มีองค์การอิสระ ตามมาตรา 67(2) ของรัฐธรรมนูญ พ.ศ. 2550 และดำเนินการและจัดให้มีวิธีการสนองตอบต่อกฎหมายหลักของชาติ

ซึ่งหากหน่วยงานที่เกี่ยวข้องกับการพิจารณาเรื่องกฎหมาย กฎเกณฑ์ เข้าใจเรื่องดังกล่าวดี +++ ก็น่าจะเป็นการป้องกันและควบคุมความเสี่ยงจากต้นเหตุที่มีผลกระทบต่อความเชื่อมั่นของประเทศไทยโดยรวม ได้เป็นอย่างดี มิใช่เพียงผลกระทบต่อกรณีมาบตาพุดเท่านั้น

หลักการบริหารความเสี่ยงง่าย ๆ ก็คือ การพิจารณาถึงวัตถุประสงค์ การระบุเหตุการณ์ที่มีความเสี่ยงต่อการบรรลุวัตถุประสงค์ตามที่ต้องการ และจัดให้มีการควบคุมหรือดำเนินการเพื่อลดความเสี่ยง ตามเหตุการณ์ที่คาดว่าจะเกิดขึ้นให้อยู่ในระดับที่ประเทศและองค์กรยอมรับได้เป็นสำคัญ

กรณีมาบตาพุด เราวิเคราะห์เหตุการณ์หลังจากความเสียหายและผลกระทบในทางลบได้เกิดขึ้นมาแล้ว จึงเป็นการง่ายที่จะระบุถึงต้นเหตุ หรือสาเหตุ ซึ่งเป็นที่มาของปัญหาที่เกิดขึ้นในปัจจุบัน แต่ในกรณีที่ยังไม่มีปัญหาเกิดขึ้น การวิเคราะห์ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ จึงเป็นเรื่องที่ท้าทายกว่ามาก เพราะต้องการความเข้าใจ หลักการบริหารความเสี่ยงแบบบูรณาการขององค์กร ที่สามารถนำมาประยุกต์ใช้ได้กับความเสี่ยงในระดับชาติได้อย่างลงตัว

กรณีมาบตาพุด ถึงแม้จะเกิดขึ้นได้ไม่นาน ผลเสียหายที่เกิดขึ้นมาแล้วตามข่าวก็คือ การลงทุนโครงการ 10,000 ล้านบาทในการสร้างแผงพลังไฟฟ้าจากดวงอาทิตย์ ของประเทศออสเตรเลีย ได้ย้ายจากประเทศไทยไปประเทศมาเลเซียเรียบร้อย+++ นับว่าเป็นการเสียโอกาสในการสร้างมูลค่าและตลาดแรงงานของชาติ และการเติบโตของ GDP ไปในระดับหนึ่ง โดยไม่รวมโครงการลงทุนต่าง ๆ ที่ยังไม่เกิดขึ้น และยังอยู่ในแผนงานการลงทุนของนานาชาติที่ไม่อาจคาดคะเนได้จากเหตุการณ์ครั้งนี้ด้วย

กรณีมาบตาพุดนี้รัฐบาลได้เร่งตั้งองค์การอิสระเฉพาะกาล ให้ได้ใน 60 วัน เพื่อเร่งการปฏิบัติตามระเบียบที่กำหนดไว้ในรัฐธรรมนูญ ปี 2550 มาตรา 67 (2) ซึ่งหากดำเนินการได้ทันตามกำหนด และมีผลกระทบในทางลบจากการดำเนินงานขององค์การอิสระต่อทั้ง 65 โครงการในครั้งนี้แล้ว ก็น่าจะช่วยลดปัญหาต่าง ๆ จากความไม่เชื่อมั่นของนักลงทุนลงได้มาก หากทางรัฐบาลได้มีการประชาสัมพันธ์ และได้มีการชี้แจงเรื่องนี้อย่างชัดเจนให้กับผู้มีผลประโยชน์ร่วมได้เข้าใจอย่างกว้างขวางและเป็นรูปธรรม

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

วิสัยทัศน์ของประเทศไทย คือ ประเทศที่พัฒนาแล้วในปี 2563 และเติบโตอย่างยั่งยืนได้อย่างมั่นคง กับ GRC ในมุมมองระดับประเทศ

มกราคม 14, 2010

ผมเข้าใจในเบื้องต้นของผมเองว่า วิสัยทัศน์ของประเทศไทยในขณะนี้ น่าจะยังไม่ชัดเจน หรืออาจยังไม่ได้กำหนดให้เป็นรูปธรรม หรือไม่มีการสื่อสารที่มีคุณภาพและแพร่หลายพอให้บุคคลที่สนใจและผู้ที่เกี่ยวข้อง ได้ทราบทิศทางของประเทศในอนาคต ที่จะใช้เป็นตัวกำหนดแนวทางหรือกรอบในการดำเนินงาน กรอบความคิด เพื่อก้าวไปสู่การกำหนดนโยบาย กลยุทธ์ แผนงานระดับชาติที่จะมอบหมายต่อไปยัง กระทรวง ทบวง กรมต่าง ๆ ที่เกี่ยวข้อง

รวมทั้งกำหนดวาระแห่งชาติ ซึ่งเป็นเครื่องมือในการช่วยบริหารกิจการของบ้านเมืองให้เป็นไปตามพระราชกฤษฎีกา พ.ศ. 2546 ว่าด้วยการบริหารกิจการบ้านเมืองที่ดี โดยกำหนดตัวชี้วัดที่สอดคล้องกับกลยุทธ์และแผนการดำเนินงานแห่งชาติอย่างเหมาะสม และสอดคล้องกับระยะเวลาในการก้าวไปสู่วิสัยทัศน์ที่ตั้งใจไว้ว่า ประเทศไทยเป็นประเทศที่พัฒนาแล้ว ในปี 2563 ในอีก 10 ปีข้างหน้าได้อย่างมั่นใจ และสมเหตุสมผล

หลักการของ GRC ซึ่งย่อมาจาก Governance + Risk Management + Compliance เป็น Statement ค่อนข้างใหม่ในประเทศไทย เพราะมีเป้าหมายและคำจำกัดความที่แตกต่างกันในแต่ละ wording และ meaning ของ GRC ที่เราเคยรู้จักกันมานานแล้ว เนื่องจาก GRC เป็นการเน้นการสร้างคุณค่าเพิ่มจากการบริหารแบบบูรณาการที่สร้างความสัมพันธ์ระหว่างการบริหาร Governance (CG+ITG) ควบคู่กันไปกับการบริหารความเสี่ยง (Risk Management) โดยให้ความสำคัญกับการปฏิบัติตามกฎหมาย กฎเกณฑ์ และมาตรฐานที่เกี่ยวข้องที่สอดคล้องกับนานาชาติ รวมทั้งกฎหมาย กฎเกณฑ์ ระเบียบ คำสั่ง กติกา ของสังคมในชาติโดยคำนึงถึงความคาดหวังของผู้มีผลประโยชน์ร่วม (Stakeholder Expectation) ในทุกระดับ โดยคำนึงถึง Global Governance + Public Governance + Social Governance เป็นสำคัญอีกด้วย

หลักการของ GRC เป็นเรื่องของการขับเคลื่อนวิสัยทัศน์ (Vision & Objectives) ซึ่งเปรียบเทียบได้กับ Input ผ่านกระบวนการที่เรียกว่า Process ในที่นี้จะหมายถึง Integrity – Driven Performance ระดับชาติ เพื่อให้ได้เป้าหมายตาม Vision & Objectives ของประเทศในระยะเวลาที่กำหนด

ผมขอขยายความในความหมายของ GRC เฉพาะในมุมมองของ Compliance เพื่อให้เกิดความเข้าใจได้ดียิ่งขึ้นตามแผนภาพ ดังนี้ครับ

สำหรับรายละเอียดอื่น ๆ เอาไว้คุยกันในวันหลังนะครับ

การที่ผมนำเรื่อง GRC กับ Vision ของประเทศมาคุยกับท่านผู้อ่านในวันนี้ ก็เพราะ ผมเข้าใจว่า หากประเทศมี Vision ที่ชัดเจน และทุกฝ่ายเข้าใจตรงกัน ทิศทางการดำเนินงานของหน่วยงานต่าง ๆ ทั้งภาครัฐ และเอกชน ก็สามารถสนับสนุนให้วิสัยทัศน์ของประเทศเป็นความจริงได้ในที่สุด

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »