หลักฐานการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์

ธันวาคม 7, 2009

วันนี้ ผมจะมาเล่าสู่กันฟังในเรื่องเกี่ยวกับการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์ จากครั้งที่ผ่าน ๆ มา ผมเคยได้พูดถึงขั้นตอนของการตรวจสอบทั้งทางด้าน IT Audit และ Non – IT Audit ไปแล้ว สำหรับครั้งนี้ผมจะนำเสนอเกี่ยวกับหลักฐานของการตรวจสอบทางด้านคอมพิวเตอร์ว่า ต้องมีเอกสาร หรือหลักฐานที่ใช้ในการตรวจสอบอย่างไรบ้าง

นอกเหนือจากการยกตัวอย่างในการตรวจสอบระบบงานเดียวกัน แต่รูปแบบของหลักฐานเปลี่ยนแปลงไป การวางแผนการตรวจสอบและกระบวนการตรวจสอบ เพื่อให้ได้หลักฐาน เพื่อสนับสนุนความเห็นในการให้ข้อแนะนำ ในเรื่องต่าง ๆ ที่เกี่ยวข้อง ก็มีความแตกต่างเป็นอย่างมาก

ท่านผู้ตรวจสอบด้าน IT และ Non – IT ลองพิจารณาดูซิครับว่า หากท่านหรือผู้ร่วมงานของท่าน ไม่เข้าใจผลกระทบของรูปแบบของหลักฐานที่เปลี่ยนแปลงไป จากกระบวนการที่ใช้คอมพิวเตอร์ ที่มีคุณลักษณะและกระบวนการทำงานที่แตกต่างกัน และด้วยเทคนิคที่ก้าวหน้าไปอย่างรวดเร็วในปัจจุบัน และมีผลต่อรูปแบบของกระบวนการทำงาน ผลกระทบต่อความเสี่ยงในมุมมองต่าง ๆ ทั้งด้าน IT Risk และ Risk IT ที่มีผลต่อ Business Process และ Business Objective ท่านและทีมงานของท่านจะมีวิธีการวางแผนการตรวจสอบอย่างไร จึงจะได้ผลดี และมีคุณภาพที่น่าเชื่อถือได้

ในกรณีที่ท่านเป็นคณะกรรมการตรวจสอบ หรือคณะกรรมการบริหารความเสี่ยง หรือคณะกรรมการดูแลทางด้าน Compliance ท่านควรจะตั้งคำถามแบบใด จึงจะมั่นใจอย่างสมเหตุสมผลว่า บุคลากรที่ท่านดูแลนั้น มีความสามารถ และมีความเข้าใจในงานที่ตรวจสอบ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างมากมาย และให้ข้อสังเกตที่มีคุณค่าเพิ่มได้อย่างเหมาะสม

เรื่องนี้ ผมเคยให้คำแนะนำวิธีการตั้งคำถามในรูปแบบต่าง ๆ ทั้งในลักษณะที่ผู้บังคับบัญชาอาจตั้งคำถามสอบถามผู้ใต้บังคับบัญชา หรือผู้ตรวจสอบต้องการตั้งคำถามกับผู้รับการตรวจสอบในแง่มุมต่าง ๆ ซึ่งมีความหลากหลาย และมีความซับซ้อนเป็นอย่างมาก ที่มีผลกระทบทางด้าน People Risk + Process Risk + Technology Risk (PPT)

ในการตรวจสอบ ผู้ตรวจสอบจำเป็นต้องหาหลักฐานเพื่อยืนยันความเพียงพอของการควบคุมในระบบการประมวลผล ซึ่งในระบบที่ทำด้วยมือ หลักฐานส่วนใหญ่มักได้แก่ เอกสารต่าง ๆ ที่สามารถมองเห็นได้ แต่ในระบบงานที่ใช้คอมพิวเตอร์ประมวลผล รูปแบบของหลักฐานได้เปลี่ยนแปลงไปอยู่ในรูปของสื่อแม่เหล็กเป็นส่วนใหญ่ ทำให้ไม่สามารถใช้วิธีการตรวจสอบแบบเดิมที่อาศัยเอกสารเป็นสำคัญต่อไปได้

ดังนั้น การที่ผู้ตรวจสอบจะสามารถตรวจสอบทาง IT ให้ได้ผลดีจึงจำเป็นต้องทราบถึงผลกระทบของเทคโนโลยีทางคอมพิวเตอร์ที่มีต่อหลักฐานที่จะใช้ในการตรวจสอบ เพื่อกำหนดแนวทางการตรวจสอบที่เหมาะสมต่อไปได้

รูปแบบของหลักฐานที่ผู้ตรวจสอบมักใช้ในการตรวจสอบระบบที่ทำด้วยมือ
1. เอกสารต้นกำเนิด เช่น แบบฟอร์มใบคำขอ
2. หลักฐานการอนุมัติ คือ การลงลายมือชื่อของผู้มีอำนาจในเอกสารต้นกำเนิดและการประทับวันที่และเวลาที่จัดทำเอกสารและผ่านการอนุมัติ
3. หลักฐานการประมวลผล เช่น แบบฟอร์มแสดงการคำนวณ คู่มือที่แสดงรายละเอียดข้อมูลหลักและกระดาษจากเครื่องบวกเลข
4. หลักฐานทางผลลัพธ์ เช่น เช็ค รายงานแสดงรายการเคลื่อนไหวทางบัญชี ใบเสร็จรับเงิน และรายงานต่าง ๆ

การเปลี่ยนแปลงลักษณะของหลักฐานเมื่อมีการนำเครื่องคอมพิวเตอร์มาใช้
1. รายการที่ทำโดยคน
ในระบบที่ทำด้วยมือ บุคคลมักเป็นผู้ให้กำเนิดรายการ และส่งเข้าสู่ระบบประมวลผล แต่ในกรณีที่ใช้คอมพิวเตอร์ ระบบงานคอมพิวเตอร์อาจให้กำเนิดรายการเองโดยอัตโนมัติ

2. ข้อมูลนำเข้าที่บันทึกในกระดาษ
เมื่อมีรายการเกิดขึ้น ในระบบที่ทำด้วยมือมักมีการจัดทำและบันทึกข้อมูลในเอกสารที่เป็นกระดาษ แต่ในระบบคอมพิวเตอร์ ข้อมูลจะบันทึกผ่านเครื่องเทอร์มินอล ซึ่งจะไม่ปรากฏอยู่ในเอกสารอีก เช่น การเปลี่ยนแปลงอัตราดอกเบี้ย พนักงานจะป้อนอัตราใหม่เข้าไปปรับปรุงที่แฟ้มข้อมูลหลักของลูกค้าเงินให้กู้ยืม ผ่านทางเครื่องเทอร์มินอลได้โดยทันที

3. การอนุมัติรายการ
ในระบบที่ทำด้วยมือ จะมีการอนุมัติรายการโดยผู้มีอำนาจอนุมัติ ลงลายมือชื่อ ชื่อย่อ หรือประทับตรายางแสดงการอนุมัติ แต่ในระบบคอมพิวเตอร์ จะมีการกำหนดการอนุมัติไว้ล่วงหน้า เช่น การกำหนดวงเงินการให้สินเชื่อในระบบ เมื่อมีการให้สินเชื่อระบบจะตรวจสอบว่าเกินวงเงินหรือไม่ หากไม่เกินที่กำหนด ระบบก็จะอนุมัติให้รายการผ่านได้โดยอัตโนมัติ

นอกจากนี้ การอนุมัติอาจกระทำได้ในรูปของการใช้ Password การรูดบัตรที่มีรหัสลับบันทึกไว้บนแถบแม่เหล็ก หรือการกำหนดระดับกุญแจที่ต้องใช้ประกอบการทำรายการที่เครื่องเทอร์มินอล

4. การจัดส่งข้อมูล
ในระบบที่ทำด้วยมือจะมีการจัดส่งข้อมูลในรูปของเอกสาร โดยใช้คนนำส่ง ส่งเป็นไปรษณีย์ภัณฑ์หรือส่งไปทางเรือ แต่ในระบบงานคอมพิวเตอร์ จะมีการจัดส่งข้อมูลหลังจากที่ได้บันทึกแปลงรหัส และรวบรวมไว้พร้อมแล้วในลักษณะของข้อมูลทางอิเล็คทรอนิกส์

5. การประมวลผลในรูปแบบที่มองเห็นได้
ในระบบที่ทำด้วยมือ มักมีการกำหนดขั้นตอนการประมวลผลแต่ละขั้นโดยไม่ซับซ้อน เพื่อลดความผิดพลาดที่อาจเกิดขึ้นจากบุคคลให้มากที่สุด แต่ในระบบคอมพิวเตอร์ การประมวลผลจะเป็นไปโดยอัตโนมัติตามขั้นตอนที่กำหนดไว้ในโปรแกรมคำสั่งงาน ซึ่งมักมีความสลับซับซ้อน อันเนื่องมาจากความต้องการให้เครื่องคอมพิวเตอร์สามารถปฏิบัติงานได้อย่างรวดเร็วและถูกต้องแม่นยำ

6. ข้อมูลหลัก
ข้อมูลหลักหรือข้อมูลที่ถาวรที่จำเป็นต้องใช้ในการประมวลผล มักบันทึกอยู่ในรูปข้อมูลที่อ่านได้ด้วยตาเปล่า แต่ในระบบคอมพิวเตอร์จะบันทึกอยู่ในรูปของสื่อแม่เหล็ก

7. รายงานข้อมูลผลลัพธ์
ในระบบที่ทำด้วยมือ ข้อมูลที่ได้จากการประมวลผลมักอยู่ในรูปของเอกสาร เช่น รายงาน เช็คที่พิมพ์รายการเรียบร้อย แต่ในระบบงานคอมพิวเตอร์มักไม่เป็นเช่นนั้น เช่น การโอนเงิน จะใช้วิธีโอนเงินทางอิเล็คทรอนิกส์ และข้อมูลผลลัพธ์ก็จะนำเสนอบนจอภาพ และในบางระบบอาจแสดงเฉพาะข้อมูลที่ไม่ปกติให้ทราบเพื่อปฏิบัติการต่อไปก็ได้

8. การจัดแฟ้มเอกสาร
ในระบบที่ประมวลผลด้วยมือ มักมีการจัดเก็บเอกสารข้อมูลในลักษณะที่เราพบเห็นกันโดยทั่วไป และเมื่อต้องการใช้ก็หาได้ไม่ลำบากนัก แต่ในระบบคอมพิวเตอร์มักเก็บข้อมูลอยู่ใน Disks ซึ่งการเรียกใช้หรือดึงข้อมูลออกมานั้นต้องใช้โปรแกรมคำสั่งงานดึงข้อมูลออกมาตามความต้องการ

9. ร่องรอยการตรวจสอบ
ในระบบที่ทำด้วยมือ ข้อมูลต่าง ๆ มักบันทึกอยู่ในรูปของเอกสาร ซึ่งจะมีทั้งข้อมูลต้นกำเนิดลายมือ ซึ่งแสดงการอนุมัติ วิธีการประมวลผล และผลลัพธ์ ซึ่งเพียงพอแก่การใช้เป็นร่องรอยในการตรวจสอบ ไม่ว่าจะเริ่มจากจุดกำเนิดรายการไปถึงยอดจำนวนรวม หรือย้อนกลับจากยอดจำนวนรวมไปยังเอกสารต้นกำเนิด

แต่ในระบบงานคอมพิวเตอร์ร่องรอยในการตรวจสอบมักกระจายกันอยู่ตามจุดต่าง ๆ ขึ้นอยู่กับลักษณะของระบบฐานข้อมูล และข้อมูลส่วนใหญ่เก็บอยู่ในรูปของสื่อแม่เหล็ก ผู้ตรวจสอบจึงจำเป็นต้องเข้าใจถึง Concept ของระบบการประมวลผล จึงจะสามารถทราบถึงขั้นตอนการประมวลผลและร่อยรอยที่จะใช้ในการตรวจสอบ ซึ่งก็ไม่ใช่เรื่องที่ง่ายนัก โดยเฉพาะอย่างยิ่งในระบบที่ค่อนข้างสลับซับซ้อน

10. คู่มือปฏิบัติงาน
ในระบบที่ทำด้วยมือ มักมีคู่มือปฏิบัติงานที่แสดงรายละเอียดแต่ละขั้นตอนของการประมวลรายการ เพื่อเป็นแนวทางสำหรับผู้ปฏิบัติงาน แต่ในระบบงานคอมพิวเตอร์คู่มือเหล่านี้อาจอยู่ในรูปของ Computer Program Listing, Data Dictionary Listing และเอกสารที่ผู้ขาย Software มอบให้แก่องค์กร

11. การติดตามรายการ
ในระบบที่ทำด้วยมือ ผู้มีอำนาจอนุมัติมักสอบทานการประมวลผลข้อมูลเพื่อให้เกิดความมั่นใจว่าข้อมูลดังกล่าวมีความสมเหตุสมผล มีความถูกต้องครบถ้วนสมบูรณ์และผ่านการอนุมัติ แต่ในระบบงานคอมพิวเตอร์โปรแกรมที่ได้กำหนด Logic ไว้ล่วงหน้าจะเช็คสอบข้อมูลเหล่านี้โดยอัตโนมัติ การใช้คนสอบทานแทบจะเป็นไปไม่ได้ โดยเฉพาะอย่างยิ่งในระบบคอมพิวเตอร์ที่มีความสลับซับซ้อนและเป็นระบบรวม และมีวงจรการประมวลผลที่สั้นขึ้นกว่าเดิม

12. การแบ่งแยกหน้าที่
ในระบบที่ทำด้วยมือ การแบ่งแยกหน้าที่ มักกระทำโดยการแบ่งแยกงาน ในระหว่างบุคคลต่าง ๆ เพื่อเกิดการควบคุมซึ่งกันและกัน ซึ่งก็มักเพียงพอและไม่ใคร่มีปัญหา แต่ในระบบงานคอมพิวเตอร์การแบ่งแยกงานในระหว่างบุคคลต่าง ๆ นั้นยังไม่เพียงพอ จำเป็นต้องมีการแบ่งแยกงานระหว่างขั้นตอนการประมวลผลโดยอัตโนมัติในแต่ละขั้นด้วย

13. การประมวลผลรายการจำนวนมาก
ในระบบที่ทำด้วยมือ มักใช้วิธี Resequencing หรือ Matching Diverse Data Elements แต่วิธีดังกล่าวก็ยุ่งยากและสิ้นเปลือง และจะกระทำเมื่อจำเป็นเท่านั้น ในระบบคอมพิวเตอร์ ข้อมูลจำนวนมากเหล่านั้นสามารถนำไปเก็บไว้ใน Database เพียงอันเดียว

และเนื่องจากคอมพิวเตอร์มีความสามารถในการประมวลผลด้วยความเร็วสูงมาก จึงสามารถนำเสนอข้อมูลดังกล่าวได้ในรูปแบบที่ต้องการได้ทุกเมื่อ และสามารถทำการวิเคราะห์ข้อมูลได้ละเอียดซับซ้อนกว่า อีกทั้งจะเรียกใช้ข้อมูลมากกว่าหนึ่งครั้งก็ได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 7, 2009

ในส่วนของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ผมจะมาเล่าสู่กันฟังในเรื่องของกระบวนการบริหารความเสี่ยง (COSO – ERM) ทั้ง 8 ประการ ซึ่งจะต่อกันด้วยระบบสารสนเทศและการติดต่อสื่อสาร (Information and Communication) ที่ได้กล่าวไปในครั้งที่แล้วเกี่ยวกับเรื่องของข้อมูล หรือสารสนเทศ สำหรับวันนี้จะกล่าวถึงการติดต่อสื่อสาร ไปติดตามต่อกันเลยนะครับ

การติดต่อสื่อสาร
การติดต่อสื่อสารเป็นธรรมชาติในระบบข้อมูล ดังที่เคยอธิบายแล้ว ระบบข้อมูลจะให้ข้อมูลกับคนที่เหมาะสม เพื่อให้ปฏิบัติงาน รายงานทางการเงินและความรับผิดชอบเชิงความร่วมมือ
แต่การติดต่อสื่อสารมักเกิดขึ้นในความหมายที่กว้าง การจัดการกับความคาดหวัง ความรับผิดชอบของแต่ละคน และกลุ่ม และเรื่องสำคัญอื่น ๆ

การติดต่อสื่อสารภายใน
ผู้บริหารติดต่อสื่อสารโดยตรง และเฉพาะเจาะจง ในเรื่องความคาดหวังเชิงพฤติกรรม และความรับผิดชอบของบุคคล

การสื่อสาร รวมถึงการให้ความกระจ่างในเรื่องปรัชญาการบริหารความเสี่ยงขององค์กร และวิธีการการแบ่งอำนาจหน้าที่ให้กระจ่าง การสื่อสารในเรื่องกระบวนการ และขั้นตอนการปฏิบัติควรเป็นไปในแนวทางเดียวกับวัฒนธรรมในเรื่องความเสี่ยง

การติดต่อสื่อสารควรมีประสิทธิภาพ
– มั่นใจว่ามีความรู้ในเรื่องความสำคัญ และความสัมพันธ์ของการบริหารความเสี่ยงที่มีประสิทธิภาพ
– ติดต่อสื่อสารเรื่องความเสี่ยงที่ยอมรับได้ และระดับความเสี่ยงที่ยอมรับได้
– ดำเนินการและสนับสนุนภาษาเกี่ยวกับความเสี่ยงโดยทั่วไป
– แนะนำบุคคลในเรื่องบทบาท และหน้าที่รับผิดชอบ เพื่อช่วยในการสนับสนุนในส่วนประกอบของการบริหารความเสี่ยง

บุคลากรทั้งหมดโดยเฉพาะผู้ที่มีความรับผิดชอบในการบริหารการเงิน และบริหารการจัดการ จำเป็นต้องได้รับข้อมูลจากผู้บริหารระดับสูง ซึ่งมีการจัดการด้านความเสี่ยงอย่างจริงจัง ความกระจ่างของข้อมูล และความมีประสิทธิภาพของการติดต่อสื่อสารมีความสำคัญ

บุคลากรควรรู้ว่าเมื่อไรสิ่งที่ไม่คาดหวังจะเกิดขึ้น ความตั้งใจต้องมอบให้ไม่เฉพาะต่อเหตุการณ์แต่ต้องใส่ใจสาเหตุด้วย ในกรณีนี้ระบบที่อ่อนแอถูกแยกแยะ และมีการกระทำเพื่อป้องกันไม่ให้เกิดซ้ำ เช่น การพบสินค้าคงคลังที่ไม่สามารถขายได้นั้น ไม่เพียงแต่ตัดบัญชีในรายงานการเงิน แต่เป็นการระบุว่าเหตุใดสินค้าคงคลังจึงไม่สามารถขายได้เป็นอันดับหนึ่ง

บุคลากรจำเป็นต้องรู้ว่ากิจกรรมต่าง ๆ เกี่ยวข้องกับงานของส่วนอื่น ๆ อย่างไร ความรู้เหล่านี้ช่วยให้เข้าใจปัญหา หรือระบุสาเหตุ และวิธีการแก้ไข และจำเป็นต้องรู้ว่าพฤติกรรมอะไรยอมรับได้ และยอมรับไม่ได้ มีการนำการเผยแพร่รายงานการฉ้อโกงในกรณีผู้จัดการอยู่ภายใต้ความกดดันในการบรรลุงบประมาณ หลอกลวงผลการปฏิบัติงาน

ตัวอย่างทั้งหลายนี้ ไม่มีใครบอกได้ว่าแต่ละคน ซึ่งรายงานผิดพลาดนั้น ทำผิดกฎหมายหรือไม่ถูกต้อง ซึ่งเน้นลักษณะสำคัญของการติดต่อสื่อสารข้อความภายในองค์กร ผู้จัดการที่แนะนำลูกน้องว่า “ทำให้ได้ตามงบประมาณ ผมไม่สนใจว่าจะใช้วิธีใด” สามารถส่งโดยไม่เป็นลายลักษณ์อักษรด้วยข้อความที่ผิด

พนักงานส่วนหน้าซึ่งติดต่อกับเรื่องการปฏิบัติการที่สำคัญทุก ๆ วัน จะอยู่ในตำแหน่งที่ดีที่สุดในการตระหนักถึงปัญหาที่พวกเขาพบเจอ เช่น พนักงานขายหรือผู้จัดการบัญชีอาจเรียนรู้ความจำเป็นของการออกแบบผลิตภัณฑ์เพื่อลูกค้าคนสำคัญ บุคลากรฝ่ายผลิตตระหนักถึงความสูญเสีย ในเรื่องความบกพร่องของกระบวนการ และบุคลากรด้านจัดซื้ออาจเผชิญกับสินน้ำใจที่ไม่เหมาะสมจาก Supplier

ข้อมูลจะถูกนำเสนอไปสู่ส่วนบน ดังนั้น จะต้องมีการเปิดช่องทางของการติดต่อสื่อสาร และทำให้เกิดความเต็มใจที่จะรับฟัง บุคลากรต้องมีความเชื่อว่า หัวหน้างานต้องการรู้เกี่ยวกับปัญหาและจะจัดการปัญหาอย่างมีประสิทธิภาพ ผู้จัดการเกือบทุกคนตระหนักว่าพวกเขาควรหลีกเลี่ยง “การทำลายผู้ส่งข้อความ”

แต่เมื่อเกิดความกดดันขึ้นทุกวัน พวกเขาไม่นำความคิดไปสู่คนที่นำพวกเขาไปสู่ปัญหา บุคลากรมีความไวต่อการรับรู้ในสัญลักษณ์ที่พูดออกมา และไม่ได้พูดออกมา ซึ่งหัวหน้าไม่มีเวลา หรือไม่สนใจที่จะจัดการกับปัญหา การรวมของปัญหาผู้จัดการที่ไม่รับความคิดเป็นคนสุดท้ายที่จะรู้ว่า ช่องทางการติดต่อสื่อสารถูกปิดลงอย่างมีประสิทธิภาพ

ช่องทางการติดต่อสื่อสาร ควรทำให้มั่นใจว่าบุคลากรสามารถสื่อสารบนพื้นฐานของความเสี่ยงข้ามหน่วยธุรกิจ กระบวนการ เช่น การเพิ่มขึ้นของคำติดชมของลูกค้าเกี่ยวกับการดูแลสินค้าโดยกลุ่มผู้บริการลูกค้า อาจจำเป็นต้องทำให้มีการพัฒนาการออกแบบผลิตภัณฑ์

ความล้มเหลวในการติดต่อสื่อสารเกิดขึ้นได้ เมื่อบุคคลหรือหน่วยต่าง ๆ ไม่เห็นด้วยหรือไม่มีเครื่องมือในการช่วยให้ข้อมูลสำคัญกับคนอื่น ๆ บุคคลากรอาจต้องระวังเรื่องความเสี่ยงที่สำคัญแต่ไม่สามารถรายงานผลได้

ส่วนมากสายการรายงานโดยปกติในองค์กรเป็นช่องทางที่เหมาะสมของการติดต่อสื่อสาร อย่างไรก็ตามในบางโอกาสสายที่แยกออกมาของการติดต่อสื่อสารก็จำเป็น ในกรณีเป็นเครื่องมือช่วยป้องกันการผิดพลาดในกรณีที่ช่องทางปกติไม่สามารถทำงานได้

บางองค์กรจัดช่องทางโดยตรงสำหรับผู้บริหารอาวุโส หัวหน้าผู้ตรวจสอบภายในหรือ ที่ปรึกษาทางกฎหมาย หากปราศจากช่องทางการสื่อสารที่เปิดเผย และความเต็มใจที่จะรับฟังแล้ว การไหลของข้อมูลจากล่างสู่บนอาจถูกปิดกั้น

ในทุกกรณีสิ่งสำคัญคือ การที่บุคลากรเข้าใจว่าจะไม่มีการโต้ตอบด้วยกำลังสำหรับการรายงานข่าวสารที่เกี่ยวข้องกัน ข้อความที่กระจ่างถูกส่งโดยกลไก ซึ่งสนับสนุนให้ลูกจ้างรายงานสิ่งผิดปกติของการปฏิบัติงาน และการดูแลของบุคลากรผู้รายงาน

ช่องทางการติดต่อสื่อสารที่สำคัญที่สุดอยู่ระหว่างผู้บริหารระดับสูง และกรรมการผู้บริหาร ผู้บริหารต้องรายงานความคืบหน้าในเรื่องต่าง ๆ ให้กรรมการได้รู้ เช่น ผลการปฏิบัติงาน การพัฒนา ความเสี่ยง และการทำงานของการบริหารความเสี่ยงขององค์กร รวมทั้งเรื่องต่าง ๆ ที่เกี่ยวข้อง

ยิ่งการติดต่อสื่อสารดีขึ้นมากเท่าใด ผู้บริหารที่มีประสิทธิภาพยิ่งต้องจัดการกับความรับผิดชอบที่ผิดพลาดยิ่งขึ้น ในฐานะเป็นผู้ประกาศเกี่ยวกับเรื่องสำคัญ และให้คำแนะนำคำปรึกษาและทิศทางการทำงาน ในกรณีนี้กรรมการควรสื่อสารกับผู้บริหารว่าต้องการข้อมูลอะไร และส่งข้อมูลย้อนกลับและแนวทางปฏิบัติไปให้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความรับผิดชอบของทางการไทยกับกรณีศาลปกครอบสูงสุดสั่งระงับโครงการมาบตาพุดต่อ

ธันวาคม 4, 2009

จนถึงวันนี้ ทุกท่านก็คงทราบแล้วนะครับว่า ศาลปกครองสูงสุดได้สั่งระงับโครงการมาบตาพุด ซึ่งมีผลเสียหายอย่างร้ายแรงต่อความเชื่อมั่นของนักลงทุน ทั้งในและต่างประเทศ และต่อรายได้ที่หายไปประมาณ 130,000 ล้านบาทโดยประมาณ และอาจมีผลกระทบต่อ GDP ในปี 2553 โดยลดลงประมาณ 0.5% ตามที่เป็นข่าวและทราบกันโดยทั่วไปแล้วนั้น ได้สร้างความใจหายและความหวาดหวั่นต่อกลไกการลงทุน ตลอดจนแรงงานของชาติที่จะเข้าไปในตลาดแรงงาน และอื่น ๆ เป็นอย่างยิ่ง

คำถามต่อไปก็คือ กลุ่มผู้มีผลประโยชน์ร่วมอื่น ๆ ในสังคมไทยคิดอย่างไร? ต่อผลกระทบในครั้งนี้ จริงอยู่เราต้องเคารพการพิจารณาของศาล แต่การตัดสินครั้งนี้ได้ทำลายความเชื่อมั่นของนักลงทุนไปอย่างน่าใจหาย และตามมาด้วยข่าวระทึกขวัญต่อมาอีกว่า NGO จ้องที่จะฟ้องอีก 181 โครงการ บางส่วนของผู้มีผลประโยชน์ร่วม คือชาวมาบตาพุด ก็หลั่งน้ำตาด้วยความดีใจที่ศาลสั่งระงับ 65 โครงการ เพราะทำให้สุขภาพและสิ่งแวดล้อมอาจดีขึ้นได้

คำถามที่ต้องการคำตอบในระยะยาวก็คือ CSR – Corporate Social Responsibility กับความไว้วางใจระหว่างกลุ่ม Stakeholder ต่าง ๆ โดยเฉพาะนักลงทุน ผู้ให้กู้ยืมเงินที่เกี่ยวข้องกับการลงทุนทั้งในและต่างประเทศ คำสั่งซื้อขายล่วงหน้าจากการที่ผู้ซื้อในต่างประเทศคาดหวังว่า จะดำเนินการได้เมื่อโครงการแล้วเสร็จ แต่ไม่อาจทำได้ ซึ่งยังมีการฟ้องร้องตามมาอีกมากมาย

ความเสียหายจากที่กล่าวข้างต้นจะมีใครเป็นผู้รับผิดชอบ หากท่านเป็นนักลงทุนไม่ว่าในหรือต่างประเทศ ได้รับการอนุมัติลงทุนและให้เริ่มสร้างโรงงานได้ โดยมีหน่วยงานของรัฐ ซึ่งเป็นผู้เชี่ยวชาญด้านกฎหมายได้ให้ความเห็นว่า ดำเนินการได้โดยไม่ขัดกับรัฐธรรมนูญ ซึ่งนักลงทุนก็ได้สร้างโครงการขึ้นมา หลาย ๆ แห่งก็เกือบจะเสร็จสิ้นลงแล้วนั้น อยู่ ๆ ก็มีหน่วยงานอีกหน่วยงานหนึ่งที่เป็นอิสระสั่งให้ระงับโครงการทั้งหมด โดยมีความเห็นที่ต่างมุมมองกัน แต่ก็มีผลอย่างร้ายแรงต่อการดำเนินการที่ได้ผ่านมาแล้ว

หากท่านเป็นนักลงทุน เป็นนักการเงิน เป็นนักกฎหมาย เป็นผู้กำกับที่เกี่ยวข้องทั้งทางตรงและทางอ้อม ท่านคิดอย่างไร? ถึงกรณีที่เกิดขึ้นในประเทศไทยในปัจจุบัน

การฟ้องร้องจากปัญหาที่เกิดขึ้นจะมีขึ้นแน่นอน และในที่สุด ผมมีความเห็นส่วนตัวว่า ประเทศไทยจะได้รับความเสียหายเป็นอย่างยิ่งและเป็นอย่างมาก ซึ่งหากนำหลักการบริหารความเสี่ยงกับแนวทางของ COSO – ERM มาใช้ ก็น่าจะพิจารณาได้ว่าผลกระทบนั้นสูงเกินกว่าระดับที่ยอมรับ (Risk Appetite/Risk Tolerance) ได้เป็นแน่นอน

อีกครั้งหนึ่งที่ผมใครจะกล่าวว่า หน่วยงานที่เกี่ยวข้องของไทยที่เกี่ยวข้องกับโครงการมาบตาพุดในครั้งนี้ ไม่เคยนำเรื่องผลกระทบที่เกิดขึ้นมาพิจารณาเป็นบรรทัดฐาน เนื่องจากหลักการบริหารความเสี่ยงของประเทศเชิงบูรณาการในภาพโดยรวมนั้น เข้าใจว่ายังมีกรอบจำกัดค่อนข้างมากในการนำมาใช้ในการกำหนดผลกระทบจากการบริหารที่ขาดการประสาน และบูรณาการ ในมุมมองต่าง ๆ ที่เกี่ยวข้อง

ผมใคร่ขอออกความเห็นเป็นการส่วนตัวว่า ขณะนี้ความเสียหายได้เกิดขึ้นแล้วในมุมมองต่าง ๆ ไม่ว่าจะมองในมุมมองใดก็ตาม โดยเฉพาะอย่างยิ่งในมุมมองของการบริหารแบบสอดประสานและบูรณาการ ตามหลัก GRC – Governance + Risk Management + Compliance ซึ่งเป็นกรอบการบริหารยุคใหม่ที่กำลังได้รับความนิยมในการนำมาบริหารและจัดการ เพื่อลดช่องว่างในเรื่อง Alignment and Integration ในระหว่างหน่วยงาน และข้ามหน่วยงาน ดังกรณีมาบตาพุดน่าจะเป็นบทเรียนที่ดีที่หน่วยงานภาครัฐ โดยเฉพาะอย่างยิ่งทางรัฐบาล น่าจะพิจารณาหรือทบทวนไม่ให้เหตุการณ์เช่นนี้เกิดขึ้นอีกในอนาคต

กรณีมาบตาพุดนี้ การนิคมอุตสาหกรรมแห่งประเทศไทย (กนอ.) ได้ออกมาชี้แจงในเช้าวันนี้ถึงเรื่องที่เกิดขึ้น ผมมีความเห็นส่วนตัวว่า เหตุการณ์ที่เกิดขึ้นเป็นเรื่องที่เกินกว่าอำนาจและหน้าที่ ไม่ว่าจะมองในมุม Responsibility และมองในมุมของ Accountability ตามหลัก CG และหลักการบริหารกิจการบ้านเมืองที่ดี รวมทั้ง ความรับผิดชอบที่เกี่ยวข้องกับ Social and Environmental Awareness ซึ่งเป็นข้อหนึ่งของหลักการ CG นั้น ก็เป็นเรื่องที่เกินกว่าหน่วยงานนี้เพียงลำพังจะรับผิดชอบได้ และน่าจะมีลักษณะผลกระทบจากภายนอก ที่ควบคุมไม่ได้ เพราะเกิดจากการให้คำแนะนำของผู้เชี่ยวชาญด้านกฎหมายของหน่วยงานรัฐแห่งอื่นว่า โครงการที่เป็นปัญหานี้สามารถดำเนินการได้ แต่เมื่อดำเนินการแล้วก็มีหน่วยงานของรัฐที่อิสระอีกแห่งหนึ่งบอกว่าทำไม่ได้ ก็เป็นเรื่องที่ต้องเคารพในความคิดเห็นที่ต่างมุมมอง

อย่างไรก็ดี จากการชี้แจงโดยท่านรองผู้ว่าการ กนอ. ในเช้าวันนี้ ก็ทราบว่า ทางกนอ. จะมีกระบวนการที่จะเพิ่มมาตรการที่จำเป็นในการรักษาสิ่งแวดล้อม ซึ่งปกติทางหน่วยงานก็ได้ให้ความสนใจในเรื่องนี้มากเป็นพิเศษอยู่แล้ว และจากการประเมินความพึงพอใจด้านสภาพแวดล้อมกับชุมชนใกล้เคียงในปี 2552 ก่อนที่จะเกิดปัญหาการฟ้องร้องขึ้น ชุมชนใกล้เคียงกับมาบตาพุดก็ยังพึงพอใจการดูแลสภาพแวดล้อมที่ดีจากผลการประเมินที่ออกมา ในกรณีที่เกิดขึ้นต่อจากนี้ไป การประเมินผลในเรื่องความพึงพอใจในสิ่งแวดล้อมก็อาจจะเปลี่ยนแปลงไปตามสภาพที่เกิดขึ้นจริง และตามทัศนคติของบุคคลที่เกี่ยวข้อง รวมทั้งผลที่เกิดจากมาตรการการแก้ไขของหน่วยงานภาครัฐที่เกี่ยวข้องกับกฎหมายมาตรา 67 วรรค 2 ต่อไปด้วย

แต่ความเป็นจริงก็คือ ความเสียหายที่เกิดขึ้นที่มีผลกระทบอย่างรุนแรง กว้างขวาง ล้ำลึกที่เกี่ยวข้องกับความน่าเชื่อถือระหว่างประเทศ ที่จะเป็นปัญหาให้ต้องแก้ไขแทนที่จะนำหลักการบริหารความเสี่ยงตามหลักการของ COSO – ERM มาใช้ ซึ่งสามารถจะระบุเหตุการณ์หรือปัจจัยเสี่ยงที่อาจเกิดขึ้นได้ในต่างมุมมอง โดยกำหนดกรอบหรือระดับความเสียหายที่ยอมรับได้หรือไม่ได้ในมิติต่าง ๆ ที่เกี่ยวข้องก็จะช่วยลดความเสี่ยง และสร้างความเชื่อถือได้เป็นอย่างมากต่อผู้มีผลประโยชน์ร่วมในกลุ่มต่าง ๆ จะต้องศึกษาจากบทเรียนครั้งนี้ในมุมมองต่าง ๆ เพื่อให้ได้การบริหารและการจัดการต่อผู้มีผลประโยชน์ร่วมในกลุ่มต่าง ๆ
อย่างได้ดุลยภาพ เพื่อสร้างความเชื่อมั่นอย่างต่อเนื่องต่อกระบวนการลงทุนของชาตต่อไป

อย่างไรก็ดี ผมมีความเข้าใจว่า เรื่องนี้ร้ายแรงเกินกว่าที่ทางการยอมรับได้ ถึงแม้จะมีผลเสียหายไปแล้วก็ตาม ทางการก็คงจะมีโครงการ และมีโครงสร้างที่จะดำเนินการจัดการกับสิ่งแวดล้อมและสุขภาพของประชาชน และดูแลกลุ่มผู้มีผลประโยชน์ร่วมให้มีการปฏิบัติตามมาตรฐาน 67 วรรค 2 ให้ชัดเจนและเป็นรูปธรรม ซึ่งน่าจะทำได้ในที่สุด

หากมีโอกาสคงจะมาแลกเปลี่ยนความคิดเห็นกันในตอนต่อ ๆ ไปครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

ธันวาคม 4, 2009

สวัสดีครับ วันนี้ผมจะนำเสนอต่อในเรื่องของเกณฑ์ประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ปี 2553 ให้จบ หลังจากที่ได้นำเสนอมาหลายตอนเนิ่นนานแล้ว และผมจะได้ต่อในเรื่องของเกณฑ์การประเมินการบริหารจัดการสารสนเทศ (IT) ปี 2553 ซึ่งตั้งใจไว้ว่าจะนำเสนอให้ทันภายในปีนี้ เพื่อที่ รส. และหน่วยงานภายใต้การกำกับดูแล จะได้เตรียมความพร้อมรับการประเมิน ประจำปี 2553 กัน ฉะนั้น เราไปต่อในส่วนที่เหลือกันเลยดีกว่าครับ

6. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

6.1แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร

6.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคล หรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบว่า ความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

6.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

7. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

7.1 องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร

7.2 การที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กรเช่นเดียวกัน

8. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง

8.1 การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง

8.2 ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง)

แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

8.3 ในกรณีที่มี Risk Appetite รายปัจจัยเสี่ยง ที่ระบุเป้าหมายเชิงปริมาณในปี 2552 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ Risk Appetite /ดีกว่าเป้าหมายของ Risk Appetite ที่กำหนด

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ) และเกร็ดความเข้าใจในบางมุมมอง

พฤศจิกายน 30, 2009

ในช่วงเวลานี้ ผมกำลังนำหลักเกณฑ์การประเมินรัฐวิสาหกิจประจำปี 2553 ที่กระทรวงการคลัง โดย สคร. ร่วมกับคณะกรรมการประเมินผลชุดต่าง ๆ ที่ได้ศึกษาและกำหนดเกณฑ์การประเมินผลของรัฐวิสาหกิจ ประจำปี 2553 มานำเสนอ เพื่อให้ผู้ที่เกี่ยวข้องได้ติดตามเพิ่มเติมจากแหล่งที่เป็นที่มาหลัก ๆ ก็คือ สคร. และ ทริส

ผมจะพยายามนำเสนอความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของ รส. โดยใช้รูปภาพ หรือแผนภาพ แทนการอธิบายด้วยลายลักษณ์อักษร เพื่อประกอบความเข้าใจตามสมควร ควบคู่กันไปกับการนำเสนอหลักเกณฑ์การประเมินตามหลักการของ สคร.

ความเข้าใจเพิ่มเติมในบางมุมมองที่เกี่ยวข้องกับการประเมิน และการปฏิบัติงานการบริหารของรัฐวิสาหกิจ

ต่อจากนี้ จะเป็นเกณฑ์การประเมินผลการบริหารความเสี่ยงของ รส. ในส่วนที่ 2 ซึ่งเป็นเกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง ที่ยังคงค้างกันเอาไว้จากครั้งที่แล้ว ผมจะขอต่อด้วยเกณฑ์ข้อที่ 2 เลยนะครับ

2. มีกลยุทธ์การบริหารความเสี่ยงที่เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน

3. มีการทบทวนและปรับปรุงการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรง

4. จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง เช่น จรรยาบรรณ และผู้บริหารรับฟัง การท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น โดยพิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

4.1. ความเหมาะสมและเพียงพอของช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.2. ประสิทธิผลของการใช้ช่องทางในการสนับสนุนการบริหารความเสี่ยง

4.3. การสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

5. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)

5.1. ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน

5.2. มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน

5.2.1. การวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน

5.2.2. วิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายที่มิใช่ทางการเงิน

5.2.3. การวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization)

หลักการองค์กรแห่งการเรียนรู้ 5 ประการของ Peter Senge ประกอบด้วย
1. Systems Thinking กระบวนการคิด/วางแผน/จัดการที่เป็นระบบ
2. Personal Mastery การสร้างวินัยของบุคคล
3. Mental Models การปรับเปลี่ยนแนวความคิดของบุคคล
4. Building shared vision การมีวิสัยทัศน์ร่วมกัน
5. Team learning การเรียนรู้ของกลุ่ม/ฝ่าย/ทีม

5.3. มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

การสื่อสารภายใน ควรจะสื่อถึงเรื่องดังต่อไปนี้อย่างมีประสิทธิผล
• ความสำคัญและความจำเป็นของการบริหารความเสี่ยงขององค์กรที่มีประสิทธิผล
• วัตถุประสงค์ขององค์กร
• ระดับความเสี่ยงที่องค์กรยอมรับได้ และช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้
• การใช้ภาษาเดียวกันในเรื่องความเสี่ยง
• บทบาทและความรับผิดชอบของบุคลากรที่จะสนับสนุนและนำองค์ประกอบต่างๆ ของการบริหารความเสี่ยงขององค์กรมาใช้

นอกจากความจำเป็นที่ต้องมีการสื่อสารที่เหมาะสมภายในองค์กรแล้ว ยังจำเป็นที่จะต้องมีการสื่อสารภายนอกที่เหมาะสมด้วย ด้วยช่องทางการสื่อสารภายนอกที่เปิดต่อกลุ่มผู้มีส่วนได้เสีย โดยเฉพาะการเปิดช่องทางการสื่อสารเกี่ยวกับระดับความเสี่ยงที่องค์กรยอมรับได้กับช่วงความเบี่ยงเบนของความเสี่ยงที่ยอมรับได้ (Risk Appetite และ Risk Tolerance) นั้น มีความสำคัญ โดยเฉพาะสำหรับองค์กรที่ต้องเชื่อมโยงกับองค์กรอื่น ซึ่งการสื่อสารต่อกลุ่มผู้มีส่วนได้เสีย จะต้องให้สารสนเทศที่ตรงกับความต้องการของกลุ่มบุคคลนั้น ๆ

ครั้งหน้าผมจะมาต่อในส่วนที่เหลือให้จบ โปรดติดตามต่อนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การเรียนการสอนแบบเปิด สมัยเพลโตและอริสโตเติล จากข้อมูลข่าวสารและทัศนคติที่มีความแตกแยกกันเป็นอย่างยิ่งในปัจจุบัน

พฤศจิกายน 24, 2009

วันนี้ ยังไม่มีคำถามคำตอบที่เหมาะแก่การแลกเปลี่ยนกัน ผมจึงนำเสนอข้อคิดเห็นที่เกี่ยวข้องกับการพัฒนาความคิดจากการเรียนการสอนแบบเปิด เพื่อให้นักเรียนและผู้ที่เกี่ยวข้อง คิดใคร่ครวญด้วยเหตุด้วยผล เพื่อหาความจริงที่สามารถจะนำไปใช้เป็นประโยชน์ต่อสังคมในระยะยาวต่อไปได้ดังนี้ ครับ

ข้อมูลจากนี้ไป ส่วนใหญ่ผมนำมาจากหนังสือเรื่อง Reason, Faith and Truth ที่เขียนโดยคุณนิกร สิทธิจริยากรณ์ ซึ่งได้เขียนหนังสือเล่มนี้ขึ้นมาเพื่อท้าทายความคิดของผู้ที่ชอบคิด เพื่อเป็นแนวทางให้กับทุกท่านที่ไม่อยากจะถูกบล็อคทางความคิด แต่อยากหรือตั้งใจที่จะพัฒนาความคิดเห็น เพื่อนำตัวเองเข้าสู่โลกแห่งความเป็นจริง ของความคิดที่มีเหตุมีผล โดยไตร่ตรองข้อมูลที่มาจากทัศนคติที่แตกต่างกัน ช่วยผลักดันให้ชีวิตของท่านว่า ท่านได้ตัดสินใจหรือออกความเห็นได้ถูกต้องแล้วหรือยัง ซึ่งอาจจะนำทางให้เราไปสู่การเปลี่ยนแปลงครั้งยิ่งใหญ่ของชีวิตที่มีเหตุมีผล

ประเทศตะวันตก และประเทศสหรัฐอเมริกา ซึ่งเป็นประเทศที่เจริญแล้ว โรงเรียนและมหาวิทยาลัยเกือบทุกแห่งเป็นการสอนแบบเปิด นั่นก็คือ คุณครูหรืออาจารย์จะทำหน้าที่กระตุ้น (เปิดประเด็น) และนักเรียน/นักศึกษาก็จะทำการคิดใคร่ครวญด้วยเหตุผล หาข้อสรุปที่เป็นความจริงออกมา ซึ่งเป็นการฝึกพัฒนาสมอง ตั้งแต่เด็ก ๆ จนกระทั่งโต เพื่อให้นักเรียนและนักศึกษาฝึกความคิด และวิเคราะห์ หาข้อเท็จจริงแทนการเรียนการสอนแบบนกแก้ว ซึ่งเป็นการพัฒนานักเรียนและนักศึกษาให้เป็นประชาชนที่มีความเข้มแข็งทางด้านการสร้างนวตกรรมใหม่ ๆ และสามารถแก้ปัญหาของตนเอง ขององค์กร และของประเทศ ได้อย่างเป็นระบบ

ประเทศสิงคโปร์ และประเทศอิสราเอล เป็นตัวอย่างที่ดีมาก เพราะทั้ง 2 เป็นประเทศเล็ก ๆ แต่มีคุณภาพของประชาชนที่สามารถคิดใคร่ครวญด้วยเหตุผล และพัฒนาประเทศไปสู่ระดับแนวหน้าของโลกในด้านต่าง ๆ ได้ แต่ตรงกันข้ามกับประเทศที่มีการเรียนการสอนชนิดแบบปิด คือ สอนแบบให้ท่องจำ และออกข้อสอบในลักษณะใช้ความจำเป็นส่วนใหญ่ จะมีศักยภาพในการแข่งขันระดับต่ำ และมีการพัฒนาประเทศไปสู่ประเทศที่พัฒนาแล้วได้ค่อนข้างช้า

ครั้งหนึ่งเมื่อเพลโต ซึ่งเป็นครูของอริสโตเติลสอนบางสิ่งบางอย่างที่อริสโตเติลไม่เห็นด้วย อริสโตเติลจึงโต้แย้ง เพลโตจึงกล่าวว่า “เราเป็นครูของท่านนะ!… ทำไมไม่ให้เกียรติเราบ้าง?”… อริสโตเติลตอบว่า “ครูครับ… ผมให้เกียรติครู แต่ผมต้องให้เกียรติความจริงมากกว่าครูครับ”… จากเหตุการณ์นี้ จึงทำให้เพลโตกล่าวประโยคหนึ่งว่า “โรงเรียนของข้าพเจ้ามีส่วนประกอบอยู่ 2 ส่วน ส่วนแรกก็คือ ร่างกายของนักเรียน และส่วนที่สอง ก็คือสมองของอริสโตเติล”… เพราะเหตุไรเพลโตจึงกล่าวเช่นนั้น…

นั่นก็เพราะว่าท่ามกลางนักเรียนของท่าน มีนักเรียนเพียงคนเดียวเท่านั้นที่มีความคิดที่เปิดออก ไม่ถูกบล็อคความคิดเหมือนนักเรียนคนอื่น ๆ… ไม่ถูกบล็อคความคิด โดยความคิดของครู วัฒนธรรมของสังคม เชื้อชาติ หรือแนวความคิดของคนหนึ่งคนใด แต่เขามีความคิดที่เกี่ยวกับความจริงที่เป็นสากล ทะลุกรอบแห่งความคิดของครู ทะลุกรอบของประเพณี วัฒนธรรม ทะลุกรอบของเชื้อชาติ ทะลุกรอบของบรรดานักคิดที่สังคมยอมรับ ซึ่งเป็นความจริงแห่งจักรวาล (Universal truth)

DSC06046

ดังนั้น ภาพวาดภาพนี้ของราฟาเอล จึงมีบุคคลอยู่หลายคนอยู่ในภาพ แต่แบล็คกราวข้างหลังคนเหล่านั้น มีแค่ 2 ภาพ คือ ภาพของท้องฟ้าที่กว้างไกลที่อยู่หลังเพลโตกับอริสโตเติล กับฝาผนังของอาคารที่อยู่ข้างหลังของเหล่านักเรียนคนอื่น ๆ… ราฟาเอลได้วาดภาพนี้เพื่อจะสื่อให้คนที่ชมภาพเห็นว่า ถ้าคนเราจะเชื่ออะไร จะเอาแนวความคิดอะไรมาเป็นแนวทางในการดำเนินชีวิต หรือจะมอบชีวิตให้กับแนวความคิดใด ๆ แล้ว อย่าถูกบล็อคความคิดเป็นอันขาด ไม่ว่าแนวความคิดนั้น จะมาจากตัวเองหรือมาจากไหนก็ตาม

ซึ่งเมื่อเราได้รับแนวความคิดมาแล้ว เราควรจะให้แนวความคิดนั้นผ่านศักยภาพในการคิดใคร่ครวญ การไตร่ตรองที่อยู่ภายในของเราก่อน เพื่อเราจะได้เชื่อในความจริงที่เป็นความจริงที่เด็ดขาด ซึ่งไม่ใช่ความจริงที่เด็ดขาดที่คนตะวันตกถือว่าเด็ดขาด หรือไม่ใช่ความจริงที่เด็ดขาดที่คนตะวันออกถือว่าเด็ดขาด ไม่ใช่ความจริงที่มาจากผม ไม่ใช่ความจริงที่มาจากคุณ และไม่ใช่ความจริงที่มาจากเขาคนไหน… แต่เป็นความจริงที่เด็ดขาดที่เป็นสากล เป็นความจริงที่เด็ดขาดแห่งจักรวาล (Universal truth)..

ซึ่งเมื่อคนหนึ่งได้รับฟัง ได้สัมผัสความจริงที่เด็ดขาดนั้นแล้ว ไม่มีทางปฏิเสธได้เลยว่า นี่แหละคือความจริงที่เด็ดขาด ที่ไม่ว่าคุณ ผม หรือเขา หรือคนทั่วโลกจะต้องสยบ และไม่มีทางโต้แย้งได้เลย… คนจีนมีสำนวนที่น่าคิดสำนวนหนึ่ง ซึ่งมีความหมายดังนี้ว่า “สิ่งที่ไม่สมควรได้ กลับอย่างได้ เรียกว่า “โลภ”… สิ่งที่สมควรได้ แต่ไม่เอา เรียกว่า “โง่”… สิ่งที่สมควรโต้แย้ง แต่ไม่โต้แย้ง เรียกว่า “ออมชอม”… สิ่งที่ไม่สมควรโต้แย้ง แต่กลับโต้แย้ง เรียกว่า “ใจแข็งกระด้าง”…

เมื่อคนหนึ่งคนใดได้ฟัง ได้สัมผัส “ความจริงที่เด็ดขาด” แล้วเขาจะมีความรู้สึกทันทีว่า ศักยภาพในการเข้าใจที่อยู่ภายในความคิดของเขานั้นจะบีบเขา และผลักดันให้เขาเกิดการเชื่อถือและยอมรับ ซึ่งไม่เพียงแต่เขามีความรู้สึกเช่นนี้เท่านั้น แต่คนทั่วโลกต่างก็มีความรู้สึกเช่นนี้เหมือนกัน… และเมื่อเป็นเช่นนั้น ถ้าใครยังจะปฏิเสธและโต้แย้งอีก เขาก็เป็นคนที่ไม่รักความจริง และใจแข็งกระด้างเอามาก ๆ เลยทีเดียว…

เมื่อเราได้ทราบแล้วว่า อะไรคือความเด็ดขาด ตรงนี้ให้เรามาดูว่า อะไรคือความจริงแห่งจักรวาลที่เด็ดขาด?… ซึ่งเป็นความจริงที่เด็ดขาดที่ไม่ว่าความคิดตะวันตกหรือความคิดตะวันออกจะต้องสยบ…

Environmental Concept

บทเรียนในวันนี้ ผมต้องการให้ท่านผู้อ่านใช้ดุลยพินิจเกี่ยวกับการติดตามข่าวสาร ซึ่งมีความขัดแย้งค่อนข้างสูงมาก และส่วนใหญ่มีทัศนคติที่คำนึงและพิจารณาเพียงเป้าประสงค์ในกลุ่มของตนเป็นหลัก ทำให้ดุลยภาพของความคิดเห็นจากข่าวสาร มีแนวโน้มที่จะหักล้างซึ่งกันและกัน กับผู้ที่มีความเห็นแตกต่าง แทนที่จะคำนึงถึงผลประโยชน์ของชาติเป็นหลัก

ความน่าเชื่อถือของประเทศ จะลดน้อยลงไปอยู่ในระดับที่ไม่น่ายอมรับได้ โดยเฉพาะการใช้กลยุทธ์ และนโยบายที่มีกรอบความคิดที่ค่อนข้างแคบ

ดังนั้น การนำบทเรียนในสมัยเพลโตและอริสโตเติล ซึ่งเป็นครูกับนักเรียน ที่ผ่านมานับเป็นพันปีแล้วนั้น จะช่วยให้เกิดข้อคิดถึงการพัฒนาการเรียนการสอนทางด้านความคิด การวิเคราะห์หาความจริงด้วยเหตุด้วยผล โดยใช้ทัศนคติที่ถูกต้อง และคำนึงถึงผลประโยชน์ของชาติเป็นหลัก ก็จะสามารถแก้ไขวิกฤตการณ์ทางด้านความคิด และความแตกแยก ที่พาประเทศของเราถอยหลังลงไปเรื่อย ๆ จนน่าใจหายเป็นอย่างยิ่ง ในปัจจุบัน

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลกระทบจากการที่รูปแบบของหลักฐานที่ใช้ในการตรวจสอบได้เปลี่ยนแปลงไป (Impact of Changing Evidence on the IT Audit)

พฤศจิกายน 24, 2009

วันนี้ผมจะมาเล่าสู่กันฟัง ในเรื่องที่เกี่ยวข้องกับ ผลกระทบของหลักฐานการตรวจสอบที่มีจะเกี่ยวข้องกับกระบวนการตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์ ทั้งในรูปแบบการตรวจสอบ IT Audit และ Manual Audit

ถึงแม้จะเป็นการตรวจสอบระบบงานเดียวกัน แต่หากรูปแบบของหลักฐานการตรวจสอบเปลี่ยนแปลงไป วิธีการและกระบวนการตรวจสอบก็ต้องเปลี่ยนแปลงตามไปด้วย ทั้งนี้เพราะ หลักฐานการตรวจสอบจะมีส่วนสำคัญยิ่งต่อการวางแผนการตรวจสอบของผู้ตรวจสอบภายใน รวมทั้งผู้รับรองงบการเงินในส่วนที่เกี่ยวข้อง

ท่านผู้ตรวจสอบ ลองเปรียบเทียบวิธีและกระบวนการตรวจสอบของตัวอย่าง ซึ่งผมจะได้กล่าวต่อไปนี้นะครับ แล้วพิจารณาว่า ทำไมผู้ตรวจสอบจึงต้องมีวิธีการตรวจสอบที่แตกต่างกันไป จาก 2 ตัวอย่างที่จะกล่าวถึง

ดังนั้น ความเข้าใจในกระบวนการปฏิบัติงาน ในระบบงานที่ตรวจสอบและหลักฐานที่เกี่ยวข้อง จึงเป็นเรื่องที่มีความสำคัญอย่างยิ่งกับผู้ตรวจสอบทุกประเภท สำหรับการวางแผนการตรวจสอบ ยังมีเกร็ดและมุมมองที่จะพิจารณา ที่อาจอธิบายได้เพิ่มเติมอีกมากพอสมควรนั้น ผมจะได้นำมาเล่าสู่กันฟังในภายหลัง เพื่อไม่ให้ท่านผู้ตรวจสอบเบื่อเรื่องการวางแผนการตรวจสอบ ซึ่งอาจจะมีมากมายจากปัจจัยและมุมมองที่แตกต่างกัน

ตัวอย่างในการตรวจสอบข้างล่างนี้ ขอให้ท่านใช้ดุลยพินิจและความเข้าใจให้ดี เพื่อเป็นรากฐานการตรวจสอบในเรื่องอื่น ๆ ต่อไป

กรณีตัวอย่าง ก.

องค์การ ก. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือนพนักงานแต่ละคนจะกรอกรายละเอียดชั่วโมงในใบลงเวลา แล้วให้ผู้ควบคุม (Supervisor) ลงลายมือชื่ออนุมัติ หลังจากนั้นจะรวบรวมข้อมูลไปป้อน (Key) ข้อมูลลง disk โดยใช้เครื่อง key-to-disk machine ซึ่งจะมีสำเนาข้อมูลส่งกลับมาให้ผู้ควบคุมตรวจสอบความถูกต้องอีกครั้งหนึ่ง และเมื่อเริ่มต้นงวดรอบระยะเวลาการจ่ายเงินเดือนแต่ละครั้ง จะมีการปรับปรุงข้อมูลที่มีการเปลี่ยนแปลง เช่นอัตราค่าจ้างและรายการหักค่าลดหย่อนต่าง ๆ และมีการพิมพ์รายงานแสดงรายละเอียดการจ่ายค่าจ้างของพนักงานแต่ละคนส่งให้แผนกงานต่าง ๆ เพื่อใช้เป็นข้อมูลในการจัดเตรียมการจ่ายค่าจ้าง และในขั้นสุดท้ายก็จะมีการจัดพิมพ์เช็ค และส่งให้ผู้ควบคุมแต่ละคน เพื่อจ่ายให้แก่พนักงาน และจะมีการกระทบยอดเช็คสลักหลัง โดยฝ่ายบุคคลที่อยู่แยกต่างหากจากแผนกที่ทำหน้าที่เกี่ยวกับการจ่ายเงินเดือน

ในระบบกรณีองค์กร ก. ดังกล่าว รูปแบบของหลักฐานจะไม่ถูกกระทบกระเทือนหรือเปลี่ยนไปมากนัก ยังคงสามารถใช้วิธีการตรวจสอบเช่นที่ทำในระบบบเดิมได้ แต่ถ้าผู้ตรวจสอบจะต้องการปรับปรุงประสิทธิภาพ และความประหยัดในการตรวจสอบ โดยนำเอาเทคโนโลยีทางด้านคอมพิวเตอร์เข้ามาช่วยในการตรวจสอบได้ เช่น การใช้ audit software เป็นต้น

กรณีตัวอย่าง ข.

องค์การ ข. ได้ใช้ระบบงานคอมพิวเตอร์ในการจ่ายเงินเดือน ซึ่งระบบนี้จะรวบรวม และบันทึกข้อมูลผ่านเครื่องเทอร์มินอล โดยพนักงานแต่ละคนจะใช้บัตรที่มีแถบแม่เหล็กบันทึกรายการรูดผ่านเครื่องเทอร์มินอล เพื่อบันทึกเวลาที่เข้าทำงานประจำวันและเวลาเลิกงาน เครื่องก็จะบันทึกข้อมูลชั่วโมงการทำงานของพนักงานคนนั้น ๆ ไว้ เมื่อมีการเปลี่ยนแปลงข้อมูลหลัก เช่น อัตราค่าจ้าง ฝ่ายบุคคลก็จะป้อนรายการเปลี่ยนแปลง พร้อมวันที่มีผลบังคับใช้ผ่านทางเครื่องเทอร์มินอล เพื่อปรับปรุงข้อมูลใน database โดยตรง ข้อมูลเกี่ยวกับค่าจ้างที่ต้องจ่ายที่ได้จากการประมวลผล จะถูกส่งไปยังธนาคารเพื่อโอนเงินเข้าบัญชีให้พนักงาน ในลักษณะที่เป็นการโอนเงินทางอิเล็คทรอนิกส์ และจะส่ง statement แสดงรายละเอียดการโอนเงินเข้าบัญชีให้แก่พนักงานถึงบ้าน

ในระบบกรณีองค์กร ข. ดังกล่าว จะเห็นว่ารูปแบบของหลักฐานได้เปลี่ยนแปลงไปอย่างมาก จึงจำเป็นต้องอาศัยวิธีการตรวจสอบแบบใหม่ ซึ่งต่างจากการนำคอมพิวเตอร์เข้ามาใช้ในกรณี ก. ซึ่งไม่ได้ทำให้รูปแบบของหลักฐานเปลี่ยนแปลงไป จึงสามารถใช้วิธีการตรวจสอบแบบเดิมได้ ดังนั้น อาจกล่าวได้ว่า ตัวคอมพิวเตอร์เองนั้น ไม่ได้มีผลต่อผู้ตรวจสอบโดยตรง แต่ผลกระทบจากระบบงานคอมพิวเตอร์ที่มีรูปแบบของหลักฐานที่ใช้ในการตรวจสอบต่างหาก ที่มีความสำคัญ และทำให้ผู้ตรวจสอบต้องกำหนดวิธีการตรวจสอบให้เหมาะสม และสอดคล้องกับรูปแบบของหลักฐานที่ได้เปลี่ยนแปลงไป

อย่างไรก็ดี ก่อนที่จะมีการตรวจสอบระบบคอมพิวเตอร์นั้น ผู้ตรวจสอบควรทราบถึงลักษณะของเทคโนโลยีที่องค์กรควรใช้เสียก่อน โดยอาจจะใช้ Audit Impact Matrix เพื่อระบุถึงผลกระทบที่มีต่อรูปแบบของหลักฐาน หากเทคโนโลยีนั้นมีผลให้รูปแบบของหลักฐานเปลี่ยนแปลงไป ผู้ตรวจสอบก็ต้องพิจารณาว่า จะมีผลให้ต้องนำวิธีการตรวจสอบแบบใหม่มาใช้หรือไม่ ในกรณีที่รูปแบบของหลักฐานได้เปลี่ยนแปลงไปโดยสิ้นเชิง ผู้ตรวจสอบอาจจำเป็นต้องมีทักษะหรือความเชี่ยวชาญในการตรวจสอบ EDP โดยเฉพาะ จึงจะสามารถตรวจสอบได้อย่างเหมาะสม

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พฤศจิกายน 21, 2009

วันนี้ผมยังคงพูดคุยกับท่านอยู่ในเรื่องของกระบวนการบริหารความเสี่ยง ทางด้านระบบสารสนเทศและการติดต่อสื่อสาร (Information and Communication) ซึ่งในครั้งนี้จะพูดถึงข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล

ข้อมูลเชิงลึกและความสามารถในการเรียกใช้ข้อมูล
แหล่งข้อมูลด้านโครงสร้างพื้นฐาน และการดับจับข้อมูลในกรอบเวลา และความคงที่ในเชิงลึกกับความจำเป็นขององค์กรในการแยกแยะ ประเมินและตอบสนองความเสี่ยง และยังคงอยู่ภายในระดับความเสี่ยงที่ยอมรับได้ ความถูกเวลาในการไหลของข้อมูลต้องการความคงที่กับอัตราการเปลี่ยนแปลงภายในทั้งในองค์กรและสิ่งแวดล้อมภายในและภายนอก

ข้อมูลด้านโครงสร้างพื้นฐานแปลงข้อมูลดิบให้เป็นข้อมูลที่เกี่ยวข้องซึ่งจะช่วยในการบริหารความเสี่ยงขององค์กร และความรับผิดชอบอื่น ๆ ข้อมูลถูกเตรียมอย่างเป็นรูปแบบและมีกรอบเวลา ซึ่งสามารถนำไปปฏิบัติได้ง่ายต่อการใช้งานอย่างมีเหตุมีผลและเชื่อมไปสู่การตรวจสอบได้

ความก้าวหน้าในการเก็บข้อมูล การประมวลผลข้อมูลและการเก็บรักษาข้อมูล แสดงผลลัพธ์ด้วยการเติบโตของปริมาณข้อมูล การมีข้อมูลที่มากเพียงพอ มีคนในองค์กรจำนวนมาก ความท้าทายคือการหลีกเลี่ยง “การมีข้อมูลมากเกินไป” โดยการมั่นใจว่าการไหลของข้อมูลที่ถูกต้องในรูปแบบที่ถูกต้อง ในระดับของรายละเอียดที่ถูกต้อง ไปสู่บุคคลที่ถูกต้องในเวลาที่ถูกต้อง ในการพัฒนาโครงสร้างพื้นฐานข้อมูล ควรพิจารณาความต้องการข้อมูลของผู้ใช้และสรุปข้อมูลที่ผู้บริหารแต่ละระดับต้องการใช้

มาดูกันในเรื่องของคุณภาพของข้อมูลกันบ้างครับ
การเพิ่มขึ้นของการพึ่งพาระบบข้อมูลและระบบการใช้ข้อมูลช่วยในการตัดสินใจ และกระบวนการความเชื่อถือได้ของข้อมูลเป็นสิ่งสำคัญ ข้อมูลที่ไม่ถูกต้องจะส่งผลในแง่ของความเสี่ยงที่แยกแยะไม่ได้ หรือการประเมินค่าและการตัดสินใจทางด้านการบริหารที่ไม่ดีนัก

คุณภาพของข้อมูล ควรพิจารณาในเรื่องดังต่อไปนี้
– เนื้อหามีความเหมาะสม – รายละเอียดอยู่ในระดับที่ถูกต้องหรือไม่
– ข้อมูลได้มาถูกเวลา – ข้อมูลมีเมื่อต้องการหรือไม่
– ข้อมูลเป็นปัจจุบัน – ข้อมูลที่ได้มาล่าสุดเมื่อใด
– ข้อมูลถูกต้อง – ข้อมูลนี้ถูกต้องหรือไม่
– ข้อมูลใช้ในการประเมินได้ – ข้อมูลง่ายต่อการใช้งานของผู้ที่ต้องการหรือไม่

IT Governance and Information

เพื่อให้มั่นใจว่าข้อมูลมีคุณภาพ องค์กรได้สร้างโปรแกรมการจัดการข้อมูล การรวบรวมความต้องการ การบำรุงรักษา และการกระจายข้อมูลและการบริหารข้อมูล หากไม่มีโปรแกรมเหล่านี้ ระบบข้อมูลอาจไม่ได้ช่วยในการบริหารข้อมูลและความต้องการส่วนบุคคลอื่น ๆ

ความท้าทายประกอบด้วย ความขัดแย้งเรื่องความต้องการเชิงหน้าที่ การบังคับเชิงระบบ และกระบวนการที่ไม่มีการบูรณาการ สามารถรับช่วงข้อมูลที่หามาได้และการใช้ที่มีประสิทธิภาพเพื่อให้บรรลุความท้าทาย ผู้บริหารสร้างแผนกลยุทธ์ด้วยการสามารถตรวจสอบได้และด้วยความรับผิดชอบเพื่อความสมบูรณ์ของข้อมูลและสร้างการประเมินคุณภาพของข้อมูล

โดยทั่วไป กลยุทธ์การบริหารข้อมูลมักขยายสู่องค์กร การขยายตัวของระบบ e-Business การไหลของข้อมูลในเรื่องผลงานขององค์กรจะรวมถึง Supply Chain คู่ค้าทางธุรกิจ ลูกค้า และอื่น ๆ ส่วนมากข้อมูลด้านการปฏิบัติการ การเงิน การแบ่งปันเชิงความร่วมมือของข้อมูลและมองเห็นได้ชัดด้วยคู่ค้าเชิงกลยุทธ์ที่สำคัญ ข้อมูลจำเป็นสำหรับการบริหารความเสี่ยงอาจปรับขนาดองค์กรทั้งภายในและภายนอก

การมีข้อมูลที่ถูกต้อง ตรงเวลาและถูกสถานที่ มีความสำคัญในการบริหารความเสี่ยงและการควบคุม นั่นเป็นเหตุผลที่ทำให้ระบบข้อมูลจะต้องถูกควบคุมในแง่ที่เป็นส่วนประกอบของการบริหารความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

พฤศจิกายน 18, 2009

สวัสดีครับ ผมได้นำเสนอเรื่องของแนวทางการประเมินผลการดำเนินงานของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วใน 2 – 3 ครั้งที่ผ่านมา จากที่ได้กล่าวไปแล้วว่า แนวทางที่ใช้ในการยกระดับและขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเกณฑ์พิจารณาเบื้องต้นนั้น มี 2 ส่วน และได้มีการเพิ่มเติม ปรับปรุง เปลี่ยนแปลงไปจากเกณฑ์การประเมินผลในปี 2552 ซึ่งได้นำเสนอเกณฑ์การพิจารณาการบริหารความเสี่ยงที่เป็นเกณฑ์การประเมินในส่วนแรกไปแล้ว แต่ยังไม่จบแค่นั้นครับ

วันนี้ ผมจะมานำเสนอต่อถึงการประเมินคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น ไปติดตามกันต่อเลยนะครับ

ส่วนที่สอง เกณฑ์เพิ่มเติมเพื่อปรับปรุงประสิทธิภาพการบริหารความเสี่ยง

1. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี
1.1. ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร

1.2. คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้

การสร้างมูลค่าเพิ่ม หมายรวมถึง
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา

1.3. คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตามการจัดการกระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT

1.4. คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT

1.5. ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

1.6. มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลักๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น

โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non-IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

1.7. คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

1.8. ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

1.9. คณะกรรมการรัฐวิสาหกิจจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน IT กับความเสี่ยงที่อาจเกิดขึ้น

1.10. คณะกรรมการรัฐวิสาหกิจ มีการสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์หรือนโยบายและการจัดการด้าน IT ตามที่กำหนดไว้ เช่น กลยุทธ์หรือนโยบายด้าน IT ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้าน IT ในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

นี่เป็นเพียงเกณฑ์การประเมินในข้อแรกเท่านั้น ยังมีเกณฑ์ที่ใช้ในการประเมินอีกหลายข้อ ซึ่งผมจะนำเสนอในโอกาสต่อไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

จิตสำนึกผิดชอบที่เข้มแข็ง สามารถสร้างความน่าเชื่อถือของประเทศ จากความแตกต่างทางความคิดและทัศนคติได้

พฤศจิกายน 14, 2009

การอดทนต่อผู้ที่มีทัศนคติและความคิดเห็นที่แตกต่างกัน จะขึ้นกับจิตสำนึกผิดชอบที่อ่อนแอหรือเข้มแข็งของผู้ปกครองประเทศ และผู้นำในองค์กร

ความรับผิดชอบของผู้นำที่เข้มแข็ง หรือผู้กำกับองค์กรที่เข้มแข็งนั้น ควรจะยอมรับความคิดเห็นของบุคคลที่มีจิตสำนึกผิดชอบที่อ่อนแอกว่า หากต้องกระทำเพื่อบรรลุความสำเร็จขององค์กรและประเทศชาติ โดยผู้ที่มีจิตสำนึกผิดชอบที่เข้มแข็ง ไม่ควรดูหมิ่น หรือโต้ตอบในลักษณะเดียวกันกับบุคคลที่มีจิตสำนึกผิดชอบที่อ่อนแอกว่า

ส่วนผู้ที่มีจิตสำนึกผิดชอบที่อ่อนแอ ก็คงมีทัศนคติในเชิงบวกที่จะไม่ตำหนิ ติเตียน ผู้นำที่มีจิตสำนึกผิดชอบที่เข้มแข็งหรือสูงกว่า

Slide1

ข้อสำคัญก็คือ ผู้นำหรือผู้บริหารที่มีจิตสำนึกผิดชอบที่เข้มแข็ง ไม่ควรเป็นเหตุให้ผู้ที่มีจิตสำนึกผิดชอบที่อ่อนแอกว่า หรือมีทัศนคติที่แตกต่างกันต้องแยกตนออกไปจากสังคมที่เข้มแข็งนั้น

เราควรพยายามทำให้พี่ น้อง สังคมในประเทศ และสังคมระหว่างประเทศที่อ่อนแอกว่าเราสบายใจ ไม่ใช่ทำแต่สิ่งที่ตนสบายใจเท่านั้น ในขณะเดียวกันก็ต้องให้คำแนะนำและข้อสังเกตที่สร้างสรรกับบุคคล และกลุ่มบุคคลที่มีจิตสำนึกที่อ่อนแอกว่า ให้เห็นผลกระทบที่จะเกิดขึ้นกับสังคมและประเทศชาติเป็นสำคัญ

Slide1

บุคคลที่มีความเข้มแข็งกว่า ทั้งทางด้านจิตสำนึก และการกระทำ ควรมีหน้าที่ในการสร้างสันติ และไม่ควรโต้ตอบในระดับเดียวกันกับบุคคลที่มีจิตสำนึกที่อ่อนแอกว่า เพราะอาจได้รับการประเมินหรือพิจารณาจากสังคมโลกว่า บุคคลที่มีจิตสำนึกเข้มแข็งกว่า ขาดความรับผิดชอบในผลที่เกิดขึ้นต่อสังคม (Accountability) ในมุมมองข้อหนึ่งของการกำกับดูแลกิจการที่ดี

โดยหลักการ และโดยพฤติกรรม ผู้มีจิตสำนึกที่สูงกว่าหรือเข้มแข็งกว่า ไม่ควรเพียงแต่เป็นผู้สร้างสันติเท่านั้น แต่ยังควรสร้างพี่ น้อง ที่อ่อนแอของเรา ทางจิตสำนึก หรือมโนธรรม ให้เข้มแข็งขึ้นด้วย ควรทำในสิ่งที่เสริมสร้างบุคคล หรือกลุ่มบุคคลที่มีความอ่อนแอทางจิตสำนึกตามนี้ ด้วยเหตุด้วยผล เพื่อที่จะสามารถช่วยเขาให้มีจิตสำนึกที่เข้มแข็งหรือดีขึ้นต่อไปได้

Slide1

เราไม่สามารถยัดเยียด ความเชื่อ หรือจิตสำนึกที่ดีและเข้มแข็งของคนกลุ่มหนึ่ง ให้กับบุคคลอีกกลุ่มหนึ่งได้ และควรยึดหลักที่ว่า ผู้ใดไม่มีเหตุที่จะติเตียนตัวเองในสิ่งที่ตนเห็นชอบแล้วนั้น ก็สามารถสร้างสันติสุขได้ เราต้องสร้างสำแดงความอดทน ความรัก และความกรุณาต่อบุคคลที่อ่อนแอ และมีจิตสำนึกหรือมโนธรรมที่อ่อนกว่าด้วยความอดทน

สังคมในโลก สังคมในประเทศ และบุคลากรในแต่ละองค์กร ย่อมมีทัศนคติที่แตกต่างกันตามที่ได้กล่าวไว้บ้างแล้ว เพราะเราต้องพึ่งพาซึ่งกันและกัน เช่นเดียวกับอวัยวะต่าง ๆ ภายในร่างกายที่ถึงแม้ทำงานอย่างอิสระ แต่ก็พึ่งพิงและมีความสำคัญซึ่งกันและกัน ซึ่งผมได้เคยกล่าวและอธิบายไว้แล้วในเรื่อง ISO 27001 ที่พูดถึงเรื่องความมั่นคงปลอดภัยของสารสนเทศ ที่ต้องบริหารในลักษณะ Interdependency

ถ้าเรามีชีวิตอยู่เพื่อตามใจตนเอง และกลุ่มที่มีทัศนคติที่ตรงกันเท่านั้น และภาคภูมิใจความรู้ ความคิดเห็น และเสรีภาพ ซึ่งอยู่ภายใต้กรอบอำนาจของเราโดยไม่ฟังความคิดเห็นของบุคคลที่มีทัศนคติที่แตกต่างกันในสังคมเดียวกัน โดยหลักตรรกะ (Logic) เราก็เป็นต้นเหตุของการแตกแยก การทะเลาะเบาะแว้ง และความพินาศที่เกิดขึ้นในองค์กรและในสังคม

Lesson - Learned from Kim Phuc & Attitude to be Changed

ถ้าเรายอมอ่อนข้อให้กับคนที่อ่อนแอกว่าทางจิตสำนึกและมโนธรรมในทางสร้างสรร และการแสดงออกอย่างชาญฉลาด เมื่อนั้นแหละ เราก็จะช่วยให้เขาหรือกลุ่มที่มีจิตสำนึกที่อ่อนแอกว่าเจริญเติบโตขึ้นมาได้ ภารกิจและความปรองดองของคนในสังคมก็จะเกิดขึ้น และผู้นำในเรื่องนี้ก็จะได้รับการสรรเสริญ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »