เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

มกราคม 1, 2010

วันนี้เป็นวันดี เริ่มต้นแห่งปีใหม่ 2553 ผมก็ขออำนวยพรให้ท่านผู้ติดตาม http://www.itgthailand.com แห่งนี้ มีความสุขความเจริญทุกท่านเลยครับ สำหรับเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 นี้ เราจะมาคุยกันต่อถึงประเด็นการพิจารณาในส่วนที่ 2 ซึ่งจะเป็นเกณฑ์การพิจารณาด้านระบบการบริหารการจัดการสารสนเทศ

จากการพิจารณาว่าแผนแม่บทฯและแผนปฏิบัติการ สอดคล้องตามประเด็นพิจารณาต่าง ๆ หรือไม่นั้น จะขึ้นอยู่กับว่าสามารถรองรับต่อความต้องการ / ความจำเป็น / ความเหมาะสมขององค์กร รวมถึงความต้องการของผู้บริหารหรือไม่ เช่น รัฐวิสาหกิจขนาดเล็กและการดำเนินงานไม่ซับซ้อนอาจเลือกใช้คอมพิวเตอร์เพียงเครื่องเดียวเพื่อสอดคล้องกับประเด็นพิจารณาของ “ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร” เมื่อสามารถแสดงให้เห็นว่าสามารถตอบสนองต่อความต้องการขององค์กรได้จริง

ประเด็นการพิจารณาในส่วนที่ 2 มีรายละเอียดดังนี้

2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ

2.1.1 ระบบ MIS / EIS ที่สอดคล้องกับความต้องการของผู้บริหาร

เป็นระบบสารสนเทศ (Information System) ที่สามารถเก็บรวบรวมข้อมูล ทำการประมวลผล และสร้างสารสนเทศขึ้นมาเพื่อสนับสนุนการตัดสินใจ การวางแผน และการควบคุม ให้สอดคล้องกับความต้องการของผู้บริหาร โดยจะต้องใช้อุปกรณ์ทางคอมพิวเตอร์ (Hardware) และโปรแกรม (Application Program) ร่วมกับผู้ใช้ (Peopleware) ในการดำเนินงาน เพื่อก่อให้เกิดความสำเร็จในการได้มาซึ่งสารสนเทศที่มีประโยชน์ และสามารถนำมาใช้ได้อย่างมีประสิทธิภาพ

โดยหลักการในการสร้างระบบสารสนเทศจะประกอบด้วยคอมพิวเตอร์ ที่มีระบบการประมวลผลที่เป็นลักษณะงานพื้นฐาน (Transaction Processing Systems) เกี่ยวข้องกับการดำเนินงานประจำวันที่จำเป็นขององค์กร (Business Functions) ซึ่งโดยทั่วไปจะมี 5 ฟังก์ชัน คือ ระบบงานขายและการตลาด (Sales and Marketing) ระบบงานการเงินและระบบงานบัญชี (Finance and Accounting) ระบบทรัพยากรมนุษย์ (Human Resources) ระบบงานการผลิต (Manufacturing) และระบบงานอื่น ๆ ที่มีความจำเป็นเฉพาะในแต่ละองค์กร (Core Business Functions) ซึ่งข้อมูลในแต่ละระบบงานจะถูกจัดเก็บในฐานข้อมูล (Database) หลักขององค์กร และมีการเชื่อมโยงกับตัวแปรอื่น ๆ เช่น ลูกค้า ผู้จำหน่ายวัตถุดิบ คลังสินค้า เป็นต้น โดยจะมีโปรแกรม (Application Program) ที่ดึงข้อมูล และสรุปเป็นรายงานหรือสารสนเทศให้ตรงกับความต้องการของผู้บริหารและระดับความจำเป็นที่จะต้องใช้ในแต่ละองค์กร

แนวทางโดยสรุป Management Information System (MIS) ก็คือ ระบบสารสนเทศเพื่อการจัดการ ในส่วนของยุทธวิธีในการวางแผนการปฏิบัติ และการตัดสินใจของผู้บริหารระดับกลาง เป็นระบบที่สามารถออกรายงานสรุป (Summary Report) ในลักษณะที่เป็นงานประจำหรือ รายงานเรื่องใดเรื่องหนึ่งโดยเฉพาะ (Exception Report) เพื่อสนับสนุนการตัดสินใจของผู้บริหารได้ โดยอาจจะเป็นในรูปแบบกระดาษ หรือผ่านทางหน้าจอคอมพิวเตอร์ ตัวอย่างเช่น ระบบ MIS ขององค์กรที่เกี่ยวข้องกับการขนส่งสามารถออกรายงานสรุปยอดของจำนวนผู้ใช้บริการ ปริมาณงานขนส่ง และข้อมูลอื่นๆที่ผู้บริหารมีความต้องการเป็นรายวัน รายเดือนหรือตามความเหมาะสม ขึ้นอยู่กับความต้องการและลักษณะธุรกิจของแต่ละองค์กร

ส่วน Executive Information System (EIS) คือ ระบบสารสนเทศที่สนับสนุนการจัดการในการวางแผน นโยบาย กลยุทธ์ และการตัดสินใจของผู้บริหารในระดับสูง (Top Management) ที่สามารถออกรายงานสรุป (Summary Report) ทั้งที่เป็นลักษณะงานประจำ และที่ไม่ใช่ลักษณะงานประจำ และ ณ ช่วงเวลาใดก็ได้ตามต้องการ เพื่อสนับสนุนการตัดสินใจของผู้บริหารระดับสูงได้ โดยพิจารณาข้อมูลจากแหล่งต่าง ๆ ภายนอกองค์กร และนำมาประกอบการตัดสินใจในปัญหาที่ไม่มีโครงสร้างหรือรูปแบบที่แน่นอน ซึ่งอาจจะเป็นในรูปแบบของกระดาษ หรือหน้าจอคอมพิวเตอร์กราฟฟิก ตัวอย่างจากบริษัท Southstream Seafoods เป็นบริษัทนำเข้าและส่งออกอาหารทะเลแช่แข็ง เนื่องจากราคาของอาหารทะเลไม่คงที่ ผู้บริหารมีความจำเป็นที่จะต้องทราบราคาที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา โดยข้อมูลที่ผ่านการวิเคราะห์จากระบบ EIS ทำให้ได้รายงานที่สรุปถึงการเปลี่ยนแปลงของราคา ช่วงเวลาที่เกิดการเปลี่ยนแปลง และสาเหตุ ซึ่งผู้บริหารสามารถนำข้อมูลดังกล่าวมาคิดเป็นราคาที่เหมาะสมที่สุด ได้ราคาที่จะขายรวดเร็วกว่าคู่แข่ง และสามารถแจ้งให้ลูกค้าทราบได้ทันที ส่งผลให้เกิดข้อได้เปรียบทางด้านการตลาด

2.1.2 ระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กร

เป็นระบบการจัดการฐานข้อมูล (Database Management System) ที่เก็บรวบรวมข้อมูล ทำการประมวลผล และสามารถค้นคืนข้อมูล เพื่อให้ผู้บริหารมีสารสนเทศสำหรับใช้เป็นเครื่องมือในการติดตาม หรือวัดผลการดำเนินงานขององค์กรได้

โดยทั่วไปการที่จะมีระบบการเก็บข้อมูลเพื่อช่วยในการติดตามหรือวัดผลการดำเนินงานขององค์กรได้นั้น จะต้องมีฐานข้อมูล (Database) ที่เก็บข้อมูลในแต่ละกระบวนการงาน (Transaction Processing Systems) ที่มีความสำคัญหรืออยู่ในความสนใจของผู้บริหาร และมีระบบการจัดการฐานข้อมูล (Database Management System) ซึ่งเมื่อมีการสืบค้นหรือดึงข้อมูลออกมา ก็จะทำให้ทราบถึงสถานภาพของการดำเนินงานที่เป็นอยู่ในปัจจุบัน ผู้บริหารสามารถที่จะทราบถึงระดับหรือความก้าวหน้าของการดำเนินงานว่าอยู่ ณ จุดใด สามารถที่จะวัดผลการดำเนินงานเป็นเปอร์เซ็นต์ของความสำเร็จได้

แนวทางโดยสรุปก็คือ ระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถจัดเก็บ ประมวลผล และสามารถสืบค้นข้อมูลที่เกี่ยวข้องกับกระบวนการปฏิบัติงานขององค์กร เพื่อให้ทราบถึงสถานะของการดำเนินงานว่าอยู่ ณ จุดใด ซึ่งจะช่วยให้สามารถติดตามหรือวัดผลการดำเนินงานกับเป้าหมายขององค์กรที่ตั้งไว้ได้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอที่สามารถวัดระดับความสำเร็จของงานได้ เช่น ระบบการจัดการฐานข้อมูลของบริษัทขายผลิตภัณฑ์รองเท้าแห่งหนึ่ง ซึ่งมีฐานข้อมูลของโรงงานการผลิตที่เชื่อมต่อกับฐานข้อมูลของ Supplier และมีระบบการจัดการฐานข้อมูล (Database Management System) ที่สามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิต (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งหากเกิดกรณีที่ Supplier ไม่สามารถจัดส่งวัตถุดิบได้ทันต่อกระบวนการผลิต ระบบการจัดการฐานข้อมูลนี้จะทำให้ผู้บริหารทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้ ว่า Supplier ไม่สามารถส่งวัตถุดิบได้ทันเวลา และเป็นวัตถุดิบประเภทใด จำนวนเท่าไร ณ Process ใด ทำให้สามารถที่จะแก้ปัญหา หรือปรับปรุง เปลี่ยนแปลงได้อย่างถูกต้อง ตรงจุด และมีประสิทธิภาพ

2.1.3 ระบบการรายงานผลและเปรียบเทียบผลการดำเนินงานกับเป้าหมาย

ระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย เป็นระบบที่จะต้องมีระบบการจัดการฐานข้อมูล (Database Management System) เพื่อใช้ในการจัดเก็บ รวบรวม และการจัดการข้อมูลเพื่อให้ข้อมูลในแต่ละส่วนงานสามารถที่จะแสดงความสัมพันธ์กันได้ ซึ่งระบบการรายงานผลและสอบเทียบผลการดำเนินงานจะไปดึงข้อมูลในแต่ละส่วนงานที่เกี่ยวข้องกันจากฐานข้อมูลกลางที่องค์กรมี เพื่อนำมาเปรียบเทียบกับค่าเป้าหมายที่องค์กรตั้งไว้ เพื่อสรุปเป็นรายงานที่บ่งบอกให้ทราบถึงผลของการดำเนินงานที่เกิดขึ้น ซึ่งผู้บริหารสามารถนำรายงานดังกล่าว ไปใช้เป็นเครื่องมือในการตรวจสอบการดำเนินงานขององค์กรได้ว่าควรจะมีการปรับปรุง เปลี่ยนแปลง แก้ไขให้กระบวนการทำงานดีขึ้นได้อย่างไร และที่กระบวนการใด

แนวทางโดยสรุปของระบบการรายงานผลและสอบเทียบผลการดำเนินงานกับเป้าหมาย ก็คือ ระบบที่สามารถออกรายงานที่แสดงถึงผลของการดำเนินงานตามเป้าหมายต่าง ๆ ที่ได้กำหนดไว้

ตัวอย่าง : ระบบสามารถออกรายงาน ที่บ่งบอกให้ทราบถึงสถานภาพของการดำเนินงาน ว่าอยู่ตรงช่วงใด โดยอาจจะเปรียบเทียบผลการดำเนินงานเป็นตัวเลข กราฟหรือในลักษณะที่เป็นกราฟฟิกออกทางหน้าจอ ที่สามารถวัดระดับความสำเร็จของงานได้ เช่น บริษัทผลิตเสื้อผ้าแห่งหนึ่งใช้ฐานข้อมูลของ Oracle ที่ Run บน IBM AS/400 Server และมี Show Case Software (Report Generator) ที่สามารถออกรายงานตามที่ต้องการได้ และสามารถเปรียบเทียบยอดการผลิตในแต่ละช่วงเวลากับที่ทางบริษัทได้ตั้งเป้าไว้ ทำให้ทราบถึงจำนวนที่ขาดเหลือและเปอร์เซ็นต์ที่ขาดเหลือดังกล่าว ระบบสามารถควบคุมและทราบถึงขั้นตอนในกระบวนการผลิตเสื้อผ้า (Work in Process) ว่าอยู่ ณ จุดใด ควบคุมกระบวนการ ขั้นตอนในการจัดซื้อวัตถุดิบ หรือระบบการขนถ่ายสินค้าเป็นต้น ซึ่งจะทำให้ผู้บริหารสามารถติดตาม และทราบถึงความเป็นไปของระบบ หรือกระบวนการดำเนินงานได้

2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง

2.2.1 ระบบสารสนเทศที่สนับสนุนการเก็บข้อมูลพื้นฐานที่ใช้ในการบริหารและจัดการความเสี่ยง

ระบบในการบริหารความเสี่ยงจำเป็นจะต้องอาศัยระบบสารสนเทศที่เหมาะสมในการเก็บข้อมูลพื้นฐานและประมวลผลข้อมูล ซึ่งปัญหาของการเก็บข้อมูลในระบบคือ ข้อมูลในระบบอาจถูกนำเสนออย่างไม่เที่ยงตรงและไม่มีความสอดคล้องกับการนำเสนอข้อมูลในส่วนอื่นของระบบ และข่าวสารบางส่วนอาจมีข้อผิดพลาด คลุมเครือ หรือไม่ได้รับการแบ่งแยกอย่างเหมาะสมสำหรับการนำเสนอทางธุรกิจ

ดังนั้น ระบบสารสนเทศที่เหมาะสมจึงเป็นสิ่งสำคัญในการจัดเก็บข้อมูลพื้นฐานในแต่ละหน่วยงานขององค์กร ทั้งนี้ เพื่อให้มีศูนย์กลางในการรวบรวมข้อมูลในแต่ละหน่วยขององค์กร เพื่อให้แต่ละหน่วยสามารถแลกเปลี่ยนข้อมูลกันได้ และเพื่อให้ผู้บริหารสามารถดึงข้อมูลที่ต้องการเพื่อใช้เป็นแนวทางในการตัดสินใจถึงการบริหารความเสี่ยงใน แต่ละหน่วยงาน และเชื่อมโยงถึงการบริหารความเสี่ยงในภาพรวมขององค์กร

ตามหลักการแล้ว ในองค์กรจะมีศูนย์กลางที่เรียกว่า Risk Data Warehouse ซึ่งทำหน้าที่เก็บข้อมูล รวบรวมข้อมูล และประมวลผลข้อมูลในเบื้องต้นให้กับผู้บริหาร โดยข้อมูลดังกล่าวจะมาจากหน่วยงานต่างๆ ทั้งภายในและภายนอกองค์กร ดังนั้น หน้าที่หลักของ Risk Data Warehouse คือรวบรวมข้อมูลจากฝ่ายต่างๆ และนำมาจัดเรียงให้อยู่ในรูปแบบ (Format) ที่ฝ่ายบริหารต้องการเพื่อจะนำไปประมวลผลข้อมูลได้ทันที และระบบสารสนเทศต้องสามารถรองรับได้ทันทีหากข้อมูลมีการเปลี่ยนแปลงไป

Risk Data Processing

แนวทางโดยสรุป : ระบบสารสนเทศที่สามารถรวบรวมข้อมูลจากหน่วยงานต่างๆ ในองค์กร เพื่อเป็นศูนย์กลางในการรวบรวม แลกเปลี่ยนข้อมูลระหว่างหน่วยงาน และเพื่อให้ผู้บริหารสามารถใช้ข้อมูลเพื่อเป็นแนวทางตัดสินใจในการบริหารความเสี่ยงได้

ตัวอย่าง : ธนาคารแห่งหนึ่งมีหน่วยงานภายในหลายหน่วยงาน ล้วนแต่มีกิจกรรมที่ต่างกันและมีผลิตภัณฑ์ของแต่ละหน่วยงานที่ต่างกัน ดังนั้น จำเป็นต้องมีระบบสารสนเทศที่ทำการจัดเก็บข้อมูลในแต่ละหน่วยงาน เพื่อสามารถแปลงข้อมูลในแต่ละหน่วยงานที่มีความแตกต่างกันนี้ ให้อยู่ในรูปแบบเดียวกัน เพื่อให้ผู้บริหาร หรือหน่วยงานที่เกี่ยวข้องสามารถนำไปตัดสินใจในส่วนที่เกี่ยวข้องกับการบริหารความเสี่ยงได้ โดยผู้บริหารต้องทำการเรียกดูข้อมูลได้อย่างรวดเร็ว และเป็นข้อมูลที่ถูกต้องและอยู่ในรูปแบบที่เหมาะสมในการตัดสินใจ

โดยที่ข้อมูลดังกล่าว อาจจะมาจากภายในธนาคารเอง (Internal) หรือภายนอกธนาคาร (External) เช่น ข้อมูลของสาขาต่างประเทศของธนาคารดังกล่าวก็ได้ ซึ่งจะเป็นการใช้ประโยชน์จากระบบการเชื่อมโยงระหว่าง Server ของสาขา โดยระบบสารสนเทศนี้ต้องมีสามารถรองรับการเปลี่ยนแปลงของข้อมูล ในกรณีที่ข้อมูลมีการเปลี่ยนแปลง (Update) อยู่ตลอดเวลาได้

2.2.2 ระบบสารสนเทศที่สนับสนุนรายงานและการวิเคราะห์ระดับความรุนแรงและประเมินโอกาสที่เกิด / Early warning system (ระบบเตือนภัย / แจ้งให้ทราบถึงเหตุการณ์หรือความเสี่ยงที่จะเกิดขึ้นซึ่งมีผลกระทบรุนแรงต่อองค์กร)

องค์ประกอบหลักของการบริหารความเสี่ยงที่สำคัญคือ การระบุถึงระดับความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยงแต่ละประเภท ซึ่ง ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง และองค์กรต้องมีการจัดลำดับความเสี่ยงจากผลการวิเคราะห์ระดับเสียหายข้างต้นด้วย

ดังนั้น ระบบสารสนเทศ จะต้องสนับสนุนการมี Early Warning System เพื่อป้องกันความเสี่ยงหลัก โดยจัดให้มี Management Trail เพื่อการติดตาม สอบทานแบบต่อเนื่องอย่างเหมาะสม ในการบริหารความเสี่ยง

แนวทางโดยสรุป ระบบ Early Warning System คือ ระบบสารสนเทศที่สนับสนุนการจัดรูปแบบและประมวลผลข้อมูลให้อยู่ในรูปของระดับความรุนแรงในการเกิดเหตุการณ์ และโอกาสของการเกิดความเสี่ยงแต่ละประเภท เพื่อให้องค์กรได้กำหนดระดับที่ยอมรับได้ของความเสี่ยง (Limited Risk Level) ได้ และหากระดับความเสียหายเกินกว่า Level ที่ยอมรับได้ ระบบจะต้องทำการเตือน / รายงานทันทีโดยทันกาล (Timely manner)

ตัวอย่าง : องค์กรแห่งหนึ่ง ได้กำหนดระดับความเสียหาย (ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) ไว้ 5 ระดับ โดยทำเป็น Matrix ดังนี้

จากตารางด้านบน จะพบว่า องค์กรกำหนดระดับความถี่ไว้ 5 ระดับ และระดับความรุนแรงไว้ 5 ระดับ ดังนั้นระดับความเสียหาย จะอยู่ที่ระดับต่ำสุดคือ 1 และระดับสูงที่สุดคือ 25

ขั้นตอนของระบบในการประมวลผลและมีระบบเตือนภัย
1. ระบบสารสนเทศ จะทำการรวบรวมข้อมูลความเสี่ยงจากแต่ละหน่วยงาน โดยแต่ละหน่วยงานต้องระบุระดับความถี่และระดับความรุนแรงของความเสี่ยงแต่ละประเภท
2. องค์กรจะต้องระบุระดับความเสียหายที่ยอมรับได้ ซึ่งในที่นี้ ยกตัวอย่างระดับความเสียหายที่ยอมรับได้เท่ากับ 9
3. เมื่อระบบรวบรวมข้อมูลความเสี่ยงซึ่งระบุระดับความเสียหายของแต่ละหน่วยงานแล้ว ระบบจะต้องประเมินผลระดับความเสียหายของแต่ละปัจจัยเสี่ยง หากปัจจัยเสี่ยงใดมีระดับความเสียหายที่เกิน 9 (เกินระดับที่ยอมรับได้) ระบบจะต้องมีสัญญาณเตือน / รายงาน / แจ้งต่อผู้บริหารถึงระดับความเสียหายที่เกิดขึ้น เพื่อที่ผู้บริหารจะได้บริหารจัดการต่อความเสี่ยงนั้นได้ทันท่วงที

2.2.3 การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี (IT Governance)

คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
• การดูแลสภาพแวดล้อมที่ดี มีมาตรฐาน (IT Security) โดยรัฐวิสาหกิจสามารถเลือกมาตรฐานที่ใช้ควบคุมป้องกันมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ทั้งสิ้น 10 ประการ ดังนี้

IT Security ของศูนย์คอมพิวเตอร์หลัก

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

• การมีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-site Back up) โดยรัฐวิสาหกิจต้องมีการควบคุมป้องกันศูนย์คอมพิวเตอร์สำรองตามคุณลักษณะที่กำหนดเช่นเดียวกัน ซึ่งรัฐวิสาหกิจสามารถเลือกมาตรฐานใดก็ได้ แต่ต้องเป็นมาตรฐานที่อ้างอิงได้ เช่น มาตรฐานที่ผู้ผลิตระบบ/อุปกรณ์คอมพิวเตอร์ กำหนด หรือ มาตรฐานสากล เช่น EN, DIN, BS ฯลฯ เป็นต้น โดยกำหนดความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ ดังนี้

Off-site Back up

หมายเหตุ :
ความจำเป็นของมาตรการควบคุมป้องกันของแต่ละกลุ่มรัฐวิสาหกิจ ตามคุณลักษณะ จะแตกต่างกันตามการประเมินตนเองของรัฐวิสาหกิจด้วยการวิเคราะห์ Business Impact Analysis (BIA) และการระบุ / การวิเคราะห์ปัจจัยเสี่ยงขององค์กร

ครั้งหน้าจะไปต่อกันในส่วนของระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายในกันครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 30, 2009

ในครั้งที่แล้วผมได้กล่าวถึงลักษณะและรูปแบบของการติดตามผลการตรวจสอบ (Monitoring) ว่ามีลักษณะอย่างไร และท่านผู้บริหาร ผู้ตรวจสอบ สามารถที่จะติดตามผลของการตรวจสอบนั้นได้จากทางใดบ้าง สำหรับวันนี้ผมจะกล่าวต่อถึงขอบเขตของความถี่่ในการประเมินผล ซึ่งการประเมินผลในเรื่องการบริหารความเสี่ยงมีความแตกต่างกันในเรื่องขอบเขตและความถี่ ขึ้นอยู่กับความมีนัยสำคัญของความเสี่ยง และความสำคัญของการตอบสนองความเสี่ยงและการควบคุมที่เกี่ยวข้องในเรื่องการจัดการความเสี่ยง

พื้นที่ที่มีความเสี่ยงและการตอบสนองสูงกว่ามีแนวโน้มที่จะถูกประเมินผลบ่อยกว่า การประเมินผลความสมบูรณ์ของการบริหารความเสี่ยง ซึ่งโดยทั่วไปมีความถี่ในความจำเป็นน้อยกว่าการประเมินค่าเฉพาะส่วน อาจถูกกระตุ้นโดยเหตุผลมากมาย กลยุทธ์หลัก หรือการเปลี่ยนแปลงเรื่องการบริหาร การเข้าถือสิทธิ์หรืออำนาจในการควบคุม การเปลี่ยนแปลงทางเศรษฐกิจหรือเงื่อนไขทางการเมือง หรือการเปลี่ยนแปลงในการปฏิบัติการหรือวิธีการในการประมวลผลข้อมูล

เมื่อการตัดสินใจเกิดขึ้น เพื่อใช้เป็นการประเึมินผลที่ครอบคลุมของการบริหารความเสี่ยงขององค์กร ความตั้งใจควรมุ่งในการสร้างวิธีการเพื่อจัดตั้งกลยุทธ์ด้วยกิจกรรมที่สำคัญ ขอบเขตการประเมินผลขึ้นอยู่กับประเภทของวัตถุประสงค์ที่ถูกวางไว้ ว่าเป็นวัตถุประสงค์ประเภทใด รวมถึงมีใครเป็นผู้ประเมินผล บ่อยครั้งการประเมินผลใช้รูปแบบของการประเมินค่าตนเอง บุคคลผู้ซึ่งรับผิดชอบต่อหน่วยเฉพาะหรือหน้าที่กำหนดความมีประสิทธิภาพของการบริหารความเสี่ยงสำหรับกิจกรรมของพวกเขาเหล่านั้น

ผู้ตรวจสอบภายในทำการประเมินผลให้เป็นส่วนหนึ่งของหน้าที่ปกติ หรือเป็นคำขอร้องพิเศษของผู้บริหารอาวุโส กรรมการหรือผู้ช่วยหรือผู้บริหารของฝ่าย เช่นเดียวกันผู้บริหารอาจใช้ประโยชน์ สูงสุดจากผู้ตรวจสอบภายนอกในการพิจารณาความมีประสิทธิภาพของการบริหารความเสี่ยง การรวมกันของความพยายามต่าง ๆ ถูกใช้ในการดำเนินการ อย่างไรก็ตามการบริหารกระบวนการประเมินก็เป็นสิ่งจำเป็น

ขั้นตอนการประเมินผล
การประเมินผลการบริหารความเสี่ยงเป็นขั้นตอนภายในตัวเอง ขณะที่วิธีการหรือเทคนิคมีความแตกต่าง ความมีระเบียบควรนำมาใช้ในขั้นตอน ด้วยพื้นฐานที่มีอยู่อย่างถาวรและไม่แยกจากกัน

ผู้ทำการประเมินต้องเข้าใจในแต่ละกิจกรรมขององค์กรและแต่ละส่วนประกอบของการบริหารความเสี่ยง ซึ่งอาจเป็นประโยชน์ต่อการมุ่งเน้นเป็นอันดับแรกว่าการบริหารความเสี่ยงทำหน้าที่ได้ตามวัตถุประสงค์ได้อย่างไร ซึ่งบางครั้งอาจหมายถึงระบบหรือการออกแบบขั้นตอน

ผู้ทำการประเมินวิเคราะห์การออกแบบขั้นตอนการบริหารความเสี่ยงและผลของการทดสอบการปฏิบัติงาน การวิเคราะห์นี้เป็นการเปรียบเทียบกับการจัดฉากของผู้บริหารสำหรับแต่ละส่วน ประกอบด้วยเป้าหมายสูงสุดของการกำหนดว่ากระบวนการบริหารความเสี่ยงกระทำไปนั้นมั่นใจได้ว่าเข้ากันได้กับวัตถุประสงค์ที่กำหนดขึ้นหรือไม่

กลวิธีในการตรวจสอบ
ความหลากหลายของวิธีการประเมินผลและเครื่องมือสามารถหามาได้ที่ใช้ในการตรวจสอบการบริหารความเสี่ยง จะขึ้นอยู่กับเป้าหมายการตรวจสอบเป็นหลัก อย่างไรก็ดี ประสิทธิภาพและประสิทธิผลของกระบวนการบริหารความเสี่ยงจะต้องถูกประเมินด้วยการทดสอบการปฏิบัติงานจริง ซึ่งอาจจะใช้เทคนิคการประเมินความเสี่ยงตามฐานการตรวจสอบความเสี่ยง Risk Based Internal Audit (RBIA) ที่เน้นทางด้าน Manual หรือเน้นควบคู่กันไปกับการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ Computer Assisted Audit Technic (CAAT) เช่น ใช้ IDEA หรือ ACL และ/หรือเทคนิคการตรวจสอบแบบ Around The Computer หรือ Throgh The Computer เป็นต้น

ในฐานะที่เป็นส่วนหนึ่งของวิธีการประเมินผล บางองค์กรเปรียบเทียบขั้นตอนการบริหารความเสี่ยงกับองค์กรอื่น ๆ เช่น องค์กรหนึ่งอาจวัดผลกระบวนการกับบริษัทอื่นด้วยชื่อเสียงที่ได้จากการบริหารความเสี่ยง การเปรียบเทียบนี้อาจกระทำได้โดยตรงกับบริษัทอื่นหรือธุรกิจอื่น ๆ องค์กรอื่น ๆ อาจให้ข้อมูลเชิงเปรียบเทียบ การระวังเป็นสิ่งจำเป็นเมื่อดำเนินการเปรียบเทียบ ต้องพิจารณาความแตกต่างซึ่งคงอยู่ในวัตถุประสงค์ ข้อเท็จจริงและโอกาส และส่วนประกอบของการบริหารความเสี่ยงทั้ง 8 ประการ เช่นเดียวกับข้อจำกัดที่เป็นธรรมชาติของการบริหารความเสี่ยงจำเป็นต้องนำมาใส่ใจ

การทำเอกสารการรายงานความเสี่ยง
ขอบเขตในเรื่องเอกสารของการบริหารความเสี่ยงแตกต่างไปตามขนาดขององค์กร ความซับซ้อนและปัจจัยที่คล้ายกัน องค์กรที่มีขนาดใหญ่กว่ามักเขียนนโยบายเป็นลายลักษณ์อักษร มีแผนผังของโครงสร้างองค์กร มีการเขียน Job Description คำแนะนำในการปฏิบัติการ แผนผังระบบข้อมูล และอื่น ๆ องค์กรที่มีขนาดเล็กกว่าจะมีความใส่ใจในเรื่องเอกสารน้อยกว่า

การบริหารความเสี่ยงหลาย ๆ ด้าน เป็นสิ่งไม่เป็นทางการและไม่มีเอกสาร แต่มีผลการปฏิบัติงานที่ดีและมีประสิทธิภาพสูง กิจกรรมเหล่านี้อาจถูกทดสอบในแบบเดียวกันจนเหมือนเป็นเอกสาร ข้อเท็จจริงคือส่วนประกอบของการบริหารความเสี่ยงไม่ได้เป็นลายลักษณ์อักษร ไม่ได้หมายความว่าไม่มีประสิทธิภาพหรือไม่สามารถประเมินผลได้ อย่างไรก็ตาม ระดับที่เหมาะสมของเอกสารมักทำให้การตรวจติดตามมีประสิทธิภาพและประสิทธิผล

ผู้ทำการประเมินอาจตัดสินใจทำเอกสารขั้นตอนการประเมินผล ผู้ทำการประเมินจะร่างจากเอกสารของการบริหารความเสี่ยงที่มีอยู่ ซึ่งเป็นส่วนเสริมให้กับเอกสารที่เพิ่มขึ้นพร้อมกันกับอธิบายเรื่องการทดสอบและวิเคราะห์การปฏิบัติงานในขั้นตอนการประเมินผล

ผู้บริหารเจตนาทำประกาศให้ภายนอกทราบเกี่ยวกับความมีประสิทธิภาพของการบริหารความเสี่ยง ซึ่งจะต้องพัฒนาและรักษาเอกสารเพื่อสนับสนุนการประกาศ ดังนั้น เอกสารจึงมีประโยชน์หากประกาศนั้นถูกท้าทายในภายหลัง

การรายงานการบริหารความเสี่ยง
รูปแบบรายงานที่นำเสนอนี้สามารถใช้เพื่ออธิบายความเสี่ยง รายงานควรนำเสนอแนวทางที่ใช้ในการรวบรวมข้อมูลความเสี่ยงและแนวทางการให้คะแนนที่ใช้ในการประเมินความเสี่ยง และควรอธิบายคุณค่าซ่อนเร้นหรือโอกาสที่ถูกบ่งชี้เพื่อช่วยเหลือในการที่ผู้บริหารจะมุ่งเน้นในข้อมูลความเสี่ยงโดยรวม

หลักในการจัดทำรายงานความเสี่ย
1. การจัดทำรายงานต้องทันเวลา กระชับ และอยู่ในรูปแบบที่ช่วยให้การติดตามผลและการควบคุมขององค์กรมีประสิทธิผล
2. รายงานเบื้องต้นควรเน้นที่การแสดงความเสี่ยงในภาพโดยรวม และกิจกรรมเพื่อลดความเสี่ยงในระดับองค์กร กระบวนการและโครงการ รายงานความเสี่ยงที่ทำเป็นปกติควรรายงานความเสี่ยงสำคัญที่เกิดขึ้นเป็นรายเดือน และรายงานสถานะความเสี่ยงในภาพรวมเป็นรายไตรมาส
3. เน้นการติดตามการจัดการความเสี่ยงหลัก ยกเว้น ในกรณีที่สภาพแวดล้อมต่าง ๆ แสดงให้เห็นว่าความเสี่ยงนั้นหมดไปแล้ว

การรายงานผลการบริหารความเสี่ยงและการควบคุม รวมทั้งการปรับปรุงแก้ไข
จุดอ่อนในการบริหารความเสี่ยงอาจครอบครอบคลุมจากหลายแหล่งรวมถึงกระบวนการการตรวจติดตามอย่างต่อเนื่อง การประเมินผลแยกต่างหากและบุคคลภายนอก คำว่า “จุดอ่อน” อาจจะหมายถึง ความบกพร่องที่นำมาสู่ความเสียหายของการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร และยังหมายถึงสภาพภายในกระบวนการบริหารความเสี่ยง ดังนั้น จุดอ่อนที่ผู้ตรวจสอบภายในตรวจพบ อาจหมายถึง ศักยภาพของพนักงานที่อาจต้องมีการปรับปรุงแก้ไข เพื่อลดจุดอ่อน เพื่อช่วยเพิ่มความเป็นไปได้ซึ่งทำให้วัตถุประสงค์ขององค์กรบรรลุผล

แหล่งของข้อมูล
แหล่งที่ดีที่สุดของข้อมูลจากความบกพร่องในการบริหารความเสี่ยง คือ ตัวของการบริหารความเสี่ยงเอง

กิจกรรมการตรวจติดตามอย่างต่อเนื่องขององค์กร รวมถึงกิจกรรมทางการบริหารและการสั่งการผู้ใต้บังคับบัญชาทุก ๆ วัน การสร้างความเข้าใจลึกซึ้งจากผู้ที่เกี่ยวข้องโดยตรงในกิจกรรมขององค์กร ความเข้าใจลึกซึ้งนี้หาได้ในเวลาที่เป็นจริงและสามารถแยกแยะความบกพร่องได้อย่างรวดเร็ว แหล่งอื่นของความบกพร่องคือการประเมินผลที่แยกต่างหากของการบริหารความเสี่ยง การประเมินผลดำเนินการโดยผู้บริหาร ผู้ตรวจสอบภายใน หรือหน่วยงานอื่น ๆ ซึ่งสามารถเน้นพื้นที่ที่จะเป็นต้องปรับปรุง

หน่วยงานภายนอกเป็นผู้ให้ข้อมูลสำคัญบ่อย ๆ จากการทำงานในการบริหารความเสี่ยง ซึ่งรวมถึงลูกค้า คู่ค้า และผู้มีผลประโยชน์ร่วมที่ทำธุรกิจกับองค์กร ผู้ตรวจสอบภายนอกและผู้ดูแลกฎระเบียบ รายงานจากแหล่งภายนอกควรถูกพิจารณาอย่างระมัดระวังในเรื่องการตีความสำหรับการบริหารความเสี่ยงและควรมีการแก้ไขที่เหมาะสม

จากการประเมินและการติดตามผลการบริหารความเสี่ยง ผู้บริหาร ผู้ตรวจสอบต้องทำการรายงานการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง โดยจะต้องรายงานเรื่องใด และอย่างไรนั้น ผมจะมาพูดคุยกันต่อในครั้งต่อไป โปรดติดตามนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หลักเกณฑ์การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการ ผู้จัดการผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน

ธันวาคม 26, 2009

วันนี้ผมมีเรื่องหลักเกณฑ์การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการ ผู้จัดการผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน ของ ธปท. ซึ่งน่าจะมีประโยชน์ต่อผู้ที่สนใจ ในวงการสถาบันการเงิน และในวงการที่เกี่ยวข้อง ที่อาจนำไปประยุกต์ใช้ได้ตามที่เห็นสมควร สำหรับหน่วยงานอื่นที่ไม่ใช่สถาบันการเงิน แต่สำหรับหน่วยงานที่เป็นสถาบันการเงิน จะต้องปฏิบัติตามหลักเกณฑ์ฯ ที่ สนส. 14/2552 ลงวันที่ 9 กรกฎาคม 2552 อย่างเคร่งครัด

ธปท. ได้ระบุไว้ในเหตุผลในการออกประกาศฉบับนี้ โดยกล่าวว่า…ในสภาวะปัจจุบันระบบสถาบันการเงินมีการแข่งขันสูง และธุรกรรมต่าง ๆ ได้วิวัฒนาการไปอย่างรวดเร็ว มีความซับซ้อนและความเสี่ยงเพิ่มมากขึ้น กรรมการและผู้บริหารระดับสูงของสถาบันการเงิน จึงจำเป็นจะต้องมีคุณสมบัติที่เหมาะสม ทั้งในด้านจริยธรรม ความซื่อสัตย์สุจริต และความรู้ความสามารถในการบริหารจัดการ และควบคุมการดำเนินงาน ตลอดจนการกำกับดูแลให้สถาบันการเงินปฏิบัติตามกฎหมายและระเบียบข้อบังคับที่กำหนดไว้ เพื่อรักษาผลประโยชน์สูงสุดของสถาบันการเงิน และผู้มีส่วนเกี่ยวข้อง (Stakeholders) ซึ่งเป็นพื้นฐานสำคัญของการมีธรรมาภิบาลที่ดีในระบบสถาบันการเงิน

พระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 จึงกำหนดให้การแต่งตั้งกรรมการผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน ต้องได้รับความเห็นชอบจากธนาคารแห่งประเทศไทยก่อนเข้ารับตำแหน่ง และบุคคลดังกล่าว ต้องมีคุณสมบัติครบถ้วน และไม่มีลักษณะต้องห้าม ตลอดระยะเวลาที่ดำรงตำแหน่ง

ด้วยเหตุผลดังกล่าวข้างต้น ธนาคารแห่งประเทศไทย จึงปรับปรุงคุณสมบัติ และหลักเกณฑ์การพิจารณาให้ความเห็นชอบกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน ให้มีความชัดเจนมากยิ่งขึ้น สอดคล้องกับหลักเกณฑ์ที่เกี่ยวข้องของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และเป็นไปตามมาตรฐานสากล

อำนาจตามกฎหมาย
อาศัยอำนาจตามความในมาตรา 24 (4) ถึงมาตรา 24 (6) มาตรา 24 (7) ข มาตรา 24 (8) ถึงมาตรา 24 (10) และมาตรา 25 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 อันเป็นกฎหมายที่มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิเสรีภาพของบุคคล ซึ่งมาตรา 29 ประกอบกับมาตรา 31 มาตรา 33 มาตรา 36 มาตรา 39 มาตรา 41 และมาตรา 43 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย ธนาคารแห่งประเทศไทยออกข้อกำหนดเกี่ยวกับคุณสมบัติ และหลักเกณฑ์การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน ให้สถาบันการเงินถือปฏิบัติ

ขอบเขตการบังคับใช้
ประกาศนี้ให้ใช้บังคับกับสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง ยกเว้นตำแหน่งกรรมการของธนาคารพาณิชย์ต่างประเทศ ที่มีสาขาในประเทศไทย ไม่อยู่ภายใต้บังคับของประกาศฉบับนี้

ประกาศที่อ้างอิง
ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 13/2552 เรื่อง ธรรมาภิบาลของสถาบันการเงิน ลงวันที่ 9 กรกฎาคม 2552 และที่แก้ไขเพิ่มเติม

สำหรับเนื้อหาในประกาศฉบับนี้ จะเกี่ยวข้องกับคณะกรรมการสรรหา คณะกรรมการกำหนดผลตอบแทน ซึ่งคณะกรรมการดังกล่าวก็มีหลักการที่จะต้องปฏิบัติให้เป็นไปตามกฎเกณฑ์ และระเบียบของผู้กำกับต่อไปด้วยเช่นกัน และผมจะได้นำมาเล่าสู่กันฟังในโอกาสต่อไปนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

ธันวาคม 26, 2009

วันนี้ผมจะนำเสนอในรายละเอียดของ หลักเกณฑ์การประเมินผลการบริหารการจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 โดยจะกล่าวถึงหลักเกณฑ์การประเมินเฉพาะในส่วนที่ 1 ก่อน ซึ่งเป็นส่วนของการประเมินแผนแม่บทสารสนเทศ (IT Master Plan) สำหรับส่วนที่ 2 จะได้นำเสนอในครั้งต่อไป เนื่องจากมีรายละเอียดในแต่ละหัวข้อมากพอสมควร

ผมนำภาพมาให้ดูอีกครั้ง คงยังจำกันได้นะครับ

หลักเกณฑ์การประเมินส่วนที่ 1: การประเมินแผนแม่บทสารสนเทศ (IT Master Plan)
1.1 การตอบสนองต่อความต้องการขององค์กรและนโยบาย
แผนแม่บทฯ ต้องมีการพิจารณาให้เชื่อมโยงกับแผนวิสาหกิจขององค์กร และสอดคล้องกับนโยบายต่าง ๆ ซึ่งการประเมินจะพิจารณาตามเกณฑ์การประเมินดังนี้

1.1.1 ความสอดคล้องกับแผนวิสาหกิจเต็มตามศักยภาพของระบบสารสนเทศ พิจารณาจาก :
– แผนแม่บทฯ ตอบสนอง /สอดคล้อง / สนับสนุนต่อแผนวิสาหกิจครบทั้ง วิสัยทัศน์ ภารกิจ รวมทั้งกลยุทธ์ขององค์กรอย่างเหมาะสม
– มีการวิเคราะห์แผนงานหรือโครงการที่เกี่ยวข้องกับข้อ 2.1 ถึง 2.6 (ซึ่งจะนำเสนอในครั้งต่อไป)

1.1.2 การดำเนินการเพื่อตอบสนองต่อนโยบายที่สำคัญ มีหลักเกณฑ์การพิจารณาดังนี้
– การเพิ่มประสิทธิภาพ และ/หรือ ลดขั้นตอนการปฏิบัติงาน พิจารณาจาก :
ก) แผนแม่บทฯ ให้ความสำคัญที่ชัดเจนต่อการเพิ่มประสิทธิภาพ และ/หรือ ลดขั้นตอนการปฏิบัติงาน
ข) ขั้นตอนที่ปรับเปลี่ยนมีผลกระทบอย่างชัดเจนในการเพิ่มประสิทธิภาพ และลดขั้นตอนการปฏิบัติงาน ประหยัดค่าใช้จ่ายของรัฐวิสาหกิจ มีความเหมาะสมกับรัฐวิสาหกิจและงบประมาณ และไม่ส่งผลเสียหายต่อรัฐวิสาหกิจ

– ประชาชน/ผู้ใช้บริการได้รับความสะดวกและได้รับการตอบสนองตามความต้องการ พิจารณาจาก :
ก) แผนแม่บทฯ ให้ความสำคัญที่ชัดเจนต่อการตอบสนองตามความต้องการของประชาชน/ผู้ใช้บริการ
ข) มีการระบุข้อมูลถึงความต้องการของประชาชน/ผู้ใช้บริการ หรือ แนวทางการประเมินความต้องการของประชาชนผู้ใช้บริการ

– การใช้ข้อมูลร่วมกัน พิจารณาจาก :
ก) แผนแม่บทฯ ให้ความสำคัญที่ชัดเจนต่อการใช้ข้อมูลร่วมกัน รวมถึงให้กระทรวงเจ้าสังกัดสามารถดึงข้อมูลได้
ข) มีโครงการที่ดำเนินการเกี่ยวข้อง

1.2 องค์ประกอบหรือรายละเอียดแผนปฏิบัติการ
ในแผนปฎิบัติการระดับองค์กรที่ถ่ายทอดมาจากแผนแม่บทฯ ควรมีองค์ประกอบหรือรายละเอียดดังนี้

1.2.1 กลุ่ม / ลำดับความสำคัญของแผนงาน / โครงการดังกล่าวอย่างเหมาะสม พิจารณาจาก :
– มีการจัดเรียงกลุ่มลำดับความสำคัญของโครงการ / แผนงาน ซึ่งหลักเกณฑ์การแบ่งกลุ่มมีความเหมาะสม และสามารถระบุได้ว่า จะดำเนินการเรื่องใดก่อน-หลัง เช่น กลุ่มลำดับความสำคัญสูง กลุ่มลำดับความสำคัญปานกลาง เป็นต้น และในกรณีที่มีข้อจำกัดทางทรัพยากร เช่น งบประมาณที่จำกัด การจัดกลุ่มดังกล่าวสามารถคัดเลือกโครงการที่จะดำเนินการก่อนได้

1.2.2 KPI ที่แสดงถึงความสำเร็จและสะท้อนผลลัพธ์ที่คาดหวัง พิจารณาจาก :
– ทุกโครงการ / แผนงานควรมีการระบุถึง KPI ที่สะท้อนความสำเร็จและสะท้อนผลลัพธ์ที่คาดหวัง โดยเป้าหมายควรมีความท้าทาย รวมทั้งมีความชัดเจนและสามารถวัดได้อย่างเป็นรูปธรรม เช่น ในกรณีที่นำระบบสารสนเทศมาช่วยในการลดระยะเวลาการให้บริการ ควรมี KPI ที่เป็นระยะเวลาการให้บริการที่ลดลงในระหว่างการดำเนินงาน ณ สิ้นปีบัญชีแรก และระยะเวลาที่ลดลงในปีถัดไปหรือเมื่อการดำเนินงานเสร็จสิ้น เป็นต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 23, 2009

การติดตามผล (Monitoring) และการตรวจสอบ ที่ผมจะนำเสนอในวันนี้ เป็นกระบวนการบริหารความเสี่ยง Enterprice Risk Management (COSO – ERM) ประการที่ 8 ซึ่งเป็นกระบวนการบริหารความเสี่ยงประการขั้นสุดท้าย แต่ก็มิได้หมายความว่าการจัดการในการบริหารความเสี่ยงจะสิ้นสุดลงเพียงแค่นี้ ยังมีหลักเกณฑ์ / หลักการอื่นอีกหลายอย่างที่ผู้บริหารสามารถนำมาใช้ในการบริหารความเสี่ยงขององค์กรได้ อาทิเช่น แนวทางการบริหารแผนงาน/โครงการขององค์กร ซึ่งผมจะได้นำเสนอในโอกาสต่อไป

การบริหารความเสี่ยงต้องได้รับการตรวจสอบ ซึ่งก็คือกระบวนการประเมินการมีอยู่และการทำงานของส่วนประกอบต่าง ๆ ตลอดเวลา ที่ประสบความสำเร็จโดยผ่านการตรวจติดตามกิจกรรมอย่างต่อเนื่อง การประเมินผลแยกต่างหากหรือทั้งสองอย่าง การตรวจติดตามอย่างต่อเนื่องเกิดขึ้นในกิจกรรมปกติของผู้บริหาร ขอบเขตและความถี่ของการประเมินผลแยกต่างหากขึ้นอยู่กับการประเมินค่าความเสี่ยงและความมีประสิทธิภาพของขั้นตอนการตรวจติดตามอย่างต่อเนื่อง ข้อบกพร่องในการบริหารความเสี่ยงของกิจการได้ถูกรายงานผลไปสู่ผู้บริหารระดับสูงและกรรมการ

การบริหารความเสี่ยงของกิจการเปลี่ยนแปลงตลอดเวลา การตอบสนองความเสี่ยงซึ่งเคยมีประสิทธิภาพอาจกลับกลายเป็นไม่มีความสัมพันธ์ การควบคุมกิจกรรมอาจมีประสิทธิภาพน้อยลงหรือไม่ได้แสดงออกมาก หรืออาจมีการเปลี่ยนแปลงวัตถุประสงค์ขององค์กร อาจเป็นผลมาจากการเข้ามาของบุคลากร การเปลี่ยนแปลงในโครงสร้างหรือทิศทางขององค์กร หรือการเข้ามาของกระบวนการใหม่ ๆ ในการเผชิญกับการเปลี่ยนแปลงนี้ ผู้บริหารจำเป็นต้องกำหนดว่าการทำหน้าที่ของแต่ละส่วนประกอบของการบริหารความเสี่ยงยังคงมีประสิทธิภาพอยู่ต่อไปหรือไม่

ลักษณะของการติดตามผล
– การประเมินความมีประสิทธิผลและความต่อเนื่องของกิจกรรมการควบคุม และกิจกรรมอื่น ๆ ที่ใช้ในการจัดการความเสี่ยง
– การกำหนดเป้าหมายและระดับจำกัดความเสี่ยงที่เหมาะสม
– การรวบรวมและบันทึกข้อมูลที่เหมาะสม
– การติดต่อสื่อสารเกี่ยวกับความเสี่ยงและกระบวนการต่าง ๆ อย่างสม่ำเสมอและเปิดเผยทั้งแบบเป็นทางการและไม่เป็นทางการ

รูปแบบของการติดตามผล
การติดตามผลและการตรวจสอบ สามารถทำได้ 2 ทาง คือ
1. การติดตามผลระหว่างดำเนินการอย่างต่อเนื่อง (Ongoing Monitoring) หมายถึงการสังเกตการติดตามการมีระบบรายงานความคืบหน้าของงาน รวมทั้งสอบทานหรือการยืนยันยอดระหว่างการปฏิบัติงาน
2. การประเมินอิสระ (Separate Evaluation) เป็นการประเมินตามช่วงเวลาที่กำหนดขึ้นหรือการประเมินอิสระ หมายถึง การประเมินอิสระโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายในขึ้น เพื่อให้สามารถแสดงความคิดเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น

การติดตามผลทั้งระหว่างดำเนินงานอย่างต่อเนื่อง และการประเมินอิสระ เป็นการทำให้แน่ใจว่า ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร ถูกนำไปใช้ทั่วถึงทุกระดับในองค์กร การติดตามผลระหว่างดำเนินงานมีการโต้ตอบ หากสภาวการณ์เปลี่ยนแปลงไปในเวลาที่เป็นปัจจุบัน จึงมีประสิทธิภาพมากกว่าการประเมินอิสระ เพราะการประเมินแบบอิสระเกิดขึ้นภายหลังที่ทราบข้อสังเกตหรือข้อเท็จจริงแล้ว

ความถี่ของการประเมินอิสระขึ้นอยู่กับการพิจารณาของฝ่ายจัดการ โดยการกำหนด หรือพิจารณาธรรมชาติ หรือระดับของการเปลี่ยนแปลง ทั้งเหตุการณ์ภายในและภายนอกและความเสี่ยงที่เกี่ยวข้อง การตอบสนองต่อความเสี่ยงและการควบคุมที่มีและความเสี่ยงร่วม

ความสามารถและประสบการณ์ของบุคลากรในการจัดการกับการตอบสนองความเสี่ยง และการควบคุมที่เกี่ยวข้องและผลของการตรวจติดตามอย่างต่อเนื่อง โดยปกติการรวมกันของการตรวจติดตามอย่างต่อเนื่องและการประเมินผลแยกต่างหาก ทำให้มั่นใจได้ว่าการบริหารความเสี่ยงจะรักษาไว้ซึ่งประสิทธิภาพตลอดเวลา

การตรวจติดตามความเสี่ยงอย่างต่อเนื่องถูกสร้างขึ้นในกิจกรรมการปฏิบัติที่เกิดขึ้นใหม่ขององค์กร การตรวจติดตามความเสี่ยงอย่างต่อเนื่องแสดงออกมาตามเวลาจริง โต้ตอบอย่างเป็นพลวัตรกับเงื่อนไขที่เปลี่ยนแปลงและฝังติดอยู่กับองค์กร ผลก็คือการตรวจติดตามความเสี่ยงอย่างต่อเนื่องจึงมีประสิทธิภาพมากกว่าการประเมินผลแยกต่างหาก

เนื่องจากการประเมินผลแยกต่างหากเกิดขึ้นหลังจากข้อเท็จจริง ปัญหามักจะถูกแยกแยะได้เร็วกว่าจากการตรวจติดตามอย่างต่อเนื่องประจำวัน

หลายองค์กรที่มีกิจกรรมการตรวจติดตามอย่างต่อเนื่องถึงกระนั้นก็ยังทำการประเมินผลแยกต่างหากในการบริหารความเสี่ยง องค์กรซึ่งรับรู้ความจำเป็นในการประเมินผลแยกต่างหากควรมุ่งเน้นเรื่องการเพิ่มการตรวจติดตามอย่างต่อเนื่องโดยการ “สร้าง” และ “เพิ่ม” กิจกรรมที่เหมาะสมกับการตรวจสอบและการรายงานผล

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

ธันวาคม 20, 2009

เพื่อเป็นการเตรียมพร้อมสำหรับการประเมินการบริหารสารสนเทศของรัฐวิสาหกิจในปีหน้า วันนี้ผมจะขอนำเสนอเกณฑ์ในการประเมินการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปีบัญชี 2553 โดยเกณฑ์การประเมินนี้จะกล่าวถึง ระบบสารสนเทศที่สามารถนำมาช่วยสนับสนุนการดำเนินงาน และเพิ่มประสิทธิภาพของรัฐวิสาหกิจ และยังมีบทบาทเป็นโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานของรัฐวิสาหกิจ อันเนื่องมาจากความสามารถของระบบในการรองรับธุรกรรมจำนวนมาก

ดังนั้น ในการประเมินการบริหารจัดการสารสนเทศ จะพิจารณาจากแผนแม่บทสารสนเทศ (IT Master plan) ว่าจะสามารถตอบสนองต่อความต้องการของรัฐวิสาหกิจและนโยบายหรือไม่ รวมถึงการดำเนินงานตามแผนแม่บทฯ ที่องค์กรได้กำหนดขึ้นและผลลัพธ์ของการดำเนินงานดังกล่าว

หลักเกณฑ์การพิจารณาการบริหารการจัดการสารสนเทศ ซึ่งดำเนินการโดยคณะอนุกรรมการบริหารสารสนเทศของ สคร. – กระทรวงการคลัง แบ่งออกเป็น 2 ส่วน ได้ดังนี้

ส่วนที่ 1 การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)

ส่วนที่ 2 การบริหารการจัดการสารสนเทศ
มีการวิเคราะห์แผนงาน/โครงการ เพื่อให้สอดคล้องกับแผนแม่บทสารสนเทศ ดังนี้ :-
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่าง ๆ ของรัฐบาล
2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ และผู้มีส่วนได้

ดูภาพจากด้านล่างนี้นะครับ แล้วจะเข้าใจชัดเจนยิ่งขึ้น

สำหรับรายละเอียดในแต่ละหัวข้อ ผมจะเล่าให้ฟังในครั้งหน้านะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ธันวาคม 15, 2009

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

มาบตาพุดมีความเสี่ยงสูงสุด และมีผลกระทบกระเทือนรุนแรงในระยะยาว ในระดับที่เกินกว่าประเทศยอมรับได้?

ธันวาคม 15, 2009

ผู้มีผลประโยชน์ร่วมหลายกลุ่ม มีผลกระทบหนักต่อกรณีศาลปกครองสูงสุด สั่งระงับ 65 โครงการมาบตาพุด ทั้งสมาคมอุตสาหกรรมก่อสร้าง และสมาคมธนาคารไทย โดยนายอภิศักดิ์ ตันติวรวงศ์ กรรมการผู้จัดการ ธนาคารกรุงไทยและประธานสมาคมธนาคารไทย กล่าวว่า

ผลกระทบจากการระงับโครงการลงทุนในมาบตาพุดจะมีความรุนแรงในระยะยาว และเป็นปัจจัยเสี่ยงต่อเศรษฐกิจไทยเป็นอันดับหนึ่ง ที่มีผลกระทบในวงกว้างมากกว่าปัจจัยทางการเมืองในอนาคต โดยเฉพาะในปี 2553 ที่การลงทุนจะเป็นเครื่องจักรสำคัญในการฟื้นเศรษฐกิจ อาจอยู่ในสภาพที่ไม่พร้อมใช้งานมากนัก

ทั้งการลงทุนภาครัฐและเอกชนจะต้องลดลง ซึ่งการลงทุนภาครัฐที่เป็นการลงทุนขนาดใหญ่ ที่ต้องการทำการวิเคราะห์ผลกระทบสิ่งแวดล้อม (อีไอเอ : EIA) หากโดนร้องเรียนก็อาจถูกชะลอได้ เป็นผลกระทบที่มีวงกว้างกว่าโครงการในมาบตาพุด หากว่าไม่รีบแก้ไขกฎระเบียบการลงทุนที่ชัดเจนได้ ตามที่เป็นข่าวในหนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันจันทร์ที่ 14 ธ.ค. 2552 และสื่อ อื่น ๆ ที่มีเนื้อหาแตกต่างกันนั้น

กรณีมาบตาพุด น่าจะมีคำถามที่สำคัญที่เกี่ยวข้องกับ GRC หรือการบริหารในลักษณะ Integrity – Driven Performance ในระดับประเทศเป็นอย่างยิ่งว่า การกำกับดูแลกิจการที่ดี (CG – Governance) การบริหารความเสี่ยงแบบบูรณาการ (R – Risk Managment) เพื่อก้าวไปสู่วัตถุประสงค์ในเรื่องต่าง ๆ เพื่อขับเคลื่อนภารกิจของรัฐบาลที่ต้องการความร่วมมือ และความเข้าใจของหน่วยงานต่าง ๆ เพื่อขับเคลื่อนเศรษฐกิจการเงิน และการลงทุนของประเทศ ซึ่งสามารถนำหลักการของ COSO – ERM มาใช้ได้นั้น

รัฐบาลมีความพร้อมและได้ใช้หลักการบริหารที่เป็นที่ยอมรับกันทั่วโลกนี้อย่างไรบ้าง และการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ กติกา สังคมของนานาชาติ และของประเทศ (C – Compliance) ที่ต้องมีมาตรฐานหรือ Best Practice เป็นกติกากำหนดให้มีการปฏิบัติ และเป็นที่ยอมรับกันได้ในสังคมทั่วโลกนั้น หน่วยงานภาครัฐ รวมทั้งภาครัฐบาล มีความพร้อม มีความเข้าใจในเรื่องนี้เพียงใด มีการปฏิบัติในเชิงกลยุทธ์ที่เหมาะสมหรือไม่

จากปัญหาที่ผ่านมา ผมมีข้อสังเกตเบื้องต้นว่า เรื่อง GRC ในระดับรัฐบาล รวมทั้งหน่วยงานของรัฐบางหน่วย มีความเข้าใจในการบริหารและดำเนินการค่อนข้างจำกัด โดยเฉพาะอย่างยิ่งการประสานงานข้ามหน่วยงานของภาครัฐ ในหน่วยงานต่าง ๆ ที่เกี่ยวข้อง

ดังนั้น กรณีของมาบตาพุดจึงเป็น กรณีศึกษา (Lesson – Learned) ที่น่าสนใจยิ่งว่า ภาครัฐ โดยเฉพาะอย่างยิ่งภาพรวมของทางการ ขาดมุมมองในการกำหนดระดับความเสี่ยง และความเสียหายที่ประเทศจะยอมรับได้ (Risk Appetite / Risk Tolerance) ในแง่มุมต่าง ๆ ซึ่งหากพิจารณาตามหลักการขององค์ประกอบของการบริหารความเสี่ยงในระดับองค์กร ที่ประยุกต์ใช้ได้ดีกับระดับความเสี่ยงของประเทศ เพื่อกำหนดกรอบการบริหาร การควบคุม กระบวนการจัดการที่เหมาะสม เพื่อลดระดับความเสี่ยงให้อยู่ในระดับที่ประเทศไทยยอมรับได้นั้น ยังไม่มีการดำเนินการกันอย่างเป็นรูปธรรมกัน

ความเสียหายที่เกิดขึ้นกับกลุ่มผู้มีผลประโยชน์ร่วมอื่น ๆ ที่มีผลกระทบทางลบ จากกรณีเหตุการณ์มาบตาพุด นอกเหนือจากที่ได้กล่าวไว้ข้างต้นแล้ว ก็ยังจะตามมาด้วย การขาดความเชื่อมั่นของประเทศไทย ทั้งในปัจจุบันและในอนาคต ซึ่งต้องใช้เวลายาวนานกว่าจะรื้อฟื้นความเชื่อมั่นมาสู่นักลงทุน ที่จะมีผลกระทบติดตามมาอย่างมากมายได้อีกมาก เช่น หากนักลงทุน/กลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ ฟ้องร้องค่าเสียหายจากรัฐบาลไทย โอกาสที่ทางรัฐบาลจะต้องรับความเสียหายมีสูงมาก +++

อีกครั้งหนึ่งที่ผมอยากจะใคร่กล่าวถึงปัญหาสิ่งแวดล้อม กรณีโรงไฟฟ้า อ.แม่เมาะ จ.ลำปาง ที่มีมลภาวะจากการผลิตกระแสไฟฟ้า ทางการก็ให้ กฟผ. แก้ไข แต่ไม่ได้หยุดการผลิตไฟฟ้าบริการประชาชน โดย กฟผ. ดำเนินการควบคู่กันไป ซึ่งในที่สุด กฟผ. ก็สามารถควบคุมมลภาวะจากการผลิตกระแสไฟฟ้า และก็สามารถดำเนินการผลิตกระแสไฟฟ้าต่อเนื่องได้จนถึงในปัจจุบัน

ส่วนตัวของผม ผมชอบกรณีการแก้ไขปัญหามลภาวะที่โรงไฟฟ้า อ.แม่เมาะ เป็นอย่างมากครับ และอดคิดไม่ได้ว่า กรณีมาบตาพุด น่าจะใช้เหตุการณ์และการดำเนินงานอย่างกรณีโรงไฟฟ้า อ.แม่เมาะ ก็น่าจะเป็นประโยชน์กับกลุ่มผู้มีผลประโยชน์ร่วม กับทุก ๆ กลุ่ม

ท่านลองเปรียบเทียบดูซิครับว่า หากทางการหรือรัฐบาล หรือหน่วยงานที่เกี่ยวข้อง ที่มิใช่หน่วยงานหนึ่งหน่วยงานใดเท่านั้นที่จะรับผิดชอบในเรื่องนี้ สามารถกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ กรณีมาบตาพุด เมื่อเทียบกับสิ่งที่ได้รับ ที่เห็นภาพชัดเจนของกลุ่มผู้มีผลประโยชน์ร่วมทางด้านสิ่งแวดล้อม ดุลยภาพในการตัดสินใจควรจะอยู่ที่ใด และรัฐบาลควรจะมีหน่วยงานใดในการพิจารณา และดูแล ความเสียหายที่มีผลกระทบภาครัฐต่าง ๆ ทั้งที่เป็นความเสียหายทางการเงิน และมิใช่ทางการเงิน โดยกำหนดแนวทางการบริหารการจัดการที่เหมาะสมได้

ภาพด้านล่างต่อไปนี้ จะเป็นการอธิบายโดยใช้แผนภาพที่ผมเคยนำเสนอมาแล้วอีกครั้งหนึ่ง เพื่อให้ท่านผู้อ่าน โดยเฉพาะอย่างยิ่งทางการ/รัฐบาล ได้ประเมินตนเองของการบริหารที่มีความแตกต่างกันทางด้านความคิด และการปฏิบัติของหน่วยงานต่าง ๆ ดังนี้

ประเทศไทยของเราและหรือองค์กรของท่าน อยู่ในหมายเลขใดของกระบวนการจัดการบริหารความเสี่ยง

จากภาพข้างต้น โดยเฉพาะอย่างยิ่ง กรณีมาบตาพุด ท่านลองเลือกข้อ ซึ่งแสดงทิศทางการบริหารการจัดการในระดับประเทศ ที่ต้องการผู้นำที่มีความเข้าใจในการชี้ทิศทาง โดยการแก้ไขปัญหาล่วงหน้าโดยใช้หลักการบริหารเชิงรุก หรือการบริหารความเสี่ยงที่เป็นระบบ และมีการกำกับการบูรณาการ และการสอดประสานงานกันในหน่วยงานต่าง ๆ ของภาครัฐกันเป็นอย่างดี มิใช่ให้หน่วยงานหนึ่ง ออกความเห็นว่า ให้ดำเนินการก่อสร้างได้ และมีหน่วยงานของรัฐอีกแห่งหนึ่งบอกว่า ให้หยุดสร้าง และอีกหน่วยงานหนึ่งมีความเห็นว่า +++?? และทำให้ผู้กำกับภาพใหญ่ คือ รัฐบาล งุนงงว่าจะจัดการกับปัญหาเหล่านี้ได้อย่างไร และทำไมเหตุการณ์เหล่านี้จึงเกิดขึ้นได้

คำตอบในข้อสังเกตข้างต้นก็คือ ภาครัฐและผู้กำกับในระดับสูง ที่ต้องการกำกับในลักษณะ Integrity – Driven Performance และในระดับประเทศยังคงต้องปรับปรุงกระบวนการบริหารและการจัดการเชิงรุก โดยมองเหตุการณ์ไปข้างหน้า หรือมองไปในอนาคตว่า เหตุการณ์ที่ไม่พึงประสงค์ต่าง ๆ ที่มีผลกระทบเชิงลบต่อวัตถุประสงค์เชิงกลยุทธ์ ทั้งปัจจัยภายในและปัจจัยภายนอก ควรมีอะไรบ้าง และควรจะต้องจัดให้มีการควบคุมเช่นใด และควรจะมีการติดตามกำกับอย่างไร ซึ่งเรื่องนี้จะเกี่ยวข้องกับการบริหารในมุมมองของ GRC และการบริหารความเสี่ยงที่ใช้กรอบ COSO – ERM ทั้งสิ้น

ทำอย่างไร ประเทศไทยของเราจึงจะกำหนด Vision ในระดับประเทศ ซึ่งผมก็ไม่รู้ว่าคืออะไรในปัจจุบันนั้น และไม่ทราบว่ามีรัฐบาลใด มีการกำหนด Vision ของประเทศเป็นลายลักษณ์อักษร และสื่อสารให้คนไทยได้รับทราบ โดยเฉพาะอย่างยิ่ง ให้หน่วยงานทั้งภาครัฐและเอกชนได้รับทราบร่วมกัน เพื่อขับเคลื่อนพันธกิจไปสู่วิสัยทัศน์ที่ต้องการนั้นคืออะไร

ผมลองคิดเล่น ๆ นะครับว่า ถ้าเราจะกำหนด Vision ของประเทศ โดยมีข้อคิดที่นำไปสู่การปฏิบัติโดยใช้คำว่า … “ปลูกฝังสังคมไทยให้เป็นนักคิดอย่างสร้างสรรและนำไปปฏิบัติ เพื่อให้ประเทศไทยก้าวไปสู่การเจริญเติบโตอย่างยั่งยืนได้” หรือ…

ผมทราบว่าประเทศเพื่อนบ้านของเราบางประเทศ มีขนาดเล็กกว่าประเทศไทยด้วยซ้ำ ได้กำหนด Vision ของประเทศว่า “ปี ค.ศ. 2020 เราจะเป็นประเทศที่พัฒนาแล้ว” ท่านคิดว่ามีหมายความที่ตั้งเป้าประสงค์ของประเทศในระดับที่ท้าทาย ที่รัฐบาลและภาคเอกชนจำเป็นต้องร่วมกันกำหนดพันธกิจของประเทศ ในแง่มุมต่าง ๆ เพื่อก้าวไปสู่วิสัยทัศน์ที่ท้าทายนั้นให้จงได้

สำหรับกรณีมาบตาพุดนี้ ท่านคิดว่า ประเทศไทยยังขาดองค์รวมของการบริหารและการจัดการแบบบูรณาการ ที่จะต้องเริ่มต้นด้วยความเข้าใจวิสัยทัศน์ และพันธกิจ และกระบวนการบริหารจัดการบริหารความเสี่ยง โดยกำหนดกลยุทธ์ และแผนงาน/โครงการที่สัมพันธ์กันกับพันธกิจและวิสัยทัศน์นั้น ซึ่งขณะนี้ประเทศเรายังขาดการกำหนดวิสัยทัศน์ระดับประเทศที่ชัดเจนหรือไม่ครับ?

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 14, 2009

วันนี้ผมจะมาเล่าต่อให้จบในเรื่องของข้อมูลและการสื่อสาร เพื่อที่ครั้งหน้าจะได้เริ่มกันในกระบวนการบริหารความเสี่ยง Enterprise Risk Management (COSO – ERM) กระบวนการขั้นที่ 8 นั่นก็คือ การติดตามผลและการตรวจสอบ ซึ่งเป็นกระบวนการขั้นสุดท้ายของกระบวนการบริหารความเสี่ยง ทั้ง 8 ประการกันครับ

การติดต่อสื่อสารภายนอกและการนำไปประยุกต์ใช้ขององค์กรทั่วไป ด้วยการเปิดช่องทางการสื่อสารภายนอก ลูกค้าและ Supplier สามารถส่งข้อมูลสำคัญโดยการออกแบบหรือคุณภาพสินค้าหรือการบริการ เพื่อให้บริษัทหาความต้องการหรือความชอบของลูกค้า การเปิดเผยข้อมูลเรื่องความเสี่ยงที่ยอมรับได้และระดับความเสี่ยงที่ยอมรับได้ขององค์กรเป็นสิ่งสำคัญ เฉพาะเจาะจงสำหรับองค์กรซึ่งเชื่อมโยงกับส่วนอื่น ๆ ใน ส่วน Supply Chain หรือ การค้า การบริการ ทาง e-Business ดังเช่นตัวอย่าง ผู้บริหารพิจารณาว่าความเสี่ยงที่ยอมรับได้ และระดับความเสี่ยงที่ยอมรับได้เข้ากันได้กับคู่ค้าอย่างไร มั่นใจได้ว่าจะไม่ให้ความเสี่ยงที่มากเกินไปกับคู่ค้าทั้งหลาย

การติดต่อสื่อสารจากภายนอก มักจะให้ข้อมูลโดยการทำงานของการบริหารความเสี่ยง ความเข้าใจของผู้ตรวจสอบภายนอกในเรื่องกลยุทธ์องค์กร การปฏิบัติการ และประเด็นทางธุรกิจที่เกี่ยวข้องและระบบควบคุมที่จัดให้ผู้บริหาร และความเสี่ยงที่สำคัญของกรรมการและการควบคุมข้อมูล

การติดติดต่อสื่อสารกับผู้มีผลประโยชน์ ผู้สร้างกฎระเบียบ นักวิเคราะห์ทางการเงินและฝ่ายต่าง ๆ ที่อยู่ภายนอก ทำให้ได้ข้อมูลเกี่ยวกับความต้องการของพวกเขา เพื่อให้เกิดความเข้าใจเหตุการณ์และความเสี่ยง การติดต่อสื่อสารความมีความหมาย ตรงกับปัญหา และตรงเวลา และปฏิบัติตามกฎหมายและกฎระเบียบ
หน้าที่ของผู้บริหารในการติดต่อสื่อสารกับภายนอก คือเปิดเผยและเตรียมพร้อม และจริงจังในการติดตามผล

วิธีการในการติดต่อสื่อสาร
การติดต่อสื่อสาร อาจทำในรูปแบบของคู่มือนโยบาย บันทึก e-mail บอร์ดประกาศข่าว และข้อความจากวีดีโอเทป หากเป็นข้อความที่ส่งทางวาจา สำหรับกลุ่มใหญ่ การประชุมเล็ก ระดับของเสียงและภาษากายจะช่วยเน้นในสิ่งที่พูด

ข้อมูลที่นำเสนอหรือกำหนด สามารถส่งผลต่อการตีความของข้อมูลได้อย่างไร และความเสี่ยงและโอกาสถูกมองได้อย่างไร

แนวโน้มของมนุษย์เกี่ยวกับการตัดสินใจได้แสดงออกมาระหว่างหน่วยธุรกิจ การปฏิบัติหน้าที่และกิจกรรม เช่น บุคลากรบางคนมีความเคยชินที่จะรับเงื่อนไขความเสี่ยงกว่าในเรื่องผลกำไร ในขณะที่คนอื่น ๆ อาจตามหาความสูญเสียต่ำสุด จากการรับรู้เกี่ยวกับแนวโน้มของมนุษย์เหล่านี้ ผู้บริหารของ องค์กร สามารถที่จะกำหนดข้อมูล เพื่อช่วยเสริมความเสี่ยงที่ยอมรับได้และพฤติกรรมตลอดทั่วทั้งองค์กร

เครื่องมือที่มีพลังในการสื่อสารอีกอย่างนั้น พบได้จากการที่ผู้บริหารติดต่อกับลูกน้อง ผู้จัดการควรจำไว้ว่าการกระทำเสียงดังกว่าคำพูด ในทางกลับกันการกระทำการปฏิบัติที่ได้รับอิทธิพลจากประวัติศาสตร์และวัฒนธรรมขององค์กร จากการสังเกตการณ์ว่าหัวหน้างานได้จัดการกับสถานการณ์เช่นนี้ได้อย่างไร
องค์กรที่มีประวัติของการปฏิบัติการแบบบูรณาการ และมีวัฒนธรรมที่คนทั้งองค์กรเข้าใจ จะพบความยากในการติดต่อสื่อสารข้อความ องค์กรที่ปราศจากธรรมเนียมปฏิบัติเช่นนี้จำเป็นต้องเพิ่มความพยายามในการหนทางติดต่อสื่อสาร

จากนี้ไปดูภาพขององค์ประกอบที่สำคัญของข้อมูลและการสื่อสารกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

ธันวาคม 11, 2009

ครั้งก่อน เราได้จบเกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วนั้น มีผู้บริหารของรัฐวิสาหกิจหลายท่าน อาจมีความเข้าใจการประเมินการบริหารความเสี่ยงที่เพิ่มแนวทางการบริหาร GRC – Governance + Risk Management + Compliance และ Portfolio View of Risk ซึ่งเป็นเรื่องใหม่ทั้ง 2 เรื่องพอสมควร

ผมจึงขอสรุปคุณลักษณะของการบริหาร GRC อย่างสั้นที่สุดมาให้ท่านได้ทราบตาม Slide ที่ปรากฎด้านล่างนี้ครับ

สำหรับ Portfolio View of Risk ท่านอาจจะทำความเข้าใจได้ง่ายขึ้น เมื่อเห็นแผนภาพด้านล่างนี้ด้วยเช่นกัน

กล่าวโดยสรุปสำหรับ Portfolio View of Risk ในอีกมุมมองหนึ่งของการอธิบายก็คือ การบริหารจัดการกับความเสี่ยง ในมุมมมองของการควบคุมความเสี่ยง 4 เรื่อง หลัก ๆ ตามหลักการของ COSO – ERM คือ Strategy Riks – S, Operational Risk – O, Financial and Reporting Risk – F, Compliance Risk – C นั้น จะมีแผนงาน/โครงการต่าง ๆ เพื่อการจัดการกับความเสี่ยง ตามหัวข้อใหญ่ S – O – F – C ในหลายเรื่อง หรือในหลายโครงการด้วยกัน และในแต่ละเรื่องจะมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และ/หรือ Risk Tolerance ระดับความเสี่ยงที่เบี่ยงเบนจาก Risk Appetite ว่าในที่สุดแล้ว จะมีผลกระทบต่อเป้าประสงค์ของ Performance ตามมุมมองของ Balanced Scorecard – Business BSC ซึ่งใช้แนวทาง COSO – ERM ในการประเมิน เพราะเป็นการประเมินทางด้าน Non – IT เป็นหลัก

นอกจากนี้ ผู้บริหารและผู้ที่เกี่ยวข้องยังต้องประเมินผลกระทบต่อ Conformance หรือการปฏิบัติตามมาตรฐาน (Standards) หรือกรอบการปฏิบัติงานที่ดี (Best Pactice Framework) และกฎหมาย กฎเกณฑ์ที่เกี่ยวข้อง ซึ่งเป็นที่ยอมรับกันทั่วไป โดยปกติจะใช้กรอบการปฏิบัติที่ดีเพื่อประเมินผลกระทบจากความเสี่ยงทางด้าน COSO – ERM และ IT นั่นก็คือ การใช้ ITG – CobiT มาเกี่ยวข้องในการประเมิน โดยเปรียบเทียบกับ IT Balanced Scorecard โดยปกติจะเชื่อมโยงกับ Best Pactice Standard ต่าง ๆ เช่น ISO 27001, ISO 20000, ISO 9001:2000 และทั้งหมดจะเชื่อมโยงกับ Process and Procedures อย่างเป็นกระบวนการ เช่น ITIL, Security Principles และ Quality Assurance – QA Procedure ซึ่งอธิบายได้ง่ายกว่ามากโดยดูจากแผนภาพด้านล่างนี้

ทั้งการประเมินประสิทธิภาพ ประสิทธิผลในการดำเนินงานทางด้าน Performance และ Conformance ตามที่กล่าวข้างต้น จะต้องได้ดุลยภาพในการจัดการที่ดี ทั้งด้าน IT และ Non – IT นี่ก็เป็นส่วนหนึ่งของกระบวนการบริหาร GRC และเป็นการขับเคลื่อน Integrity – Driven Performance อีกด้วย

ขอให้ดูรูปภาพที่เกี่ยวข้องนะครับ ท่านจะได้เข้าใจหลักการบริหารแบบบูรณาการในมิติต่าง ๆ เพิ่มขึ้น

ผมตั้งใจที่จะสรุปแต่อธิบายยาวไปนิดนึงนะครับ ก่อนที่จะเริ่มนำหลักเกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ที่กำหนดโดยคณะกรรมการประเมินผลรัฐวิสาหกิจ ด้านสารสนเทศ ของกระทรวงการคลังมาเล่าสู่กันฟังในตอนต่อไป

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »