แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 23, 2009

การติดตามผล (Monitoring) และการตรวจสอบ ที่ผมจะนำเสนอในวันนี้ เป็นกระบวนการบริหารความเสี่ยง Enterprice Risk Management (COSO – ERM) ประการที่ 8 ซึ่งเป็นกระบวนการบริหารความเสี่ยงประการขั้นสุดท้าย แต่ก็มิได้หมายความว่าการจัดการในการบริหารความเสี่ยงจะสิ้นสุดลงเพียงแค่นี้ ยังมีหลักเกณฑ์ / หลักการอื่นอีกหลายอย่างที่ผู้บริหารสามารถนำมาใช้ในการบริหารความเสี่ยงขององค์กรได้ อาทิเช่น แนวทางการบริหารแผนงาน/โครงการขององค์กร ซึ่งผมจะได้นำเสนอในโอกาสต่อไป

การบริหารความเสี่ยงต้องได้รับการตรวจสอบ ซึ่งก็คือกระบวนการประเมินการมีอยู่และการทำงานของส่วนประกอบต่าง ๆ ตลอดเวลา ที่ประสบความสำเร็จโดยผ่านการตรวจติดตามกิจกรรมอย่างต่อเนื่อง การประเมินผลแยกต่างหากหรือทั้งสองอย่าง การตรวจติดตามอย่างต่อเนื่องเกิดขึ้นในกิจกรรมปกติของผู้บริหาร ขอบเขตและความถี่ของการประเมินผลแยกต่างหากขึ้นอยู่กับการประเมินค่าความเสี่ยงและความมีประสิทธิภาพของขั้นตอนการตรวจติดตามอย่างต่อเนื่อง ข้อบกพร่องในการบริหารความเสี่ยงของกิจการได้ถูกรายงานผลไปสู่ผู้บริหารระดับสูงและกรรมการ

การบริหารความเสี่ยงของกิจการเปลี่ยนแปลงตลอดเวลา การตอบสนองความเสี่ยงซึ่งเคยมีประสิทธิภาพอาจกลับกลายเป็นไม่มีความสัมพันธ์ การควบคุมกิจกรรมอาจมีประสิทธิภาพน้อยลงหรือไม่ได้แสดงออกมาก หรืออาจมีการเปลี่ยนแปลงวัตถุประสงค์ขององค์กร อาจเป็นผลมาจากการเข้ามาของบุคลากร การเปลี่ยนแปลงในโครงสร้างหรือทิศทางขององค์กร หรือการเข้ามาของกระบวนการใหม่ ๆ ในการเผชิญกับการเปลี่ยนแปลงนี้ ผู้บริหารจำเป็นต้องกำหนดว่าการทำหน้าที่ของแต่ละส่วนประกอบของการบริหารความเสี่ยงยังคงมีประสิทธิภาพอยู่ต่อไปหรือไม่

ลักษณะของการติดตามผล
– การประเมินความมีประสิทธิผลและความต่อเนื่องของกิจกรรมการควบคุม และกิจกรรมอื่น ๆ ที่ใช้ในการจัดการความเสี่ยง
– การกำหนดเป้าหมายและระดับจำกัดความเสี่ยงที่เหมาะสม
– การรวบรวมและบันทึกข้อมูลที่เหมาะสม
– การติดต่อสื่อสารเกี่ยวกับความเสี่ยงและกระบวนการต่าง ๆ อย่างสม่ำเสมอและเปิดเผยทั้งแบบเป็นทางการและไม่เป็นทางการ

รูปแบบของการติดตามผล
การติดตามผลและการตรวจสอบ สามารถทำได้ 2 ทาง คือ
1. การติดตามผลระหว่างดำเนินการอย่างต่อเนื่อง (Ongoing Monitoring) หมายถึงการสังเกตการติดตามการมีระบบรายงานความคืบหน้าของงาน รวมทั้งสอบทานหรือการยืนยันยอดระหว่างการปฏิบัติงาน
2. การประเมินอิสระ (Separate Evaluation) เป็นการประเมินตามช่วงเวลาที่กำหนดขึ้นหรือการประเมินอิสระ หมายถึง การประเมินอิสระโดยผู้ที่ไม่มีส่วนเกี่ยวข้องกับการกำหนดระบบควบคุมภายในขึ้น เพื่อให้สามารถแสดงความคิดเห็นได้อย่างเป็นอิสระ เช่น การประเมินจากผู้ตรวจสอบภายใน เป็นต้น

การติดตามผลทั้งระหว่างดำเนินงานอย่างต่อเนื่อง และการประเมินอิสระ เป็นการทำให้แน่ใจว่า ERM หรือ การบริหารความเสี่ยงทั่วทั้งองค์กร ถูกนำไปใช้ทั่วถึงทุกระดับในองค์กร การติดตามผลระหว่างดำเนินงานมีการโต้ตอบ หากสภาวการณ์เปลี่ยนแปลงไปในเวลาที่เป็นปัจจุบัน จึงมีประสิทธิภาพมากกว่าการประเมินอิสระ เพราะการประเมินแบบอิสระเกิดขึ้นภายหลังที่ทราบข้อสังเกตหรือข้อเท็จจริงแล้ว

ความถี่ของการประเมินอิสระขึ้นอยู่กับการพิจารณาของฝ่ายจัดการ โดยการกำหนด หรือพิจารณาธรรมชาติ หรือระดับของการเปลี่ยนแปลง ทั้งเหตุการณ์ภายในและภายนอกและความเสี่ยงที่เกี่ยวข้อง การตอบสนองต่อความเสี่ยงและการควบคุมที่มีและความเสี่ยงร่วม

ความสามารถและประสบการณ์ของบุคลากรในการจัดการกับการตอบสนองความเสี่ยง และการควบคุมที่เกี่ยวข้องและผลของการตรวจติดตามอย่างต่อเนื่อง โดยปกติการรวมกันของการตรวจติดตามอย่างต่อเนื่องและการประเมินผลแยกต่างหาก ทำให้มั่นใจได้ว่าการบริหารความเสี่ยงจะรักษาไว้ซึ่งประสิทธิภาพตลอดเวลา

การตรวจติดตามความเสี่ยงอย่างต่อเนื่องถูกสร้างขึ้นในกิจกรรมการปฏิบัติที่เกิดขึ้นใหม่ขององค์กร การตรวจติดตามความเสี่ยงอย่างต่อเนื่องแสดงออกมาตามเวลาจริง โต้ตอบอย่างเป็นพลวัตรกับเงื่อนไขที่เปลี่ยนแปลงและฝังติดอยู่กับองค์กร ผลก็คือการตรวจติดตามความเสี่ยงอย่างต่อเนื่องจึงมีประสิทธิภาพมากกว่าการประเมินผลแยกต่างหาก

เนื่องจากการประเมินผลแยกต่างหากเกิดขึ้นหลังจากข้อเท็จจริง ปัญหามักจะถูกแยกแยะได้เร็วกว่าจากการตรวจติดตามอย่างต่อเนื่องประจำวัน

หลายองค์กรที่มีกิจกรรมการตรวจติดตามอย่างต่อเนื่องถึงกระนั้นก็ยังทำการประเมินผลแยกต่างหากในการบริหารความเสี่ยง องค์กรซึ่งรับรู้ความจำเป็นในการประเมินผลแยกต่างหากควรมุ่งเน้นเรื่องการเพิ่มการตรวจติดตามอย่างต่อเนื่องโดยการ “สร้าง” และ “เพิ่ม” กิจกรรมที่เหมาะสมกับการตรวจสอบและการรายงานผล

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

ธันวาคม 20, 2009

เพื่อเป็นการเตรียมพร้อมสำหรับการประเมินการบริหารสารสนเทศของรัฐวิสาหกิจในปีหน้า วันนี้ผมจะขอนำเสนอเกณฑ์ในการประเมินการบริหารจัดการสารสนเทศของรัฐวิสาหกิจ ประจำปีบัญชี 2553 โดยเกณฑ์การประเมินนี้จะกล่าวถึง ระบบสารสนเทศที่สามารถนำมาช่วยสนับสนุนการดำเนินงาน และเพิ่มประสิทธิภาพของรัฐวิสาหกิจ และยังมีบทบาทเป็นโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานของรัฐวิสาหกิจ อันเนื่องมาจากความสามารถของระบบในการรองรับธุรกรรมจำนวนมาก

ดังนั้น ในการประเมินการบริหารจัดการสารสนเทศ จะพิจารณาจากแผนแม่บทสารสนเทศ (IT Master plan) ว่าจะสามารถตอบสนองต่อความต้องการของรัฐวิสาหกิจและนโยบายหรือไม่ รวมถึงการดำเนินงานตามแผนแม่บทฯ ที่องค์กรได้กำหนดขึ้นและผลลัพธ์ของการดำเนินงานดังกล่าว

หลักเกณฑ์การพิจารณาการบริหารการจัดการสารสนเทศ ซึ่งดำเนินการโดยคณะอนุกรรมการบริหารสารสนเทศของ สคร. – กระทรวงการคลัง แบ่งออกเป็น 2 ส่วน ได้ดังนี้

ส่วนที่ 1 การพิจารณาแผนแม่บทสารสนเทศ (IT Master Plan)

ส่วนที่ 2 การบริหารการจัดการสารสนเทศ
มีการวิเคราะห์แผนงาน/โครงการ เพื่อให้สอดคล้องกับแผนแม่บทสารสนเทศ ดังนี้ :-
2.1 ระบบสารสนเทศที่สนับสนุนการบริหารจัดการของรัฐวิสาหกิจ
2.2 ระบบสารสนเทศที่สนับสนุนการบริหารความเสี่ยง
2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและการตรวจสอบภายใน
2.4 ระบบสารสนเทศที่สนับสนุนการบริหารทรัพยากรบุคคล
2.5 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ ผู้มีส่วนได้ส่วนเสียภายนอกองค์กร และประชาชน รวมถึงนโยบายต่าง ๆ ของรัฐบาล
2.6 ระบบสารสนเทศที่ตอบสนองต่อความต้องการของผู้รับบริการ และผู้มีส่วนได้

ดูภาพจากด้านล่างนี้นะครับ แล้วจะเข้าใจชัดเจนยิ่งขึ้น

สำหรับรายละเอียดในแต่ละหัวข้อ ผมจะเล่าให้ฟังในครั้งหน้านะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ธันวาคม 15, 2009

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

มาบตาพุดมีความเสี่ยงสูงสุด และมีผลกระทบกระเทือนรุนแรงในระยะยาว ในระดับที่เกินกว่าประเทศยอมรับได้?

ธันวาคม 15, 2009

ผู้มีผลประโยชน์ร่วมหลายกลุ่ม มีผลกระทบหนักต่อกรณีศาลปกครองสูงสุด สั่งระงับ 65 โครงการมาบตาพุด ทั้งสมาคมอุตสาหกรรมก่อสร้าง และสมาคมธนาคารไทย โดยนายอภิศักดิ์ ตันติวรวงศ์ กรรมการผู้จัดการ ธนาคารกรุงไทยและประธานสมาคมธนาคารไทย กล่าวว่า

ผลกระทบจากการระงับโครงการลงทุนในมาบตาพุดจะมีความรุนแรงในระยะยาว และเป็นปัจจัยเสี่ยงต่อเศรษฐกิจไทยเป็นอันดับหนึ่ง ที่มีผลกระทบในวงกว้างมากกว่าปัจจัยทางการเมืองในอนาคต โดยเฉพาะในปี 2553 ที่การลงทุนจะเป็นเครื่องจักรสำคัญในการฟื้นเศรษฐกิจ อาจอยู่ในสภาพที่ไม่พร้อมใช้งานมากนัก

ทั้งการลงทุนภาครัฐและเอกชนจะต้องลดลง ซึ่งการลงทุนภาครัฐที่เป็นการลงทุนขนาดใหญ่ ที่ต้องการทำการวิเคราะห์ผลกระทบสิ่งแวดล้อม (อีไอเอ : EIA) หากโดนร้องเรียนก็อาจถูกชะลอได้ เป็นผลกระทบที่มีวงกว้างกว่าโครงการในมาบตาพุด หากว่าไม่รีบแก้ไขกฎระเบียบการลงทุนที่ชัดเจนได้ ตามที่เป็นข่าวในหนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันจันทร์ที่ 14 ธ.ค. 2552 และสื่อ อื่น ๆ ที่มีเนื้อหาแตกต่างกันนั้น

กรณีมาบตาพุด น่าจะมีคำถามที่สำคัญที่เกี่ยวข้องกับ GRC หรือการบริหารในลักษณะ Integrity – Driven Performance ในระดับประเทศเป็นอย่างยิ่งว่า การกำกับดูแลกิจการที่ดี (CG – Governance) การบริหารความเสี่ยงแบบบูรณาการ (R – Risk Managment) เพื่อก้าวไปสู่วัตถุประสงค์ในเรื่องต่าง ๆ เพื่อขับเคลื่อนภารกิจของรัฐบาลที่ต้องการความร่วมมือ และความเข้าใจของหน่วยงานต่าง ๆ เพื่อขับเคลื่อนเศรษฐกิจการเงิน และการลงทุนของประเทศ ซึ่งสามารถนำหลักการของ COSO – ERM มาใช้ได้นั้น

รัฐบาลมีความพร้อมและได้ใช้หลักการบริหารที่เป็นที่ยอมรับกันทั่วโลกนี้อย่างไรบ้าง และการปฏิบัติตามกฎหมาย กฎเกณฑ์ ระเบียบ กติกา สังคมของนานาชาติ และของประเทศ (C – Compliance) ที่ต้องมีมาตรฐานหรือ Best Practice เป็นกติกากำหนดให้มีการปฏิบัติ และเป็นที่ยอมรับกันได้ในสังคมทั่วโลกนั้น หน่วยงานภาครัฐ รวมทั้งภาครัฐบาล มีความพร้อม มีความเข้าใจในเรื่องนี้เพียงใด มีการปฏิบัติในเชิงกลยุทธ์ที่เหมาะสมหรือไม่

จากปัญหาที่ผ่านมา ผมมีข้อสังเกตเบื้องต้นว่า เรื่อง GRC ในระดับรัฐบาล รวมทั้งหน่วยงานของรัฐบางหน่วย มีความเข้าใจในการบริหารและดำเนินการค่อนข้างจำกัด โดยเฉพาะอย่างยิ่งการประสานงานข้ามหน่วยงานของภาครัฐ ในหน่วยงานต่าง ๆ ที่เกี่ยวข้อง

ดังนั้น กรณีของมาบตาพุดจึงเป็น กรณีศึกษา (Lesson – Learned) ที่น่าสนใจยิ่งว่า ภาครัฐ โดยเฉพาะอย่างยิ่งภาพรวมของทางการ ขาดมุมมองในการกำหนดระดับความเสี่ยง และความเสียหายที่ประเทศจะยอมรับได้ (Risk Appetite / Risk Tolerance) ในแง่มุมต่าง ๆ ซึ่งหากพิจารณาตามหลักการขององค์ประกอบของการบริหารความเสี่ยงในระดับองค์กร ที่ประยุกต์ใช้ได้ดีกับระดับความเสี่ยงของประเทศ เพื่อกำหนดกรอบการบริหาร การควบคุม กระบวนการจัดการที่เหมาะสม เพื่อลดระดับความเสี่ยงให้อยู่ในระดับที่ประเทศไทยยอมรับได้นั้น ยังไม่มีการดำเนินการกันอย่างเป็นรูปธรรมกัน

ความเสียหายที่เกิดขึ้นกับกลุ่มผู้มีผลประโยชน์ร่วมอื่น ๆ ที่มีผลกระทบทางลบ จากกรณีเหตุการณ์มาบตาพุด นอกเหนือจากที่ได้กล่าวไว้ข้างต้นแล้ว ก็ยังจะตามมาด้วย การขาดความเชื่อมั่นของประเทศไทย ทั้งในปัจจุบันและในอนาคต ซึ่งต้องใช้เวลายาวนานกว่าจะรื้อฟื้นความเชื่อมั่นมาสู่นักลงทุน ที่จะมีผลกระทบติดตามมาอย่างมากมายได้อีกมาก เช่น หากนักลงทุน/กลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ ฟ้องร้องค่าเสียหายจากรัฐบาลไทย โอกาสที่ทางรัฐบาลจะต้องรับความเสียหายมีสูงมาก +++

อีกครั้งหนึ่งที่ผมอยากจะใคร่กล่าวถึงปัญหาสิ่งแวดล้อม กรณีโรงไฟฟ้า อ.แม่เมาะ จ.ลำปาง ที่มีมลภาวะจากการผลิตกระแสไฟฟ้า ทางการก็ให้ กฟผ. แก้ไข แต่ไม่ได้หยุดการผลิตไฟฟ้าบริการประชาชน โดย กฟผ. ดำเนินการควบคู่กันไป ซึ่งในที่สุด กฟผ. ก็สามารถควบคุมมลภาวะจากการผลิตกระแสไฟฟ้า และก็สามารถดำเนินการผลิตกระแสไฟฟ้าต่อเนื่องได้จนถึงในปัจจุบัน

ส่วนตัวของผม ผมชอบกรณีการแก้ไขปัญหามลภาวะที่โรงไฟฟ้า อ.แม่เมาะ เป็นอย่างมากครับ และอดคิดไม่ได้ว่า กรณีมาบตาพุด น่าจะใช้เหตุการณ์และการดำเนินงานอย่างกรณีโรงไฟฟ้า อ.แม่เมาะ ก็น่าจะเป็นประโยชน์กับกลุ่มผู้มีผลประโยชน์ร่วม กับทุก ๆ กลุ่ม

ท่านลองเปรียบเทียบดูซิครับว่า หากทางการหรือรัฐบาล หรือหน่วยงานที่เกี่ยวข้อง ที่มิใช่หน่วยงานหนึ่งหน่วยงานใดเท่านั้นที่จะรับผิดชอบในเรื่องนี้ สามารถกำหนดระดับความเสี่ยงที่ยอมรับได้ หรือยอมรับไม่ได้ กรณีมาบตาพุด เมื่อเทียบกับสิ่งที่ได้รับ ที่เห็นภาพชัดเจนของกลุ่มผู้มีผลประโยชน์ร่วมทางด้านสิ่งแวดล้อม ดุลยภาพในการตัดสินใจควรจะอยู่ที่ใด และรัฐบาลควรจะมีหน่วยงานใดในการพิจารณา และดูแล ความเสียหายที่มีผลกระทบภาครัฐต่าง ๆ ทั้งที่เป็นความเสียหายทางการเงิน และมิใช่ทางการเงิน โดยกำหนดแนวทางการบริหารการจัดการที่เหมาะสมได้

ภาพด้านล่างต่อไปนี้ จะเป็นการอธิบายโดยใช้แผนภาพที่ผมเคยนำเสนอมาแล้วอีกครั้งหนึ่ง เพื่อให้ท่านผู้อ่าน โดยเฉพาะอย่างยิ่งทางการ/รัฐบาล ได้ประเมินตนเองของการบริหารที่มีความแตกต่างกันทางด้านความคิด และการปฏิบัติของหน่วยงานต่าง ๆ ดังนี้

ประเทศไทยของเราและหรือองค์กรของท่าน อยู่ในหมายเลขใดของกระบวนการจัดการบริหารความเสี่ยง

จากภาพข้างต้น โดยเฉพาะอย่างยิ่ง กรณีมาบตาพุด ท่านลองเลือกข้อ ซึ่งแสดงทิศทางการบริหารการจัดการในระดับประเทศ ที่ต้องการผู้นำที่มีความเข้าใจในการชี้ทิศทาง โดยการแก้ไขปัญหาล่วงหน้าโดยใช้หลักการบริหารเชิงรุก หรือการบริหารความเสี่ยงที่เป็นระบบ และมีการกำกับการบูรณาการ และการสอดประสานงานกันในหน่วยงานต่าง ๆ ของภาครัฐกันเป็นอย่างดี มิใช่ให้หน่วยงานหนึ่ง ออกความเห็นว่า ให้ดำเนินการก่อสร้างได้ และมีหน่วยงานของรัฐอีกแห่งหนึ่งบอกว่า ให้หยุดสร้าง และอีกหน่วยงานหนึ่งมีความเห็นว่า +++?? และทำให้ผู้กำกับภาพใหญ่ คือ รัฐบาล งุนงงว่าจะจัดการกับปัญหาเหล่านี้ได้อย่างไร และทำไมเหตุการณ์เหล่านี้จึงเกิดขึ้นได้

คำตอบในข้อสังเกตข้างต้นก็คือ ภาครัฐและผู้กำกับในระดับสูง ที่ต้องการกำกับในลักษณะ Integrity – Driven Performance และในระดับประเทศยังคงต้องปรับปรุงกระบวนการบริหารและการจัดการเชิงรุก โดยมองเหตุการณ์ไปข้างหน้า หรือมองไปในอนาคตว่า เหตุการณ์ที่ไม่พึงประสงค์ต่าง ๆ ที่มีผลกระทบเชิงลบต่อวัตถุประสงค์เชิงกลยุทธ์ ทั้งปัจจัยภายในและปัจจัยภายนอก ควรมีอะไรบ้าง และควรจะต้องจัดให้มีการควบคุมเช่นใด และควรจะมีการติดตามกำกับอย่างไร ซึ่งเรื่องนี้จะเกี่ยวข้องกับการบริหารในมุมมองของ GRC และการบริหารความเสี่ยงที่ใช้กรอบ COSO – ERM ทั้งสิ้น

ทำอย่างไร ประเทศไทยของเราจึงจะกำหนด Vision ในระดับประเทศ ซึ่งผมก็ไม่รู้ว่าคืออะไรในปัจจุบันนั้น และไม่ทราบว่ามีรัฐบาลใด มีการกำหนด Vision ของประเทศเป็นลายลักษณ์อักษร และสื่อสารให้คนไทยได้รับทราบ โดยเฉพาะอย่างยิ่ง ให้หน่วยงานทั้งภาครัฐและเอกชนได้รับทราบร่วมกัน เพื่อขับเคลื่อนพันธกิจไปสู่วิสัยทัศน์ที่ต้องการนั้นคืออะไร

ผมลองคิดเล่น ๆ นะครับว่า ถ้าเราจะกำหนด Vision ของประเทศ โดยมีข้อคิดที่นำไปสู่การปฏิบัติโดยใช้คำว่า … “ปลูกฝังสังคมไทยให้เป็นนักคิดอย่างสร้างสรรและนำไปปฏิบัติ เพื่อให้ประเทศไทยก้าวไปสู่การเจริญเติบโตอย่างยั่งยืนได้” หรือ…

ผมทราบว่าประเทศเพื่อนบ้านของเราบางประเทศ มีขนาดเล็กกว่าประเทศไทยด้วยซ้ำ ได้กำหนด Vision ของประเทศว่า “ปี ค.ศ. 2020 เราจะเป็นประเทศที่พัฒนาแล้ว” ท่านคิดว่ามีหมายความที่ตั้งเป้าประสงค์ของประเทศในระดับที่ท้าทาย ที่รัฐบาลและภาคเอกชนจำเป็นต้องร่วมกันกำหนดพันธกิจของประเทศ ในแง่มุมต่าง ๆ เพื่อก้าวไปสู่วิสัยทัศน์ที่ท้าทายนั้นให้จงได้

สำหรับกรณีมาบตาพุดนี้ ท่านคิดว่า ประเทศไทยยังขาดองค์รวมของการบริหารและการจัดการแบบบูรณาการ ที่จะต้องเริ่มต้นด้วยความเข้าใจวิสัยทัศน์ และพันธกิจ และกระบวนการบริหารจัดการบริหารความเสี่ยง โดยกำหนดกลยุทธ์ และแผนงาน/โครงการที่สัมพันธ์กันกับพันธกิจและวิสัยทัศน์นั้น ซึ่งขณะนี้ประเทศเรายังขาดการกำหนดวิสัยทัศน์ระดับประเทศที่ชัดเจนหรือไม่ครับ?

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 14, 2009

วันนี้ผมจะมาเล่าต่อให้จบในเรื่องของข้อมูลและการสื่อสาร เพื่อที่ครั้งหน้าจะได้เริ่มกันในกระบวนการบริหารความเสี่ยง Enterprise Risk Management (COSO – ERM) กระบวนการขั้นที่ 8 นั่นก็คือ การติดตามผลและการตรวจสอบ ซึ่งเป็นกระบวนการขั้นสุดท้ายของกระบวนการบริหารความเสี่ยง ทั้ง 8 ประการกันครับ

การติดต่อสื่อสารภายนอกและการนำไปประยุกต์ใช้ขององค์กรทั่วไป ด้วยการเปิดช่องทางการสื่อสารภายนอก ลูกค้าและ Supplier สามารถส่งข้อมูลสำคัญโดยการออกแบบหรือคุณภาพสินค้าหรือการบริการ เพื่อให้บริษัทหาความต้องการหรือความชอบของลูกค้า การเปิดเผยข้อมูลเรื่องความเสี่ยงที่ยอมรับได้และระดับความเสี่ยงที่ยอมรับได้ขององค์กรเป็นสิ่งสำคัญ เฉพาะเจาะจงสำหรับองค์กรซึ่งเชื่อมโยงกับส่วนอื่น ๆ ใน ส่วน Supply Chain หรือ การค้า การบริการ ทาง e-Business ดังเช่นตัวอย่าง ผู้บริหารพิจารณาว่าความเสี่ยงที่ยอมรับได้ และระดับความเสี่ยงที่ยอมรับได้เข้ากันได้กับคู่ค้าอย่างไร มั่นใจได้ว่าจะไม่ให้ความเสี่ยงที่มากเกินไปกับคู่ค้าทั้งหลาย

การติดต่อสื่อสารจากภายนอก มักจะให้ข้อมูลโดยการทำงานของการบริหารความเสี่ยง ความเข้าใจของผู้ตรวจสอบภายนอกในเรื่องกลยุทธ์องค์กร การปฏิบัติการ และประเด็นทางธุรกิจที่เกี่ยวข้องและระบบควบคุมที่จัดให้ผู้บริหาร และความเสี่ยงที่สำคัญของกรรมการและการควบคุมข้อมูล

การติดติดต่อสื่อสารกับผู้มีผลประโยชน์ ผู้สร้างกฎระเบียบ นักวิเคราะห์ทางการเงินและฝ่ายต่าง ๆ ที่อยู่ภายนอก ทำให้ได้ข้อมูลเกี่ยวกับความต้องการของพวกเขา เพื่อให้เกิดความเข้าใจเหตุการณ์และความเสี่ยง การติดต่อสื่อสารความมีความหมาย ตรงกับปัญหา และตรงเวลา และปฏิบัติตามกฎหมายและกฎระเบียบ
หน้าที่ของผู้บริหารในการติดต่อสื่อสารกับภายนอก คือเปิดเผยและเตรียมพร้อม และจริงจังในการติดตามผล

วิธีการในการติดต่อสื่อสาร
การติดต่อสื่อสาร อาจทำในรูปแบบของคู่มือนโยบาย บันทึก e-mail บอร์ดประกาศข่าว และข้อความจากวีดีโอเทป หากเป็นข้อความที่ส่งทางวาจา สำหรับกลุ่มใหญ่ การประชุมเล็ก ระดับของเสียงและภาษากายจะช่วยเน้นในสิ่งที่พูด

ข้อมูลที่นำเสนอหรือกำหนด สามารถส่งผลต่อการตีความของข้อมูลได้อย่างไร และความเสี่ยงและโอกาสถูกมองได้อย่างไร

แนวโน้มของมนุษย์เกี่ยวกับการตัดสินใจได้แสดงออกมาระหว่างหน่วยธุรกิจ การปฏิบัติหน้าที่และกิจกรรม เช่น บุคลากรบางคนมีความเคยชินที่จะรับเงื่อนไขความเสี่ยงกว่าในเรื่องผลกำไร ในขณะที่คนอื่น ๆ อาจตามหาความสูญเสียต่ำสุด จากการรับรู้เกี่ยวกับแนวโน้มของมนุษย์เหล่านี้ ผู้บริหารของ องค์กร สามารถที่จะกำหนดข้อมูล เพื่อช่วยเสริมความเสี่ยงที่ยอมรับได้และพฤติกรรมตลอดทั่วทั้งองค์กร

เครื่องมือที่มีพลังในการสื่อสารอีกอย่างนั้น พบได้จากการที่ผู้บริหารติดต่อกับลูกน้อง ผู้จัดการควรจำไว้ว่าการกระทำเสียงดังกว่าคำพูด ในทางกลับกันการกระทำการปฏิบัติที่ได้รับอิทธิพลจากประวัติศาสตร์และวัฒนธรรมขององค์กร จากการสังเกตการณ์ว่าหัวหน้างานได้จัดการกับสถานการณ์เช่นนี้ได้อย่างไร
องค์กรที่มีประวัติของการปฏิบัติการแบบบูรณาการ และมีวัฒนธรรมที่คนทั้งองค์กรเข้าใจ จะพบความยากในการติดต่อสื่อสารข้อความ องค์กรที่ปราศจากธรรมเนียมปฏิบัติเช่นนี้จำเป็นต้องเพิ่มความพยายามในการหนทางติดต่อสื่อสาร

จากนี้ไปดูภาพขององค์ประกอบที่สำคัญของข้อมูลและการสื่อสารกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553

ธันวาคม 11, 2009

ครั้งก่อน เราได้จบเกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ไปแล้วนั้น มีผู้บริหารของรัฐวิสาหกิจหลายท่าน อาจมีความเข้าใจการประเมินการบริหารความเสี่ยงที่เพิ่มแนวทางการบริหาร GRC – Governance + Risk Management + Compliance และ Portfolio View of Risk ซึ่งเป็นเรื่องใหม่ทั้ง 2 เรื่องพอสมควร

ผมจึงขอสรุปคุณลักษณะของการบริหาร GRC อย่างสั้นที่สุดมาให้ท่านได้ทราบตาม Slide ที่ปรากฎด้านล่างนี้ครับ

สำหรับ Portfolio View of Risk ท่านอาจจะทำความเข้าใจได้ง่ายขึ้น เมื่อเห็นแผนภาพด้านล่างนี้ด้วยเช่นกัน

กล่าวโดยสรุปสำหรับ Portfolio View of Risk ในอีกมุมมองหนึ่งของการอธิบายก็คือ การบริหารจัดการกับความเสี่ยง ในมุมมมองของการควบคุมความเสี่ยง 4 เรื่อง หลัก ๆ ตามหลักการของ COSO – ERM คือ Strategy Riks – S, Operational Risk – O, Financial and Reporting Risk – F, Compliance Risk – C นั้น จะมีแผนงาน/โครงการต่าง ๆ เพื่อการจัดการกับความเสี่ยง ตามหัวข้อใหญ่ S – O – F – C ในหลายเรื่อง หรือในหลายโครงการด้วยกัน และในแต่ละเรื่องจะมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และ/หรือ Risk Tolerance ระดับความเสี่ยงที่เบี่ยงเบนจาก Risk Appetite ว่าในที่สุดแล้ว จะมีผลกระทบต่อเป้าประสงค์ของ Performance ตามมุมมองของ Balanced Scorecard – Business BSC ซึ่งใช้แนวทาง COSO – ERM ในการประเมิน เพราะเป็นการประเมินทางด้าน Non – IT เป็นหลัก

นอกจากนี้ ผู้บริหารและผู้ที่เกี่ยวข้องยังต้องประเมินผลกระทบต่อ Conformance หรือการปฏิบัติตามมาตรฐาน (Standards) หรือกรอบการปฏิบัติงานที่ดี (Best Pactice Framework) และกฎหมาย กฎเกณฑ์ที่เกี่ยวข้อง ซึ่งเป็นที่ยอมรับกันทั่วไป โดยปกติจะใช้กรอบการปฏิบัติที่ดีเพื่อประเมินผลกระทบจากความเสี่ยงทางด้าน COSO – ERM และ IT นั่นก็คือ การใช้ ITG – CobiT มาเกี่ยวข้องในการประเมิน โดยเปรียบเทียบกับ IT Balanced Scorecard โดยปกติจะเชื่อมโยงกับ Best Pactice Standard ต่าง ๆ เช่น ISO 27001, ISO 20000, ISO 9001:2000 และทั้งหมดจะเชื่อมโยงกับ Process and Procedures อย่างเป็นกระบวนการ เช่น ITIL, Security Principles และ Quality Assurance – QA Procedure ซึ่งอธิบายได้ง่ายกว่ามากโดยดูจากแผนภาพด้านล่างนี้

ทั้งการประเมินประสิทธิภาพ ประสิทธิผลในการดำเนินงานทางด้าน Performance และ Conformance ตามที่กล่าวข้างต้น จะต้องได้ดุลยภาพในการจัดการที่ดี ทั้งด้าน IT และ Non – IT นี่ก็เป็นส่วนหนึ่งของกระบวนการบริหาร GRC และเป็นการขับเคลื่อน Integrity – Driven Performance อีกด้วย

ขอให้ดูรูปภาพที่เกี่ยวข้องนะครับ ท่านจะได้เข้าใจหลักการบริหารแบบบูรณาการในมิติต่าง ๆ เพิ่มขึ้น

ผมตั้งใจที่จะสรุปแต่อธิบายยาวไปนิดนึงนะครับ ก่อนที่จะเริ่มนำหลักเกณฑ์การประเมินการบริหารสารสนเทศของรัฐวิสาหกิจ ประจำปี 2553 ที่กำหนดโดยคณะกรรมการประเมินผลรัฐวิสาหกิจ ด้านสารสนเทศ ของกระทรวงการคลังมาเล่าสู่กันฟังในตอนต่อไป

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หลักฐานการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์

ธันวาคม 7, 2009

วันนี้ ผมจะมาเล่าสู่กันฟังในเรื่องเกี่ยวกับการตรวจสอบองค์กรโดยใช้คอมพิวเตอร์ จากครั้งที่ผ่าน ๆ มา ผมเคยได้พูดถึงขั้นตอนของการตรวจสอบทั้งทางด้าน IT Audit และ Non – IT Audit ไปแล้ว สำหรับครั้งนี้ผมจะนำเสนอเกี่ยวกับหลักฐานของการตรวจสอบทางด้านคอมพิวเตอร์ว่า ต้องมีเอกสาร หรือหลักฐานที่ใช้ในการตรวจสอบอย่างไรบ้าง

นอกเหนือจากการยกตัวอย่างในการตรวจสอบระบบงานเดียวกัน แต่รูปแบบของหลักฐานเปลี่ยนแปลงไป การวางแผนการตรวจสอบและกระบวนการตรวจสอบ เพื่อให้ได้หลักฐาน เพื่อสนับสนุนความเห็นในการให้ข้อแนะนำ ในเรื่องต่าง ๆ ที่เกี่ยวข้อง ก็มีความแตกต่างเป็นอย่างมาก

ท่านผู้ตรวจสอบด้าน IT และ Non – IT ลองพิจารณาดูซิครับว่า หากท่านหรือผู้ร่วมงานของท่าน ไม่เข้าใจผลกระทบของรูปแบบของหลักฐานที่เปลี่ยนแปลงไป จากกระบวนการที่ใช้คอมพิวเตอร์ ที่มีคุณลักษณะและกระบวนการทำงานที่แตกต่างกัน และด้วยเทคนิคที่ก้าวหน้าไปอย่างรวดเร็วในปัจจุบัน และมีผลต่อรูปแบบของกระบวนการทำงาน ผลกระทบต่อความเสี่ยงในมุมมองต่าง ๆ ทั้งด้าน IT Risk และ Risk IT ที่มีผลต่อ Business Process และ Business Objective ท่านและทีมงานของท่านจะมีวิธีการวางแผนการตรวจสอบอย่างไร จึงจะได้ผลดี และมีคุณภาพที่น่าเชื่อถือได้

ในกรณีที่ท่านเป็นคณะกรรมการตรวจสอบ หรือคณะกรรมการบริหารความเสี่ยง หรือคณะกรรมการดูแลทางด้าน Compliance ท่านควรจะตั้งคำถามแบบใด จึงจะมั่นใจอย่างสมเหตุสมผลว่า บุคลากรที่ท่านดูแลนั้น มีความสามารถ และมีความเข้าใจในงานที่ตรวจสอบ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างมากมาย และให้ข้อสังเกตที่มีคุณค่าเพิ่มได้อย่างเหมาะสม

เรื่องนี้ ผมเคยให้คำแนะนำวิธีการตั้งคำถามในรูปแบบต่าง ๆ ทั้งในลักษณะที่ผู้บังคับบัญชาอาจตั้งคำถามสอบถามผู้ใต้บังคับบัญชา หรือผู้ตรวจสอบต้องการตั้งคำถามกับผู้รับการตรวจสอบในแง่มุมต่าง ๆ ซึ่งมีความหลากหลาย และมีความซับซ้อนเป็นอย่างมาก ที่มีผลกระทบทางด้าน People Risk + Process Risk + Technology Risk (PPT)

ในการตรวจสอบ ผู้ตรวจสอบจำเป็นต้องหาหลักฐานเพื่อยืนยันความเพียงพอของการควบคุมในระบบการประมวลผล ซึ่งในระบบที่ทำด้วยมือ หลักฐานส่วนใหญ่มักได้แก่ เอกสารต่าง ๆ ที่สามารถมองเห็นได้ แต่ในระบบงานที่ใช้คอมพิวเตอร์ประมวลผล รูปแบบของหลักฐานได้เปลี่ยนแปลงไปอยู่ในรูปของสื่อแม่เหล็กเป็นส่วนใหญ่ ทำให้ไม่สามารถใช้วิธีการตรวจสอบแบบเดิมที่อาศัยเอกสารเป็นสำคัญต่อไปได้

ดังนั้น การที่ผู้ตรวจสอบจะสามารถตรวจสอบทาง IT ให้ได้ผลดีจึงจำเป็นต้องทราบถึงผลกระทบของเทคโนโลยีทางคอมพิวเตอร์ที่มีต่อหลักฐานที่จะใช้ในการตรวจสอบ เพื่อกำหนดแนวทางการตรวจสอบที่เหมาะสมต่อไปได้

รูปแบบของหลักฐานที่ผู้ตรวจสอบมักใช้ในการตรวจสอบระบบที่ทำด้วยมือ
1. เอกสารต้นกำเนิด เช่น แบบฟอร์มใบคำขอ
2. หลักฐานการอนุมัติ คือ การลงลายมือชื่อของผู้มีอำนาจในเอกสารต้นกำเนิดและการประทับวันที่และเวลาที่จัดทำเอกสารและผ่านการอนุมัติ
3. หลักฐานการประมวลผล เช่น แบบฟอร์มแสดงการคำนวณ คู่มือที่แสดงรายละเอียดข้อมูลหลักและกระดาษจากเครื่องบวกเลข
4. หลักฐานทางผลลัพธ์ เช่น เช็ค รายงานแสดงรายการเคลื่อนไหวทางบัญชี ใบเสร็จรับเงิน และรายงานต่าง ๆ

การเปลี่ยนแปลงลักษณะของหลักฐานเมื่อมีการนำเครื่องคอมพิวเตอร์มาใช้
1. รายการที่ทำโดยคน
ในระบบที่ทำด้วยมือ บุคคลมักเป็นผู้ให้กำเนิดรายการ และส่งเข้าสู่ระบบประมวลผล แต่ในกรณีที่ใช้คอมพิวเตอร์ ระบบงานคอมพิวเตอร์อาจให้กำเนิดรายการเองโดยอัตโนมัติ

2. ข้อมูลนำเข้าที่บันทึกในกระดาษ
เมื่อมีรายการเกิดขึ้น ในระบบที่ทำด้วยมือมักมีการจัดทำและบันทึกข้อมูลในเอกสารที่เป็นกระดาษ แต่ในระบบคอมพิวเตอร์ ข้อมูลจะบันทึกผ่านเครื่องเทอร์มินอล ซึ่งจะไม่ปรากฏอยู่ในเอกสารอีก เช่น การเปลี่ยนแปลงอัตราดอกเบี้ย พนักงานจะป้อนอัตราใหม่เข้าไปปรับปรุงที่แฟ้มข้อมูลหลักของลูกค้าเงินให้กู้ยืม ผ่านทางเครื่องเทอร์มินอลได้โดยทันที

3. การอนุมัติรายการ
ในระบบที่ทำด้วยมือ จะมีการอนุมัติรายการโดยผู้มีอำนาจอนุมัติ ลงลายมือชื่อ ชื่อย่อ หรือประทับตรายางแสดงการอนุมัติ แต่ในระบบคอมพิวเตอร์ จะมีการกำหนดการอนุมัติไว้ล่วงหน้า เช่น การกำหนดวงเงินการให้สินเชื่อในระบบ เมื่อมีการให้สินเชื่อระบบจะตรวจสอบว่าเกินวงเงินหรือไม่ หากไม่เกินที่กำหนด ระบบก็จะอนุมัติให้รายการผ่านได้โดยอัตโนมัติ

นอกจากนี้ การอนุมัติอาจกระทำได้ในรูปของการใช้ Password การรูดบัตรที่มีรหัสลับบันทึกไว้บนแถบแม่เหล็ก หรือการกำหนดระดับกุญแจที่ต้องใช้ประกอบการทำรายการที่เครื่องเทอร์มินอล

4. การจัดส่งข้อมูล
ในระบบที่ทำด้วยมือจะมีการจัดส่งข้อมูลในรูปของเอกสาร โดยใช้คนนำส่ง ส่งเป็นไปรษณีย์ภัณฑ์หรือส่งไปทางเรือ แต่ในระบบงานคอมพิวเตอร์ จะมีการจัดส่งข้อมูลหลังจากที่ได้บันทึกแปลงรหัส และรวบรวมไว้พร้อมแล้วในลักษณะของข้อมูลทางอิเล็คทรอนิกส์

5. การประมวลผลในรูปแบบที่มองเห็นได้
ในระบบที่ทำด้วยมือ มักมีการกำหนดขั้นตอนการประมวลผลแต่ละขั้นโดยไม่ซับซ้อน เพื่อลดความผิดพลาดที่อาจเกิดขึ้นจากบุคคลให้มากที่สุด แต่ในระบบคอมพิวเตอร์ การประมวลผลจะเป็นไปโดยอัตโนมัติตามขั้นตอนที่กำหนดไว้ในโปรแกรมคำสั่งงาน ซึ่งมักมีความสลับซับซ้อน อันเนื่องมาจากความต้องการให้เครื่องคอมพิวเตอร์สามารถปฏิบัติงานได้อย่างรวดเร็วและถูกต้องแม่นยำ

6. ข้อมูลหลัก
ข้อมูลหลักหรือข้อมูลที่ถาวรที่จำเป็นต้องใช้ในการประมวลผล มักบันทึกอยู่ในรูปข้อมูลที่อ่านได้ด้วยตาเปล่า แต่ในระบบคอมพิวเตอร์จะบันทึกอยู่ในรูปของสื่อแม่เหล็ก

7. รายงานข้อมูลผลลัพธ์
ในระบบที่ทำด้วยมือ ข้อมูลที่ได้จากการประมวลผลมักอยู่ในรูปของเอกสาร เช่น รายงาน เช็คที่พิมพ์รายการเรียบร้อย แต่ในระบบงานคอมพิวเตอร์มักไม่เป็นเช่นนั้น เช่น การโอนเงิน จะใช้วิธีโอนเงินทางอิเล็คทรอนิกส์ และข้อมูลผลลัพธ์ก็จะนำเสนอบนจอภาพ และในบางระบบอาจแสดงเฉพาะข้อมูลที่ไม่ปกติให้ทราบเพื่อปฏิบัติการต่อไปก็ได้

8. การจัดแฟ้มเอกสาร
ในระบบที่ประมวลผลด้วยมือ มักมีการจัดเก็บเอกสารข้อมูลในลักษณะที่เราพบเห็นกันโดยทั่วไป และเมื่อต้องการใช้ก็หาได้ไม่ลำบากนัก แต่ในระบบคอมพิวเตอร์มักเก็บข้อมูลอยู่ใน Disks ซึ่งการเรียกใช้หรือดึงข้อมูลออกมานั้นต้องใช้โปรแกรมคำสั่งงานดึงข้อมูลออกมาตามความต้องการ

9. ร่องรอยการตรวจสอบ
ในระบบที่ทำด้วยมือ ข้อมูลต่าง ๆ มักบันทึกอยู่ในรูปของเอกสาร ซึ่งจะมีทั้งข้อมูลต้นกำเนิดลายมือ ซึ่งแสดงการอนุมัติ วิธีการประมวลผล และผลลัพธ์ ซึ่งเพียงพอแก่การใช้เป็นร่องรอยในการตรวจสอบ ไม่ว่าจะเริ่มจากจุดกำเนิดรายการไปถึงยอดจำนวนรวม หรือย้อนกลับจากยอดจำนวนรวมไปยังเอกสารต้นกำเนิด

แต่ในระบบงานคอมพิวเตอร์ร่องรอยในการตรวจสอบมักกระจายกันอยู่ตามจุดต่าง ๆ ขึ้นอยู่กับลักษณะของระบบฐานข้อมูล และข้อมูลส่วนใหญ่เก็บอยู่ในรูปของสื่อแม่เหล็ก ผู้ตรวจสอบจึงจำเป็นต้องเข้าใจถึง Concept ของระบบการประมวลผล จึงจะสามารถทราบถึงขั้นตอนการประมวลผลและร่อยรอยที่จะใช้ในการตรวจสอบ ซึ่งก็ไม่ใช่เรื่องที่ง่ายนัก โดยเฉพาะอย่างยิ่งในระบบที่ค่อนข้างสลับซับซ้อน

10. คู่มือปฏิบัติงาน
ในระบบที่ทำด้วยมือ มักมีคู่มือปฏิบัติงานที่แสดงรายละเอียดแต่ละขั้นตอนของการประมวลรายการ เพื่อเป็นแนวทางสำหรับผู้ปฏิบัติงาน แต่ในระบบงานคอมพิวเตอร์คู่มือเหล่านี้อาจอยู่ในรูปของ Computer Program Listing, Data Dictionary Listing และเอกสารที่ผู้ขาย Software มอบให้แก่องค์กร

11. การติดตามรายการ
ในระบบที่ทำด้วยมือ ผู้มีอำนาจอนุมัติมักสอบทานการประมวลผลข้อมูลเพื่อให้เกิดความมั่นใจว่าข้อมูลดังกล่าวมีความสมเหตุสมผล มีความถูกต้องครบถ้วนสมบูรณ์และผ่านการอนุมัติ แต่ในระบบงานคอมพิวเตอร์โปรแกรมที่ได้กำหนด Logic ไว้ล่วงหน้าจะเช็คสอบข้อมูลเหล่านี้โดยอัตโนมัติ การใช้คนสอบทานแทบจะเป็นไปไม่ได้ โดยเฉพาะอย่างยิ่งในระบบคอมพิวเตอร์ที่มีความสลับซับซ้อนและเป็นระบบรวม และมีวงจรการประมวลผลที่สั้นขึ้นกว่าเดิม

12. การแบ่งแยกหน้าที่
ในระบบที่ทำด้วยมือ การแบ่งแยกหน้าที่ มักกระทำโดยการแบ่งแยกงาน ในระหว่างบุคคลต่าง ๆ เพื่อเกิดการควบคุมซึ่งกันและกัน ซึ่งก็มักเพียงพอและไม่ใคร่มีปัญหา แต่ในระบบงานคอมพิวเตอร์การแบ่งแยกงานในระหว่างบุคคลต่าง ๆ นั้นยังไม่เพียงพอ จำเป็นต้องมีการแบ่งแยกงานระหว่างขั้นตอนการประมวลผลโดยอัตโนมัติในแต่ละขั้นด้วย

13. การประมวลผลรายการจำนวนมาก
ในระบบที่ทำด้วยมือ มักใช้วิธี Resequencing หรือ Matching Diverse Data Elements แต่วิธีดังกล่าวก็ยุ่งยากและสิ้นเปลือง และจะกระทำเมื่อจำเป็นเท่านั้น ในระบบคอมพิวเตอร์ ข้อมูลจำนวนมากเหล่านั้นสามารถนำไปเก็บไว้ใน Database เพียงอันเดียว

และเนื่องจากคอมพิวเตอร์มีความสามารถในการประมวลผลด้วยความเร็วสูงมาก จึงสามารถนำเสนอข้อมูลดังกล่าวได้ในรูปแบบที่ต้องการได้ทุกเมื่อ และสามารถทำการวิเคราะห์ข้อมูลได้ละเอียดซับซ้อนกว่า อีกทั้งจะเรียกใช้ข้อมูลมากกว่าหนึ่งครั้งก็ได้

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ธันวาคม 7, 2009

ในส่วนของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร ผมจะมาเล่าสู่กันฟังในเรื่องของกระบวนการบริหารความเสี่ยง (COSO – ERM) ทั้ง 8 ประการ ซึ่งจะต่อกันด้วยระบบสารสนเทศและการติดต่อสื่อสาร (Information and Communication) ที่ได้กล่าวไปในครั้งที่แล้วเกี่ยวกับเรื่องของข้อมูล หรือสารสนเทศ สำหรับวันนี้จะกล่าวถึงการติดต่อสื่อสาร ไปติดตามต่อกันเลยนะครับ

การติดต่อสื่อสาร
การติดต่อสื่อสารเป็นธรรมชาติในระบบข้อมูล ดังที่เคยอธิบายแล้ว ระบบข้อมูลจะให้ข้อมูลกับคนที่เหมาะสม เพื่อให้ปฏิบัติงาน รายงานทางการเงินและความรับผิดชอบเชิงความร่วมมือ
แต่การติดต่อสื่อสารมักเกิดขึ้นในความหมายที่กว้าง การจัดการกับความคาดหวัง ความรับผิดชอบของแต่ละคน และกลุ่ม และเรื่องสำคัญอื่น ๆ

การติดต่อสื่อสารภายใน
ผู้บริหารติดต่อสื่อสารโดยตรง และเฉพาะเจาะจง ในเรื่องความคาดหวังเชิงพฤติกรรม และความรับผิดชอบของบุคคล

การสื่อสาร รวมถึงการให้ความกระจ่างในเรื่องปรัชญาการบริหารความเสี่ยงขององค์กร และวิธีการการแบ่งอำนาจหน้าที่ให้กระจ่าง การสื่อสารในเรื่องกระบวนการ และขั้นตอนการปฏิบัติควรเป็นไปในแนวทางเดียวกับวัฒนธรรมในเรื่องความเสี่ยง

การติดต่อสื่อสารควรมีประสิทธิภาพ
– มั่นใจว่ามีความรู้ในเรื่องความสำคัญ และความสัมพันธ์ของการบริหารความเสี่ยงที่มีประสิทธิภาพ
– ติดต่อสื่อสารเรื่องความเสี่ยงที่ยอมรับได้ และระดับความเสี่ยงที่ยอมรับได้
– ดำเนินการและสนับสนุนภาษาเกี่ยวกับความเสี่ยงโดยทั่วไป
– แนะนำบุคคลในเรื่องบทบาท และหน้าที่รับผิดชอบ เพื่อช่วยในการสนับสนุนในส่วนประกอบของการบริหารความเสี่ยง

บุคลากรทั้งหมดโดยเฉพาะผู้ที่มีความรับผิดชอบในการบริหารการเงิน และบริหารการจัดการ จำเป็นต้องได้รับข้อมูลจากผู้บริหารระดับสูง ซึ่งมีการจัดการด้านความเสี่ยงอย่างจริงจัง ความกระจ่างของข้อมูล และความมีประสิทธิภาพของการติดต่อสื่อสารมีความสำคัญ

บุคลากรควรรู้ว่าเมื่อไรสิ่งที่ไม่คาดหวังจะเกิดขึ้น ความตั้งใจต้องมอบให้ไม่เฉพาะต่อเหตุการณ์แต่ต้องใส่ใจสาเหตุด้วย ในกรณีนี้ระบบที่อ่อนแอถูกแยกแยะ และมีการกระทำเพื่อป้องกันไม่ให้เกิดซ้ำ เช่น การพบสินค้าคงคลังที่ไม่สามารถขายได้นั้น ไม่เพียงแต่ตัดบัญชีในรายงานการเงิน แต่เป็นการระบุว่าเหตุใดสินค้าคงคลังจึงไม่สามารถขายได้เป็นอันดับหนึ่ง

บุคลากรจำเป็นต้องรู้ว่ากิจกรรมต่าง ๆ เกี่ยวข้องกับงานของส่วนอื่น ๆ อย่างไร ความรู้เหล่านี้ช่วยให้เข้าใจปัญหา หรือระบุสาเหตุ และวิธีการแก้ไข และจำเป็นต้องรู้ว่าพฤติกรรมอะไรยอมรับได้ และยอมรับไม่ได้ มีการนำการเผยแพร่รายงานการฉ้อโกงในกรณีผู้จัดการอยู่ภายใต้ความกดดันในการบรรลุงบประมาณ หลอกลวงผลการปฏิบัติงาน

ตัวอย่างทั้งหลายนี้ ไม่มีใครบอกได้ว่าแต่ละคน ซึ่งรายงานผิดพลาดนั้น ทำผิดกฎหมายหรือไม่ถูกต้อง ซึ่งเน้นลักษณะสำคัญของการติดต่อสื่อสารข้อความภายในองค์กร ผู้จัดการที่แนะนำลูกน้องว่า “ทำให้ได้ตามงบประมาณ ผมไม่สนใจว่าจะใช้วิธีใด” สามารถส่งโดยไม่เป็นลายลักษณ์อักษรด้วยข้อความที่ผิด

พนักงานส่วนหน้าซึ่งติดต่อกับเรื่องการปฏิบัติการที่สำคัญทุก ๆ วัน จะอยู่ในตำแหน่งที่ดีที่สุดในการตระหนักถึงปัญหาที่พวกเขาพบเจอ เช่น พนักงานขายหรือผู้จัดการบัญชีอาจเรียนรู้ความจำเป็นของการออกแบบผลิตภัณฑ์เพื่อลูกค้าคนสำคัญ บุคลากรฝ่ายผลิตตระหนักถึงความสูญเสีย ในเรื่องความบกพร่องของกระบวนการ และบุคลากรด้านจัดซื้ออาจเผชิญกับสินน้ำใจที่ไม่เหมาะสมจาก Supplier

ข้อมูลจะถูกนำเสนอไปสู่ส่วนบน ดังนั้น จะต้องมีการเปิดช่องทางของการติดต่อสื่อสาร และทำให้เกิดความเต็มใจที่จะรับฟัง บุคลากรต้องมีความเชื่อว่า หัวหน้างานต้องการรู้เกี่ยวกับปัญหาและจะจัดการปัญหาอย่างมีประสิทธิภาพ ผู้จัดการเกือบทุกคนตระหนักว่าพวกเขาควรหลีกเลี่ยง “การทำลายผู้ส่งข้อความ”

แต่เมื่อเกิดความกดดันขึ้นทุกวัน พวกเขาไม่นำความคิดไปสู่คนที่นำพวกเขาไปสู่ปัญหา บุคลากรมีความไวต่อการรับรู้ในสัญลักษณ์ที่พูดออกมา และไม่ได้พูดออกมา ซึ่งหัวหน้าไม่มีเวลา หรือไม่สนใจที่จะจัดการกับปัญหา การรวมของปัญหาผู้จัดการที่ไม่รับความคิดเป็นคนสุดท้ายที่จะรู้ว่า ช่องทางการติดต่อสื่อสารถูกปิดลงอย่างมีประสิทธิภาพ

ช่องทางการติดต่อสื่อสาร ควรทำให้มั่นใจว่าบุคลากรสามารถสื่อสารบนพื้นฐานของความเสี่ยงข้ามหน่วยธุรกิจ กระบวนการ เช่น การเพิ่มขึ้นของคำติดชมของลูกค้าเกี่ยวกับการดูแลสินค้าโดยกลุ่มผู้บริการลูกค้า อาจจำเป็นต้องทำให้มีการพัฒนาการออกแบบผลิตภัณฑ์

ความล้มเหลวในการติดต่อสื่อสารเกิดขึ้นได้ เมื่อบุคคลหรือหน่วยต่าง ๆ ไม่เห็นด้วยหรือไม่มีเครื่องมือในการช่วยให้ข้อมูลสำคัญกับคนอื่น ๆ บุคคลากรอาจต้องระวังเรื่องความเสี่ยงที่สำคัญแต่ไม่สามารถรายงานผลได้

ส่วนมากสายการรายงานโดยปกติในองค์กรเป็นช่องทางที่เหมาะสมของการติดต่อสื่อสาร อย่างไรก็ตามในบางโอกาสสายที่แยกออกมาของการติดต่อสื่อสารก็จำเป็น ในกรณีเป็นเครื่องมือช่วยป้องกันการผิดพลาดในกรณีที่ช่องทางปกติไม่สามารถทำงานได้

บางองค์กรจัดช่องทางโดยตรงสำหรับผู้บริหารอาวุโส หัวหน้าผู้ตรวจสอบภายในหรือ ที่ปรึกษาทางกฎหมาย หากปราศจากช่องทางการสื่อสารที่เปิดเผย และความเต็มใจที่จะรับฟังแล้ว การไหลของข้อมูลจากล่างสู่บนอาจถูกปิดกั้น

ในทุกกรณีสิ่งสำคัญคือ การที่บุคลากรเข้าใจว่าจะไม่มีการโต้ตอบด้วยกำลังสำหรับการรายงานข่าวสารที่เกี่ยวข้องกัน ข้อความที่กระจ่างถูกส่งโดยกลไก ซึ่งสนับสนุนให้ลูกจ้างรายงานสิ่งผิดปกติของการปฏิบัติงาน และการดูแลของบุคลากรผู้รายงาน

ช่องทางการติดต่อสื่อสารที่สำคัญที่สุดอยู่ระหว่างผู้บริหารระดับสูง และกรรมการผู้บริหาร ผู้บริหารต้องรายงานความคืบหน้าในเรื่องต่าง ๆ ให้กรรมการได้รู้ เช่น ผลการปฏิบัติงาน การพัฒนา ความเสี่ยง และการทำงานของการบริหารความเสี่ยงขององค์กร รวมทั้งเรื่องต่าง ๆ ที่เกี่ยวข้อง

ยิ่งการติดต่อสื่อสารดีขึ้นมากเท่าใด ผู้บริหารที่มีประสิทธิภาพยิ่งต้องจัดการกับความรับผิดชอบที่ผิดพลาดยิ่งขึ้น ในฐานะเป็นผู้ประกาศเกี่ยวกับเรื่องสำคัญ และให้คำแนะนำคำปรึกษาและทิศทางการทำงาน ในกรณีนี้กรรมการควรสื่อสารกับผู้บริหารว่าต้องการข้อมูลอะไร และส่งข้อมูลย้อนกลับและแนวทางปฏิบัติไปให้

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความรับผิดชอบของทางการไทยกับกรณีศาลปกครอบสูงสุดสั่งระงับโครงการมาบตาพุดต่อ

ธันวาคม 4, 2009

จนถึงวันนี้ ทุกท่านก็คงทราบแล้วนะครับว่า ศาลปกครองสูงสุดได้สั่งระงับโครงการมาบตาพุด ซึ่งมีผลเสียหายอย่างร้ายแรงต่อความเชื่อมั่นของนักลงทุน ทั้งในและต่างประเทศ และต่อรายได้ที่หายไปประมาณ 130,000 ล้านบาทโดยประมาณ และอาจมีผลกระทบต่อ GDP ในปี 2553 โดยลดลงประมาณ 0.5% ตามที่เป็นข่าวและทราบกันโดยทั่วไปแล้วนั้น ได้สร้างความใจหายและความหวาดหวั่นต่อกลไกการลงทุน ตลอดจนแรงงานของชาติที่จะเข้าไปในตลาดแรงงาน และอื่น ๆ เป็นอย่างยิ่ง

คำถามต่อไปก็คือ กลุ่มผู้มีผลประโยชน์ร่วมอื่น ๆ ในสังคมไทยคิดอย่างไร? ต่อผลกระทบในครั้งนี้ จริงอยู่เราต้องเคารพการพิจารณาของศาล แต่การตัดสินครั้งนี้ได้ทำลายความเชื่อมั่นของนักลงทุนไปอย่างน่าใจหาย และตามมาด้วยข่าวระทึกขวัญต่อมาอีกว่า NGO จ้องที่จะฟ้องอีก 181 โครงการ บางส่วนของผู้มีผลประโยชน์ร่วม คือชาวมาบตาพุด ก็หลั่งน้ำตาด้วยความดีใจที่ศาลสั่งระงับ 65 โครงการ เพราะทำให้สุขภาพและสิ่งแวดล้อมอาจดีขึ้นได้

คำถามที่ต้องการคำตอบในระยะยาวก็คือ CSR – Corporate Social Responsibility กับความไว้วางใจระหว่างกลุ่ม Stakeholder ต่าง ๆ โดยเฉพาะนักลงทุน ผู้ให้กู้ยืมเงินที่เกี่ยวข้องกับการลงทุนทั้งในและต่างประเทศ คำสั่งซื้อขายล่วงหน้าจากการที่ผู้ซื้อในต่างประเทศคาดหวังว่า จะดำเนินการได้เมื่อโครงการแล้วเสร็จ แต่ไม่อาจทำได้ ซึ่งยังมีการฟ้องร้องตามมาอีกมากมาย

ความเสียหายจากที่กล่าวข้างต้นจะมีใครเป็นผู้รับผิดชอบ หากท่านเป็นนักลงทุนไม่ว่าในหรือต่างประเทศ ได้รับการอนุมัติลงทุนและให้เริ่มสร้างโรงงานได้ โดยมีหน่วยงานของรัฐ ซึ่งเป็นผู้เชี่ยวชาญด้านกฎหมายได้ให้ความเห็นว่า ดำเนินการได้โดยไม่ขัดกับรัฐธรรมนูญ ซึ่งนักลงทุนก็ได้สร้างโครงการขึ้นมา หลาย ๆ แห่งก็เกือบจะเสร็จสิ้นลงแล้วนั้น อยู่ ๆ ก็มีหน่วยงานอีกหน่วยงานหนึ่งที่เป็นอิสระสั่งให้ระงับโครงการทั้งหมด โดยมีความเห็นที่ต่างมุมมองกัน แต่ก็มีผลอย่างร้ายแรงต่อการดำเนินการที่ได้ผ่านมาแล้ว

หากท่านเป็นนักลงทุน เป็นนักการเงิน เป็นนักกฎหมาย เป็นผู้กำกับที่เกี่ยวข้องทั้งทางตรงและทางอ้อม ท่านคิดอย่างไร? ถึงกรณีที่เกิดขึ้นในประเทศไทยในปัจจุบัน

การฟ้องร้องจากปัญหาที่เกิดขึ้นจะมีขึ้นแน่นอน และในที่สุด ผมมีความเห็นส่วนตัวว่า ประเทศไทยจะได้รับความเสียหายเป็นอย่างยิ่งและเป็นอย่างมาก ซึ่งหากนำหลักการบริหารความเสี่ยงกับแนวทางของ COSO – ERM มาใช้ ก็น่าจะพิจารณาได้ว่าผลกระทบนั้นสูงเกินกว่าระดับที่ยอมรับ (Risk Appetite/Risk Tolerance) ได้เป็นแน่นอน

อีกครั้งหนึ่งที่ผมใครจะกล่าวว่า หน่วยงานที่เกี่ยวข้องของไทยที่เกี่ยวข้องกับโครงการมาบตาพุดในครั้งนี้ ไม่เคยนำเรื่องผลกระทบที่เกิดขึ้นมาพิจารณาเป็นบรรทัดฐาน เนื่องจากหลักการบริหารความเสี่ยงของประเทศเชิงบูรณาการในภาพโดยรวมนั้น เข้าใจว่ายังมีกรอบจำกัดค่อนข้างมากในการนำมาใช้ในการกำหนดผลกระทบจากการบริหารที่ขาดการประสาน และบูรณาการ ในมุมมองต่าง ๆ ที่เกี่ยวข้อง

ผมใคร่ขอออกความเห็นเป็นการส่วนตัวว่า ขณะนี้ความเสียหายได้เกิดขึ้นแล้วในมุมมองต่าง ๆ ไม่ว่าจะมองในมุมมองใดก็ตาม โดยเฉพาะอย่างยิ่งในมุมมองของการบริหารแบบสอดประสานและบูรณาการ ตามหลัก GRC – Governance + Risk Management + Compliance ซึ่งเป็นกรอบการบริหารยุคใหม่ที่กำลังได้รับความนิยมในการนำมาบริหารและจัดการ เพื่อลดช่องว่างในเรื่อง Alignment and Integration ในระหว่างหน่วยงาน และข้ามหน่วยงาน ดังกรณีมาบตาพุดน่าจะเป็นบทเรียนที่ดีที่หน่วยงานภาครัฐ โดยเฉพาะอย่างยิ่งทางรัฐบาล น่าจะพิจารณาหรือทบทวนไม่ให้เหตุการณ์เช่นนี้เกิดขึ้นอีกในอนาคต

กรณีมาบตาพุดนี้ การนิคมอุตสาหกรรมแห่งประเทศไทย (กนอ.) ได้ออกมาชี้แจงในเช้าวันนี้ถึงเรื่องที่เกิดขึ้น ผมมีความเห็นส่วนตัวว่า เหตุการณ์ที่เกิดขึ้นเป็นเรื่องที่เกินกว่าอำนาจและหน้าที่ ไม่ว่าจะมองในมุม Responsibility และมองในมุมของ Accountability ตามหลัก CG และหลักการบริหารกิจการบ้านเมืองที่ดี รวมทั้ง ความรับผิดชอบที่เกี่ยวข้องกับ Social and Environmental Awareness ซึ่งเป็นข้อหนึ่งของหลักการ CG นั้น ก็เป็นเรื่องที่เกินกว่าหน่วยงานนี้เพียงลำพังจะรับผิดชอบได้ และน่าจะมีลักษณะผลกระทบจากภายนอก ที่ควบคุมไม่ได้ เพราะเกิดจากการให้คำแนะนำของผู้เชี่ยวชาญด้านกฎหมายของหน่วยงานรัฐแห่งอื่นว่า โครงการที่เป็นปัญหานี้สามารถดำเนินการได้ แต่เมื่อดำเนินการแล้วก็มีหน่วยงานของรัฐที่อิสระอีกแห่งหนึ่งบอกว่าทำไม่ได้ ก็เป็นเรื่องที่ต้องเคารพในความคิดเห็นที่ต่างมุมมอง

อย่างไรก็ดี จากการชี้แจงโดยท่านรองผู้ว่าการ กนอ. ในเช้าวันนี้ ก็ทราบว่า ทางกนอ. จะมีกระบวนการที่จะเพิ่มมาตรการที่จำเป็นในการรักษาสิ่งแวดล้อม ซึ่งปกติทางหน่วยงานก็ได้ให้ความสนใจในเรื่องนี้มากเป็นพิเศษอยู่แล้ว และจากการประเมินความพึงพอใจด้านสภาพแวดล้อมกับชุมชนใกล้เคียงในปี 2552 ก่อนที่จะเกิดปัญหาการฟ้องร้องขึ้น ชุมชนใกล้เคียงกับมาบตาพุดก็ยังพึงพอใจการดูแลสภาพแวดล้อมที่ดีจากผลการประเมินที่ออกมา ในกรณีที่เกิดขึ้นต่อจากนี้ไป การประเมินผลในเรื่องความพึงพอใจในสิ่งแวดล้อมก็อาจจะเปลี่ยนแปลงไปตามสภาพที่เกิดขึ้นจริง และตามทัศนคติของบุคคลที่เกี่ยวข้อง รวมทั้งผลที่เกิดจากมาตรการการแก้ไขของหน่วยงานภาครัฐที่เกี่ยวข้องกับกฎหมายมาตรา 67 วรรค 2 ต่อไปด้วย

แต่ความเป็นจริงก็คือ ความเสียหายที่เกิดขึ้นที่มีผลกระทบอย่างรุนแรง กว้างขวาง ล้ำลึกที่เกี่ยวข้องกับความน่าเชื่อถือระหว่างประเทศ ที่จะเป็นปัญหาให้ต้องแก้ไขแทนที่จะนำหลักการบริหารความเสี่ยงตามหลักการของ COSO – ERM มาใช้ ซึ่งสามารถจะระบุเหตุการณ์หรือปัจจัยเสี่ยงที่อาจเกิดขึ้นได้ในต่างมุมมอง โดยกำหนดกรอบหรือระดับความเสียหายที่ยอมรับได้หรือไม่ได้ในมิติต่าง ๆ ที่เกี่ยวข้องก็จะช่วยลดความเสี่ยง และสร้างความเชื่อถือได้เป็นอย่างมากต่อผู้มีผลประโยชน์ร่วมในกลุ่มต่าง ๆ จะต้องศึกษาจากบทเรียนครั้งนี้ในมุมมองต่าง ๆ เพื่อให้ได้การบริหารและการจัดการต่อผู้มีผลประโยชน์ร่วมในกลุ่มต่าง ๆ
อย่างได้ดุลยภาพ เพื่อสร้างความเชื่อมั่นอย่างต่อเนื่องต่อกระบวนการลงทุนของชาตต่อไป

อย่างไรก็ดี ผมมีความเข้าใจว่า เรื่องนี้ร้ายแรงเกินกว่าที่ทางการยอมรับได้ ถึงแม้จะมีผลเสียหายไปแล้วก็ตาม ทางการก็คงจะมีโครงการ และมีโครงสร้างที่จะดำเนินการจัดการกับสิ่งแวดล้อมและสุขภาพของประชาชน และดูแลกลุ่มผู้มีผลประโยชน์ร่วมให้มีการปฏิบัติตามมาตรฐาน 67 วรรค 2 ให้ชัดเจนและเป็นรูปธรรม ซึ่งน่าจะทำได้ในที่สุด

หากมีโอกาสคงจะมาแลกเปลี่ยนความคิดเห็นกันในตอนต่อ ๆ ไปครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

เกณฑ์การประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 (ต่อ)

ธันวาคม 4, 2009

สวัสดีครับ วันนี้ผมจะนำเสนอต่อในเรื่องของเกณฑ์ประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ปี 2553 ให้จบ หลังจากที่ได้นำเสนอมาหลายตอนเนิ่นนานแล้ว และผมจะได้ต่อในเรื่องของเกณฑ์การประเมินการบริหารจัดการสารสนเทศ (IT) ปี 2553 ซึ่งตั้งใจไว้ว่าจะนำเสนอให้ทันภายในปีนี้ เพื่อที่ รส. และหน่วยงานภายใต้การกำกับดูแล จะได้เตรียมความพร้อมรับการประเมิน ประจำปี 2553 กัน ฉะนั้น เราไปต่อในส่วนที่เหลือกันเลยดีกว่าครับ

6. กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และเป็นส่วนหนึ่งที่สำคัญของการพิจารณาผลตอบแทน และ/หรือความดีความชอบ

6.1แผนงานในการบริหารความเสี่ยง มีความสอดคล้องกับ Performance Evaluation ขององค์กร

6.2 มีแผนงานในการประเมินผลการดำเนินงานของแต่ละบุคคล หรือสายงานในองค์กรที่มีส่วนเกี่ยวข้องในการบริหารความเสี่ยง โดยมีประเด็นในการประเมิน เช่น ความรับผิดชอบและการสนับสนุนกระบวนการบริหารความเสี่ยง และกรอบการบริหารความเสี่ยงที่แต่ละบุคคล หรือสายงานมีต่อองค์กร และการวัดระดับของความเสี่ยงที่บุคคล หรือสายงานนั้นเป็นผู้รับผิดชอบว่า ความเสี่ยงได้รับการจัดการอย่างมีประสิทธิผลเพียงใด

6.3 มีการกำหนดเป้าหมายร่วมกันในแต่ละหน่วยงาน เพื่อนำไปสู่การบริหารความเสี่ยงขององค์กรโดยรวม และมีการติดตามประเมินผลงานอย่างต่อเนื่อง

7. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งมูลค่า (Value) ขององค์กรอาจพิจารณาได้จาก Value ที่รัฐวิสาหกิจระบุไว้

7.1 องค์กรมีการบริหารความเสี่ยงของการสูญเสีย “โอกาสของธุรกิจ” การที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ ซึ่งส่งผลให้เกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” อาจพิจารณาจากการวิเคราะห์ “SWOT” ขององค์กร

7.2 การที่องค์กรมีการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศ เพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กรเช่นเดียวกัน

8. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริง

8.1 การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง

8.2 ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง)

แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

8.3 ในกรณีที่มี Risk Appetite รายปัจจัยเสี่ยง ที่ระบุเป้าหมายเชิงปริมาณในปี 2552 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ Risk Appetite /ดีกว่าเป้าหมายของ Risk Appetite ที่กำหนด

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »