ดุลยภาพหรือความพอดีในกระบวนการจัดการ หมายถึงความยั่งยืนตามหลักการของ Corporate Governance ที่ต้องการสร้างความเป็นธรรมในการจัดการกับบุคคลทุกฝ่าย

ตุลาคม 2, 2009

ครั้งที่แล้ว ผมได้พูดถึงดุลยภาพทางด้านนโยบายของผู้กำกับ หรือหน่วยงานของรัฐ ซึ่งใช้ในการควบคุม หรือกำหนดทิศทางในการดำเนินงานของหน่วยงานภายใต้สังกัด และได้ให้ข้อสังเกตว่า นโยบายที่รัฐหรือผู้กำกับกำหนดในหลาย ๆ ครั้งนั้น ไม่ได้ดุลยภาพ หรือความพอดี ในแนวทางการกำกับ ซึ่งอาจพิจารณาได้ว่า เป็นความไม่ตั้งใจ เพราะพิจารณามุมมองของนโยบายที่เน้นด้านหนึ่งด้านใดเป็นการเฉพาะ แต่ไม่ได้เน้นหรือพิจารณามุมมองอื่น โดยเฉพาะอย่างยิ่ง ความเหมาะสมหรือความเพียงพอของการใช้ทรัพยากรในอนาคต

ในกรณีที่เกิดความเสียหาย ในระดับที่ไม่อาจยอมรับได้ ก็น่าจะแสดงว่า นโยบายนั้นไม่ชัดเจน หรือคลุมเครือ ทำให้ผู้ที่ปฏิบัติ รวมทั้งรัฐเสียหายได้ในที่สุด แต่ขณะเดียวกันก็อาจพิจารณาได้ว่า ผู้กำกับหรือนโยบายที่รัฐหรือแม้กระทั่งหน่วยงานเอกชนได้ออกไปเพื่อกำหนดทิศทางในการดำเนินงานนั้น คณะกรรมการและผู้บริหารหรือผู้มีอำนาจ ไม่ได้คำนึงถึงกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – Enterprise Risk Management (ERM) ซึ่งเป็นกรอบมาตรฐานหรือแนวการปฏิบัติที่ดี ในกรณีนี้ก็คือ การไม่ได้กำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ (Risk Appetite / Risk Tolerance) ซึ่งยังเป็นเรื่องใหม่อยู่มากสำหรับผู้นำในภาครัฐและภาคเอกชนในหลายหน่วยงาน

Enterprise Governance Drives IT Governance and GRC

การที่หน่วยงานของรัฐ หน่วยงานความมั่นคง หน่วยงานของเอกชน ไม่ได้กำหนดระดับความเสี่ยง หรือระดับความเสียหายที่ยอมรับได้อย่างเป็นกระบวนการ แสดงได้ในเบื้องต้นว่า กระบวนการบริหารและการจัดการมีจดอ่อนอย่างมีนัยสำคัญ ที่เกี่ยวข้องกับ Strategic Risk + Operational Risk + Reporting and Financial Risk และ Compliance Risk ซึ่งนำมาสู่การบริหารที่ด้อยประสิทธิภาพ และด้อยประสิทธิผลในกระบวนการดำเนินงานที่ถ่ายทอดมาเป็นแผนปฏิบัติ ในหน่วยงานปฏิบัติภาคสนามที่เกี่ยวข้อง

ผมจะมีตัวอย่างเรื่องราวเหล่านี้มากมาย ที่จะสะท้อนให้เห็นถึงจุดอ่อนของผู้นำหรือผู้บริหารในระดับต่าง ๆ ที่เกี่ยวข้อง

ในวันนี้เพียงแต่จะขอพูดถึงเรื่อง การที่มีหน่วยงานกำกับได้มาแนะนำให้ธนาคารแห่งประเทศไทย เปลี่ยนแปลงและลดการควบคุมหนี้จัดชั้น หรือหลักเกณฑ์ในการพิจารณาสินเชื่อที่จะก่อให้เกิด NPL ในอนาคต เพียงเพื่อให้ทางสถาบันการเงินลดภาระในการกันเงินสำรองตามหลักเกณ์ฑของ ธปท. ทั้ง ๆ ที่ไม่ช่วยให้คุณภาพของลูกหนี้ดีขึ้น แต่จะเป็นการหมกเม็ดปัญหาที่จะเกิดขึ้นในอนาคต ซึ่งในที่สุดแล้วก็เกิด NPL หากองค์ประกอบอื่นยังอยู่ในสภาพคงที่ต่อไปเหมือนเดิม

ข้อสำคัญในสถาบันการเงินที่ธนาคารแห่งประเทศไทยเป็นผู้ดูแลทางด้านความมั่นคงโดยรวมนั้น ก็อยู่ภายใต้กรอบการกำกับและแนวทางในการควบคุมสถาบันการเงิน โดยหน่วยงานกำกับสากลที่มีหลักเกณฑ์บังคับและใช้เป็นแนวทางที่จะให้ธนาคารกลางของประเทศต่าง ๆ ปฏิบัติตาม เช่น การใช้แนวทาง Basel II เพื่อให้แน่ใจถึงคุณภาพการดำเนินงานของสถาบันการเงินในมุมมองต่าง ๆ ซึ่งไม่อาจกล่าวได้ทั้งหมดในที่นี้

IT Governance Focus on 5 Areas

ข้อความข้างต้นอาจจะไม่ถูกทั้งหมดนะครับ เพราะในหลาย ๆ กรณี ผู้กำกับก็รู้ดีถึงความเสียหายที่อาจจะเกิดขึ้น ส่วนจะอยู่ในอัตราที่ยอมรับได้หรือไม่นั้น (การกำหนด Risk Appetite) ยังไม่ต้องคำนึงถึงใน ณ ที่นี้ เพราะส่วนใหญ่ไม่มีการพิจารณา เนื่องจากเป็นจุดอ่อนหรือช่องเปิดของความเสียหายในกระบวนการจัดการ หรือกระบวนการกำกับของบางหน่วยงานอยู่แล้ว แต่เป็นเพียงกลยุทธ์พื้นฐาน เพื่อให้เป็นหน้าที่และความรับผิดชอบของผู้บริหารของหน่วยงานที่ต้องปฏิบัติ หรือเป็นหน่วยงานที่เรียกว่าเป็น Operator ที่ต้องกำหนดแนวทางในการจัดการกับความเสี่ยงในรูปแบบต่าง ๆ ตามลำพัง

ดังนั้น ดุลยภาพของนโยบายและดุลยภาพในการควบคุมระดับต่าง ๆ ต้องการความเข้าใจจริง ของผู้นำและผู้บริหารที่เกี่ยวข้อง ที่ต้องคำนึงถึงผลกระทบ และภาระที่จะเกิดขึ้นในอนาคต ที่ควรจะอยู่ในระดับที่ยอมรับได้ นั่นคือ กระบวนการบริหารการจัดการที่ดี จะต้องมีการกำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ ตั้งแต่ระดับบนที่ถ่ายทอดลงมาถึงระดับปฏิบัติการ ที่เป็นรูปธรรม ปฏิบัติได้ ภายใต้กรอบและเป้าหมายที่กำหนดไว้ชัดเจนตามหลักของ SMART ตามที่ได้เคยกล่าวและอธิบายมาแล้ว

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กันยายน 27, 2009

ครั้งที่แล้วผมได้เกริ่นถึงกิจกรรมควบคุมกันไปบ้างแล้วในบางส่วน คราวนี้เรามาต่อในเรื่องของประเภทของกิจกรรมควบคุมกัน

ประเภทของกิจกรรมควบคุม
คำอธิบายที่แตกต่างมากมายของประเภทกิจกรรมควบคุมถูกนำออกมาใช้รวมถึงการควบคุมเชิงป้องกัน การควบคุมเชิงสืบสวน คู่มือการควบคุม การควบคุมเชิงคอมพิวเตอร์ และการควบคุมเชิงบริหาร กิจกรรมควบคุมถูกแบ่งตามวัตถุประสงค์เฉพาะของการควบคุม เช่น ความมั่นใจในความสมบูรณ์และความถูกต้องของการประมวลผลข้อมูล

ประเภทของการควบคุม แบ่งเป็น 4 ประเภท ดังนี้
1. การควบคุมแบบป้องกัน (Preventive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก เช่นการอนุมัติ การจัดโครงสร้างองค์กร การแบ่งแยกหน้าที่ การใช้พนักงานที่มีความรู้และจริยธรรม

2. การควบคุมแบบค้นพบ (Detective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทาน การวิเคราะห์ การยืนยันยอด การตรวจนับและการรายงานข้อบกพร่อง การตรวจสอบ ฯลฯ

3. การควบคุมแบบแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้องหรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต

4. การควบคุมแบบส่งเสริม (Directive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อส่งเสริมหรือกระตุ้นให้เกิดผลสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ

กิจกรรมควบคุมจะเกิดขึ้นตลอดองค์กรในทุกระดับชั้นและในทุกหน้าที่ กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการซึ่งองค์กรต้องการจะประสบความสำเร็จในเป้าหมายทางธุรกิจ โดยทั่วไปแล้วเกี่ยวข้องกับองค์ประกอบสองอย่างคือ นโยบายที่จัดตั้งขึ้น คือสิ่งที่ควรจะทำและกระบวนการที่รองรับนโยบาย

นโยบายและขั้นตอนปฏิบัติเกี่ยวกับการควบคุม
กิจกรรมควบคุมมักรวมถึงส่วนประกอบ 2 ส่วน คือ นโยบายที่สร้างขึ้นว่าอะไรควรทำและขั้นตอนปฏิบัติให้บรรลุนโยบาย ตัวอย่างเช่น นโยบายจำเป็นต้องทบทวนกิจกรรมทางการค้าของลูกค้าโดยผู้จัดการสาขาตัวแทนจำหน่ายรายย่อย ขั้นตอนปฏิบัติเป็นการทบทวนตนเอง ปฏิบัติในเวลาที่สมควรและด้วยความเอาใจใส่ต่อปัจจัยที่ตั้งขึ้นเพื่อนโยบาย เช่น ภาวะและปริมาณของความปลอดภัยทางการค้าและความสัมพันธ์ต่อลูกค้า

ในหลาย ๆ ครั้งพบว่านโยบายมักสื่อสารกันโดยวาจา นโยบายที่ไม่เป็นลายลักษณ์อักษรสามารถบรรลุผลทางนโยบาย ยืนระยะได้นานและปฏิบัติด้วยความเข้าใจดี และในองค์กรขนาดเล็กซึ่งช่องทางการติดต่อสื่อสารเกี่ยวข้องเฉพาะขึ้นการบริหารที่จำกัด และมีความสัมพันธ์ใกล้ชิดกับการบริหารงานบุคคล แต่การไม่คำนึงถึงว่ามีนโยบายเป็นลายลักษณ์อักษรหรือไม่นั้น นโยบายถูกนำไปปฏิบัติโดยตลอดอย่างถูกต้องและยั่งยืน

ขั้นตอนการปฏิบัติจะไม่เกิดประโยชน์หากปฏิบัติเป็นเครื่องจักรและปราศจากความชัดเจน ความต่อเนื่องในการมุ่งเน้นไปยังเงื่อนไขที่มุ่งสู่นโยบาย ยิ่งกว่านั้นเป็นสิ่งจำเป็นที่เงื่อนไขที่เป็นผลลัพธ์ของขั้นตอนการปฏิบัติได้ถูกตรวจสอบและแก้ไขให้ถูกต้อง

การติดตามการปฏิบัติขึ้นอยู่กับขนาดโครงสร้างองค์กร ซึ่งอาจวัดได้จากกระบวนการการรายงานผลอย่างเป็นทางการ ในบริษัทขนาดใหญ่เจ้าของธุรกิจได้บอกว่าทำไมบริษัทจึงไม่บรรลุเป้าหมายและจะทำอย่างไรเพื่อไม่ให้เกิดเหตุการณ์เช่นนี้อีก ในบริษัทขนาดเล็กเจ้าของจะพูดกับผู้จัดการด้านการผลิตเกี่ยวกับสิ่งที่ทำผิดและจะต้องดำเนินการอย่างไร

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

ครั้งหน้าไปต่อกันในเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. (ต่อ)

กันยายน 21, 2009

สวัสดีครับ ในครั้งที่แล้วผมได้พูดคุยถึงเรื่องของการสอบผลการทุจริต กรณียักยอกเงินของธนาคารอาคารสงเคราะห์ จำนวน 500 ล้านบาท ซึ่งธนาคารได้ทำการตรวจสอบและเผยแพร่ผลของการทุจริต ดังที่ผมได้นำเสนอไปแล้วในบางส่วนถึงสาเหตุและปัจจัยที่ทำให้พนักงานก่อการทุจริต และในวันนี้ผมจะมาเล่าต่อว่า ทางธนาคารมีการดำเนินการอย่างไรบ้าง หลังจากที่เกิดเหตุการณ์ทุจริตดังกล่าวนี้แล้ว ไปติดตามกันต่อเลยครับ

ภายหลังเกิดการทุจริต ธนาคารได้ดำเนินการปรับปรุงการทำงานในด้านต่าง ๆ เพื่อป้องกันสาเหตุที่ก่อให้เกิดการทุจริต ซึ่งสามารถจัดกลุ่มได้ดังนี้

กลุ่มกำหนดระบบรักษาความปลอดภัยของระบบ
1. การใช้ MENU HXFER, TRTRAN, TM ทำงานกำหนดให้พนักงานที่มี Work Class ตั้งแต่เกรด 9 ขึ้นไป จึงจะทำรายการได้ 1 คน ทำหน้าที่บันทึกและอีก 1 คน ทำหน้าที่ Verify ขณะนี้อยู่ระหว่าง Set Up และทดสอบระบบเพื่อป้องกันการเข้าถึงหัวบัญชีของ GL ประเภทรายได้และค่าใช้จ่าย

2. ปรับปรุงวงเงิน เงินฝาก ถอน รายการโอน เคลียริ่ง และยอดเงินสะสมคงเหลือในมือของ Teller ระดับต่าง ๆ ใหม่ ให้มีวงเงินที่ลดลงจากเดิม

3. การทำรายการเกิน Limit ตามข้อ 2 ต้องมีการ Override รายงานโดยพนักงานเกรด 9 ขึ้นไป

4. ปรับปรุงการทำงานบันทึกรายการด้วย MENU HXFER และ TM (Transaction Maintenance) โดยกำหนดให้มีระบบควบคุมการทำรายการมี Marker Checker ทุกครั้งที่ทำรายการ

5. กำหนดหัวบัญชี GL ที่สำคัญให้เป็นหน้าที่ของ Checker ซึ่งเป็นพนักงานเกรด 9 ขึ้นไป ที่จะทำการ Post transaction เท่านั้น

กลุ่มปรับปรุงกระบวนการทำงาน
1. การหมุนเวียนพนักงานสาขาหลักไปทำงานที่ Booth/oss/สาขาย่อย สาขาหลักจะต้องทำแผนล่วงหน้า 1 เดือน ส่งให้ฝ่ายงานต้นสังกัดอนุมัติและส่งให้ CORE TEAM เพื่อปรับ Work Class

2. การขอสร้างเปลี่ยนแปลง/แก้ไข หรือยกเลิกรหัสผู้ใช้งานเพื่อเข้าสู่ระบบ CBS กำหนดให้ ผอ.ฝ่าย/สำนัก เป็นผู้อนุมัติตามแบบฟอร์มที่กำหนด

3. การปรับปรุงกระบวนงานปฏิบัติงานของสาขาทั้งหมด โดยแต่งตั้งคณะกรรมการกำหนดกระบวนงานปฏิบัติสาขา และคณะทำงานกระบวนการปฏิบัติงานสาขา อีก 3 คณะ เพื่อดำเนินการปรับปรุง งานการเงินสาขา งานบัญชีสาขา และงานสินเชื่อสาขา

กลุ่มการปรับปรุงรายงานและผลการตรวจสอบ
1. การตรวจสอบรายละเอียดของรายการที่ทำไปแล้ว กำหนดให้ USER ใช้เมนู TI (Transaction Inquiry) ตรวจสอบรายละเอียดของรายการ

2. สายงาน IT ได้ปรับปรุงการออกรายงานสรุปยอดเดินรายการประจำวันของแต่ละสาขา โดยฝ่ายวางแผนปฏิบัติการสารสนเทศจะเป็นผู้ RUN ข้อมูลก่อนประมวลผลสิ้นวัน และให้สาขาเรียกรายงานตรวจสอบยันยอดเปรียบเทียบกับยอดรวม ในรายการยอดเดินรายการประจำวันของแต่ละสาขา ที่ใช้กระทบยอดเมื่อวันก่อน หากมียอดแตกต่างให้ตรวจสอบหาสาเหตุจากหน้าจอ CBS ที่เกี่ยวข้อง

กลุ่มปรับปรุงระเบียบปฏิบัติงานและการอบรม
1. ธนาคารได้ปรับปรุงระเบียบปฏิบัติงานด้านการเงิน ซึ่งประกอบด้วยระบบเงินฝาก การกำหนดวงเงินรับจ่ายของสำนักงานพระราม 9 และสาขา การกำหนดวงเงินสดในเมือเกินอำนาจอนุมัติของพนักงาน การใช้เมนู TM และ MENU HXFER

2. ธนาคารได้จัดประชุมทำความเข้าใจ และหารือในเรื่องเกี่ยวกับการตรวจสอบรายงานทางการเงิน เพื่อป้องกันทุจริตเมื่อวันที่ 27 มิ.ย. 2552

คณะกรรมการสอบสวนสรุปไว้อย่างน่าสนใจว่า จะเห็นว่าการปรับปรุงข้างต้นเป็นการสะท้อนให้เห็นถึงปัญหาข้อบกพร่อง และความไม่พร้อมของระบบคอร์แบงกิ้ง (Core Banking System : CBS) อันเป็นสาเหตุของการทุจริตที่เกิดขึ้น ซึ่งสอดคล้องกับสาเหตุที่คณะกรรมการสอบสวนข้อเท็จจริงสรุป

สำหรับเรื่องการทุจริตของ ธอส. ที่ผมได้หยิบยกมาเล่าสู่กันฟังในที่นี้ ก็น่าจะเป็นกรณีศึกษาทางด้านการตรวจสอบที่ผู้ตรวจสอบและผู้บริหารองค์กรทั้งหลาย ควรตระหนักและหาทางป้องกันเหตุการณ์ความเสี่ยงที่จะเกิดขึ้น ไม่ว่าจะเป็นเหตุการณ์ในลักษณะเดียวกันหรือคล้ายคลึงกันนี้ได้เป็นอย่างดี

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

CG+ITG+GRC กับ เกณฑ์การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ของ ก.คลัง และ TRIS

กันยายน 17, 2009

เราได้คุยกันถึงเรื่อง การกำกับดูแลกิจการที่ดี ( CG-Corporate Governance ) ซึ่งมีหลีกการใหญ่ ๆ 7 ประการด้วยกัน โดยทั่วไปการบริหารและการจัดการเพื่อก้าวไปสู่ CG ก็ยังขาดความเป็นรูปธรรมหลายประการ ในรูปธรรมที่เกี่ยวกับองค์ประกอบในแต่ละข้อของ CG และรูปธรรมของการเชื่อมโยงการบริหารการจัดการ CG ทั้ง 7 ข้อเข้าด้วยกันในลักษณะเป็นอวัยวะภายในร่างกายเดียวกัน ซึ่งเป็นเรื่องของความเข้าใจ ความหมายและการปฏิบัติตามคำที่เรียกสั้น ๆ ว่า Interdependency Approach

นอกจากนี้ การบริหารแบบบูรณาการ โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยงตามกรอบของ COSO – ERM นั้น การบริหาร CG จะต้องบริหารควบคู่กันไปกับ ITG หรือ IT Governance ด้วยเสมอ

ผมได้เขียนและอธิบายความหมายและกรอบการดำเนินงานย่อ ๆ ของ IT Governance ไปแล้วในหัวข้อที่เกี่ยวข้อง ซึ่งอาจกล่าวได้ว่าเป็นกระบวนการบริหารจัดการที่เน้นความถูกต้อง และความน่าเชื่อถือได้ของข้อมูล หรือสารสนเทศที่เรียกว่า Information ที่ใช้ในการจัดการเพื่อการบริหารทั้งองค์กร ตามกรอบ และวัตถุประสงค์หลักของ COSO – ERM คือ การบริหาร Strategic Risk การบริหาร Operation Risk การบริหารรายงานต่าง ๆ รวมทั้งรายงานทางการเงิน ซึ่งอาจเรียกได้ว่า Reporting Risk หรือ Financial Risk รวมทั้งการบริหารการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ หรือ Compliance Risk ซึ่งเป็นหัวใจสำคัญอย่างยิ่งยวด ของความสำเร็จในการบริหารแบบบูรณาการตามหลักการของ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็น Statement ใหม่ ที่เป็น First Priority ของโลกในปัจจุบัน เพราะ GRC เป็นตัวขับเคลื่อน Integrity – Driven Performance Strategy

แนวทางในการปรับเกณฑ์การประเมินผลการบริหารความเสี่ยง ประจำปี 2553

GRC ที่เป็นตัวขับเคลื่อนที่ทรงคุณภาพ ซึ่งเป็นการบริหารที่ก่อให้เกิดความเป็นรูปธรรมตามแนวทางการบริหาร COSO – ERM และในช่วงเวลาที่ผ่านมา การบริหารตามแนวทางดังกล่าว ยังไม่มีความเด่นชัดในเรื่องการบริหารแบบบูรณาการ ตามหลักการของ COSO มากนัก

กระทรวงการคลัง โดย สคร. ร่วมกับทริส จึงนำแนวทาง GRC มาเป็นส่วนหนึ่งของการขับเคลื่อนการบริหารความเสี่ยงที่เชื่อมโยงกับ Governance และ Compliance โดยมีคำจำกัดความในแต่ละคำของ GRC ที่ชัดเจนและเป็นรูปธรรมมากขึ้น ตามที่ผมได้เขียนไว้ในหัวข้อที่เกี่ยวข้องในช่วง 2 – 3 สัปดาห์ที่ผ่านมา

ในวันที่ 4 กันยายน 2552 ซึ่งเป็นวันที่ สคร. ชี้แจงแนวทางการประเมินการบริหารความเสี่ยง ประจำปี 2553 นั้น ผมก็ได้ทราบเป็นครั้งแรกว่า รัฐวิสาหกิจมีแนวความคิดที่ต้องการให้มีศูนย์กลางให้หน่วยงานรัฐวิสาหกิจต่าง ๆ ได้แลกเปลี่ยนความคิดเห็น รวมทั้งแนวทางการดำเนินงาน เทคโนโลยีสารสนเทศ การจัดกิจกรรมอบรม สร้างเสริมความรู้ ความเข้าใจให้กับผู้บริหารและพนักงานในองค์กร รวมทั้ง เพื่อจะทำให้การพัฒนาการดำเนินงานด้านบริหารความเสี่ยงในหน่วยงานรัฐวิสาหกิจ มีการพัฒนาได้รวดเร็ว ถูกต้อง และมีประสิทธิภาพมากยิ่งขึ้น โดยมีคุณสาริณี แสงประสิทธิ์ เป็นประธานชมรม ซึ่งมีเว็บไซต์เพื่อการสื่อสารกับทางชมรม คือ http://www.risk-seclub.org เพื่อเป็นช่องทางหนึ่งในการแลกเปลี่ยนความคิดเห็นกับหน่วยงานกำกับที่เกี่ยวข้องต่อไป

สคร. และทริส ได้ร่วมกันชี้แจงกับคณะอนุกรรมการประมวลผลด้านการบริหารความเสี่ยง ต่อหน่วยงานรัฐวิสาหกิจต่าง ๆ เมื่อวันที่ 4 กันยายน 2552 นั้น ได้แนะนำและชี้แจงแนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ

1 ความเห็น | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กันยายน 14, 2009

สวัสดีครับ ท่านผู้บริหารและผู้ติดตามเรื่องราวของแนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร หรือ COSO – ERM Framework อยู่ในขณะนี้ สำหรับเรื่องของกระบวนการบริหารความเสี่ยงเราก็ได้พูดคุยกันมาถึงกิจกรรมควบคุม (Control Activities) ซึ่งเป็นกระบวนการบริหารความเสี่ยงในขั้นตอนที่ 6 จากหลักการของ COSO – ERM ทั้ง 8 ประการ ที่ผมจะได้นำเสนอกับทุกท่านในวันนี้

หากจะกล่าวถึงกิจกรรมควบคุมในกระบวนการบริหารความเสี่ยง นั่นก็คือ นโยบายและกระบวนปฏิบัติที่จะช่วยให้แน่ใจได้ว่าการตอบสนองความเสี่ยงนั้นถูกจัดการอย่างเหมาะสม

นอกจากนี้กิจกรรมการควบคุมยังหมายถึง การกระทำที่สนับสนุนและส่งเสริมการปฏิบัติงานให้เป็นนโยบาย วิธีปฏิบัติและคำสั่งต่าง ๆ ที่ฝ่ายบริหารกำหนด เพื่อเพิ่มความมั่นใจในความสำเร็จตามวัตถุประสงค์ที่กำหนด

กิจกรรมการควบคุมยังรวมถึง กิจกรรมที่กำหนดขึ้นเพื่อป้องกัน ค้นพบ หรือลดความเสี่ยงที่จะเกิดขึ้นได้ตามผลการประเมินความเสี่ยงอย่างเหมาะสมและทันกาล

แม้ว่ากิจกรรมควบคุมบางอย่างเกี่ยวกับพื้นที่เดียวแต่ก็มีความซ้ำซ้อน กิจกรรมควบคุมเฉพาะเจาะจงสามารถช่วยให้พึงพอใจวัตถุประสงค์มากกว่า 1 ประเภทขององค์กรได้โดยขึ้นอยู่กับโอกาส การควบคุมการปฏิบัติการสามารถช่วยให้เกิดความมั่นใจในการรายงานผลที่เชื่อถือได้ การรายงานผลกิจกรรมควบคุมสามารถช่วยบรรเทาผลที่เกิดขึ้นได้

การบูรณาการด้วยการตอบสนองความเสี่ยง
การตอบสนองความเสี่ยงมุ่งเอาใจใส่ในกิจกรรมควบคุม ซึ่งจำเป็นในการช่วยสร้างความมั่นใจว่าได้ดำเนินการตอบสนองความเสี่ยงอย่างถูกต้องและถูกเวลา กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการที่องค์กรพยายามที่จะบรรลุวัตถุประสงค์ของธุรกิจตนเอง

ในการเลือกกิจกรรมควบคุม ผู้บริหารเป็นผู้พิจารณาว่ามีความสัมพันธ์กันอย่างไร อาจใช้กิจกรรมควบคุมเดียวเพื่อใช้ในการตอบสนองความเสี่ยงจำนวนมาก ตัวอย่างเช่น ตัวบ่งชี้ผลงานซึ่งวัดการเข้าออกงานของพนักงาน เป็นสิ่งแสดงถึงประสิทธิภาพการตอบสนองของผู้บริหารต่อคู่แข่งในการเลือกคนและการขาดประสิทธิภาพในค่าตอบแทนพนักงาน การฝึกอบรมรวมถึงโปรแกรมการพัฒนา

เมื่อสร้างการตอบสนองความเสี่ยงใหม่ขึ้นผู้บริหารพิจารณากิจกรรมควบคุมที่มีอยู่ ซึ่งอาจมีเพียงพอที่จะทำให้มั่นใจว่าการตอบสนองใหม่นี้จะดำเนินไปอย่างมีประสิทธิภาพ ในทางตรงข้ามอาจมีความจำเป็นที่จะต้องพิจารณากิจกรรมควบคุมหลาย ๆ อย่างที่สัมพันธ์กับการตอบสนองความเสี่ยง

กิจกรรมควบคุมเป็นส่วนสำคัญของกระบวนการ ซึ่งทำให้องค์กรได้บรรลุถึงวัตถุประสงค์ของธุรกิจ กิจกรรมควบคุมไม่ได้ทำให้ง่ายสำหรับผลประโยชน์ของตนเอง หรือเพราะว่าเป็นเหมือนการทำสิ่งที่ถูกต้องหรือเหมาะสม ผู้บริหารจำเป็นต้องทำเพื่อให้แน่ใจว่าได้บรรลุเป้าหมาย กิจกรรมควบคุมเป็นเหมือนกลไกสำหรับการบริหารความสำเร็จของวัตถุประสงค์และถูกสร้างในกระบวนการบริหารโดยตรง

ในเรื่องของกิจกรรมการควบคุมครั้งนี้ ผมขอเกริ่นไว้เพียงเท่านี้ก่อนครับ แล้วเราจะไปพูดคุยต่อถึงประเภทของกิจกรรมการควบคุมในครั้งหน้ากันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ดุลยภาพทางด้านนโยบาย ความมั่นคง และดุลยภาพทางเศรษฐกิจ การเงิน กับการบริหารความเสี่ยง

กันยายน 9, 2009

จากข่าวหนังสือพิมพ์ประชาชาติ ฉบับประจำวันพฤหัสบดีที่ 10 – วันอาทิตย์ที่ 13 กันยายน 2552 ฉบับที่ 4139 (3339) หน้าแรกที่พาดหัวข่าวเกี่ยวกับเรื่องวิกฤตส่งออกขาดคน 5 หมื่น ลูกจ้างเมินโรงงาน-อุตฯ หวั่นสูญออเดอร์

จากปัญหาเศรษฐกิจและการเงินของโลกที่มีผลกระทบต่อประเทศไทยในทุกอุตสาหกรรมที่เกี่ยวข้อง ทำให้พนักงานที่กินเงินเดือนต้องถูกพ้นสภาพจากการเป็นพนักงานประจำ มารับเงินชดเชยตกงานจากรัฐ ซึ่งเป็นสวัสดิการที่เกี่ยวข้องกับการประกันสังคม หากผู้บริหารหรือรัฐบาลไม่พิจารณาความยั่งยืนในระยะยาวของเงินกองทุนประกันสังคมของประเทศแล้ว ค่อนข้างเป็นที่แน่นอนว่า เงินกองทุนนี้คงจะต้องอาศัยการอุดหนุนจากรัฐบาลหรือเป็นภาระของรัฐบาลมากขึ้นเป็นแน่

ทั้งนี้เพราะรัฐบาลพยายามให้ความช่วยเหลือประชาชนในรูปแบบต่าง ๆ มากขึ้น รวมทั้งการให้ความช่วยเหลือค่ารักษาพยาบาลพนักงาน ของผู้ประกันตนเพิ่มเติมจากเดิมซึ่งรัฐไม่มีภาระในเรื่องนี้ ถึงแม้ในมุมมองของประชาชนส่วนใหญ่ที่อยู่ในขอบเขตของการประกันตน จะได้รับประโยชน์มากขึ้น และเป็นสิ่งดีนั้น ผู้บริหารและหน่วยงานที่เกี่ยวข้องคงต้องมองภาพในระยะยาวภาพหนึ่งนั่นก็คือ ความมั่นคงและความยั่งยืนของเงินกองทุนจากภาระที่เพิ่มขึ้น

ด้วยเหตุนี้จึงทำให้แรงงานส่วนหนึ่งที่พ้นจากสภาพการเป็นพนักงานประจำในช่วงที่ประเทศมีปัญหาเศรษฐกิจและได้รับเงินชดเชยจากภาครัฐ เป็นเวลา 8 เดือน ไม่สนใจที่จะสมัครงานในภาคอุตสาหกรรมส่งออก ทั้งที่ในภาคอุตสาหกรรมส่งออกขณะนี้มีแนวโน้มที่เป็นสัญญาณในการเติบโต จากการมีออเดอร์สั่งสินค้าจากต่างประเทศเป็นจำนวนมาก แต่ด้วยเหตุผลดังกล่าวข้างต้นทำให้พนักงานไม่กลับเข้าไปสมัครงาน จึงเกิดปัญหาขาดแรงงาน ซึ่งขณะนี้กำลังเป็นปัญหาที่รัฐต้องให้ความสนใจในการบริหารดุลยภาพในการจัดการ และความพอดีในการชดเชยการตกงานจากภาครัฐ

ปัญหาดุลยภาพในการจัดการตั้งแต่ระดับนโยบาย กลยุทธ์และแผนการดำเนินงานต่าง ๆ เป็นปัญหาสำคัญ ซึ่งต้องการวิสัยทัศน์จากการมองการณ์ไกลของผู้บริหารระดับสูงเป็นอย่างยิ่ง ทั้งนี้เพราะ หากแรงงานส่วนหนึ่ง และเป็นแรงงานที่สำคัญพึงพอใจอย่างยิ่งกับรัฐสวัสดิการ มากกว่าการทำงานแล้วละก็ ย่อมแสดงให้เห็นชัดเจนว่าน่าจะมีปัญหาเรื่องดุลยภาพหรือความพอดีในการดำเนินการและจัดการในองค์ประกอบที่เกี่ยวข้อง ซึ่งจะมีผลกระทบอย่างร้ายแรงต่อเศรษฐกิจ การเงิน และอตุสาหกรรม รวมทั้งรายได้ประชาชาติ และระดับการแข่งขันโดยรวมของประเทศในอนาคต

สเถียรภาพในทุกมุมมอง ตั้งแต่ระดับประเทศไปถึงระดับหน่วยงาน และผู้ปฏิบัติงานต้องการความเข้าใจในหลักการของ Governance ทั้ง 4 ที่เชื่อมโยงไปยัง IT Governance และหลักการบริหารความเสี่ยงในระดับประเทศ ระดับองค์กรที่เป็นรูปธรรม

จากรายงานขีดความสามารถของ World Economic Forum : WEF ประเทศไทยตกอันดับการแข่งขันระหว่างประเทศต่อเนื่องกันเป็นปีที่ 2 จาก 30 อันดับแรก มาอยู่ที่อันดับที่ 36 จากทั้งหมด 133 ประเทศ ด้วยสาเหตุต่าง ๆ ทั้งทางการเมือง และเศรษฐกิจ

ทั้งนี้นอกจากจะเป็นประเด็นการเมือง และเศรษฐกิจของประเทศและของโลกแล้ว ก็ยังมีปัญหาที่สำคัญยิ่งที่ต้องได้รับการแก้ไขอย่างเร่งด่วน ก็คือการขาดดุลยภาพในการจัดการในมุมมองต่าง ๆ

ซึ่งอาจยกตัวอย่างดุลยภาพในการบริหารจัดการนโยบายทางด้านสินเชื่อจากภาครัฐ ที่กำหนดนโยบายให้กับธนาคารในภาครัฐ และภาคเอกชน ให้เร่งรัดในการปล่อยสินเชื่อเป็นกรณีเร่งด่วนให้กับธุรกิจ SME ถึงแม้จะเป็นเรื่องดี แต่การกำหนดให้ปล่อยสินเชื่อ บางธนาคารสูงถึง 30,000 – 50,000 ล้านบาทต่อปี/ธนาคาร โดยไม่กำหนดระดับความเสี่ยงที่ยอมรับได้ เช่น NPL ที่จะเกิดขึ้น โดยเฉพาะธนาคารที่รัฐเป็นเจ้าของ ในอนาคตก็จะเกิด NPL หรือหนี้เสีย จำนวนเกินกว่าที่จะยอมรับได้ เช่นที่เคยเกิดขึ้นแล้วในหลายธนาคาร และบางธนาคารของรัฐมี NPL สูงถึงร้อยละ 50 – 60 ของสินเชื่อที่ได้ปล่อยไปในปีที่ผ่าน ๆ มา และหากไม่รวมการปล่อยสินเชื่อใหม่ ซึ่งเป็นการเพิ่มฐานสินเชื่อโดยรวม และนำไปเปรียบเทียบกับ NPL ในปีก่อนหน้านี้ ทำให้ NPL ต่ำกว่าที่ควรจะเป็น

ดังนั้น หากมีการกำหนดนโยบายที่ได้ดุลยภาพในเรื่องการปล่อยสินเชื่อดังตัวอย่างข้างต้นก็คือ การกำหนดจำนวนสินเชื่อที่ธนาคารของรัฐพึงจะให้กับ SME คู่กับการกำหนดระดับความสูญเสียหรือ NPL ที่ยอมรับได้ เช่น ไม่เกินกว่าร้อยละ 10 – 15 ของสินเชื่อที่ปล่อยในแต่ละปี ซึ่งก็พิจารณาได้ว่าอยู่ในอัตราที่สูงมากแล้วอย่างเหมาะสม

นอกจากตัวอย่างนโยบายการปล่อยสินเชื่อของธนาคารภาครัฐที่ควรคู่กับการกำหนดระดับ NPL ที่เหมาะสม (Risk Appetite / Risk Tolerance) แล้ว ดุลยภาพในการจัดการเรื่องอื่น ๆ หน่วยงานกำกับและผู้บริหารที่เกี่ยวข้องควรกำหนดดุลยภาพในการจัดการ โดยคำนึงถึงผลกระทบในทางที่ไม่ต้องการในระยะยาวอย่างเหมาะสม ก็จะทำให้เกิดแนวคิดดุลยภาพในการบริหารจัดการที่ดีภายใต้หลักการ Corporate Governace ได้

ความมั่นคงทางการเมือง และความมั่นคงของรัฐ (Public Governance) ซึ่งเกี่ยวข้องกับ Corporate Governance และ Global Governance และ Social Governance อย่างแยกกันไม่ได้ โดยมีแนวทางการบริหารความเสี่ยงเข้ามาเป็นกลไกในการขับเคลื่อนในทุกมุมมองตามหลักการใหญ่ ทั้ง 4 Governance นั้น ต้องการความเข้าใจอย่างลึกซึ้ง และนำไปปฏิบัติจริงของผู้นำ ทั้งในระดับประเทศ ในระดับองค์กร และหน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชน ที่มีหลักข้อหนึ่งที่สำคัญยิ่งก็คือ หลักความโปร่งใสและความเป็นธรรม หลักการปฏิบัติโดยเท่าเทียมกัน หลักการเติบโตอย่างยั่งยืน หลักการของการพัฒนาความรู้ความสามารถและความรับผิดชอบในทุกระดับ หลักการส่งเสริมให้มีการปฏิบัติตามมาตรฐานสากล และ Best Practice รวมทั้งการดูแลสังคมและสิ่งแวดล้อมให้เกิดบรรยากาศที่สร้างความเชื่อมั่นในทุกกลุ่มภายในประเทศ ซึ่งจะมีผลต่อความเชื่อมั่นระหว่างประเทศ และนำความสำเร็จจากความเชื่อมั่นนั้น มาเป็นกลไกในการขับเคลื่อนการเติบโตอย่างยั่งยืนในมุมมองต่าง ๆ ต่อไป

ในครั้งต่อไป ผมจะลองมาวิเคราะห์ดุลยภาพในการบริหารและการจัดการ Core Banking System – CBS ที่มีปัญหาค่อนข้างมากในวงการธนาคารภาครัฐที่เป็นบ่อเกิดสำคัญของประสิทธิผล ประสิทธิภาพในการจัดการที่มีความสำคัญยิ่งต่อความสำเร็จในการบริหาร ในมุมมองต่าง ๆ ตามหลัก Balanced Score Card

นอกจากนี้ก็คงจะพูดถึงดุลยภาพในการจัดการ การควบคุมความเสี่ยง การติดตามและการตรวจสอบตามฐานความเสี่ยงที่เกี่ยวข้องกับ IT และ Non – IT โดยเฉพาะอย่างยิ่งดุลยภาพในการจัดการ Business Process ที่ขับเคลื่อน Business Objective ที่เกี่ยวข้องกับ IT Governance ภายใต้ร่มใหญ่ของ Corporate Governance ในมุมมองต่าง ๆ ของ การวางแผนและการจัดการองค์กร (Planning & Organization-PO) การจัดหาและการนำระบบงานออกใช้จริง (Acquisition & Implementation-AI) การจัดการและการบำรุงรักษาระบบงาน (Delivery & Support-DS) รวมทั้งการติดตามและการวิเคราะห์กระบวนการจัดการในภาพโดยรวม (Monitor & Evaluate-ME) ในบางมุมมอง

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส.

กันยายน 5, 2009

ครั้งที่แล้วผมได้ทิ้งท้ายไว้ว่าจะมาพูดถึงเรื่องของผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ที่ได้ตีพิมพ์ลงในหนังสือพิมพ์รายวันฉบับหนึ่ง โดยมีรายละเอียดเกี่ยวกับข้อเท็จจริงของผู้ทุจริตและการทุจริต รวมทั้งวิธีการทุจริตและสาเหตุที่ทำให้ผู้ทุจริตกระทำการทุจริตดังกล่าว ซึ่งผมมองว่ากรณีนี้น่าจะเป็นกรณีศึกษาที่สะท้อนให้เห็นภาพของการตรวจสอบ การทุจริต และการบริหารความเสี่ยง ตามที่ผมเคยได้กล่าวไว้ในครั้งก่อน ๆ ได้เป็นอย่างดี เราไปดูในรายละเอียดของผลการสอบที่ว่านี้กันดีกว่าครับ

ต่อจากนี้ไปเป็นรายงานผลสอบสวนของคณะกรรมการตรวจสอบข้อเท็จจริงชุดที่มี น.ส. โสภาวดี เลิศมนัสชัย เป็นประธานการตรวจสอบ ซึ่งได้ชี้ให้เห็นถึงจุดที่ผิดพลาดอย่างละเอียด รวมถึงการป้องกันปัญหาของธนาคารภายหลังที่เกิดเรื่อง

ประเด็นคำถามที่จะช่วยในการตรวจสอบ

ข้อเท็จจริงเกี่ยวกับผู้ทุจริตและการทุจริต
ประวัติผู้ทุจริต นายสมเกียรติ ปัญญาวรคุณเดช ตำแหน่งพนักงานธุรกิจสาขาอาวุโส เกรด 7 สาขาเซ็นหลุยส์ 3 อายุ 33 ปี ปฏิบัติงานเจ้าหน้าที่การเงินที่สาขาเซ็นหลุยส์เพียงสาขาเดียวเป็นเวลา 9 ปี ตั้งแต่วันที่ 1 ก.ย. 2542 ถึงปัจจุบัน จำนวนเงินที่ทุจริต 499,272,777.95 บาท โดยมีระยะเวลาที่ทำการทุจริต ตั้งแต่วันที่ 8 พ.ย. 2550 – 20 เม.ย. 2552

วิธีการทุจริตมี 2 แบบ ง่าย ๆ ไม่มีอะไรซับซ้อน
1. การปลอมสลิปถอนเงินจากบัญชีลูกค้า โดยการปลอมสลิปถอนเงินจากบัญชีเงินฝากประจำลูกค้าราย นางเล่งบ่าย รงคพรรณ จำนวน 2 บัญชี รวม 6 รายการ จำนวนเงินรวม 36.50 ล้านบาท ซึ่งเป็นการทำทุจริตระหว่างวันที่ 8 พ.ย. 2550 ถึงวันที่ 23 ม.ค. 2551

2. การสร้างรายการค่าใช้จ่ายประเภทบัญชีดอกเบี้ยจ่ายเงินฝากประจำของสำนักพระราม 9 และสาขาเซ็นหลุยส์ 3 จำนวน 419 รายการ จำนวนเงินรวม 499.27 ล้านบาท ทั้ง ๆ ที่ นายสมเกียติ ไม่มีเงินฝากประจำที่สาขาทั้ง 2 แห่งแต่อย่างใด และในขณะเดียวกัน นายสมเกียรติ ก็สร้างรายการฝากเงินเข้าบัญชีของตนเอง หรือผู้ที่เกี่ยวข้องในจำนวนเดียวกับดอกเบี้ยเงินฝากประจำที่สร้างขึ้นดังกล่าวข้างต้น ซึ่งเป็นการทำการทุจริตในช่วงหลัง Go Live โดยเริ่มตั้งแต่วันที่ 20 ก.พ. 2551 ถึง 20 เม.ย. 2552

สาเหตุที่ทุจริตได้สำเร็จ
1. นายสมเกียรติทำการปลอมเอกสารสลิปถอนเงินจากบัญชีเงินฝากของลูกค้า นอกจาก นายสมเกียรติ ที่เป็นผู้ทุจริตแล้ว พนักงานและผู้บริหารในสาขาละเลยไม่ระมัดระวังในการเก็บรักษารหัสส่วนตัว (Password) ให้เป็นความลับ ทำให้ นายสมเกียรติ นำไปใช้ Override รายการกระทำการทุจริตได้ ตลอดจนไม่ตรวจสอบรายงานการอนุมัติเกินอำนาจในวันรุ่งขึ้น จึงไม่พบความผิดปกติในการใช้ Password อนุมัติรายการจนเป็นเหตุสามารถทุจริตได้เป็นเวลานาน

2. นายสมเกียติทำการทุจริต โดยเข้าไปสร้างรายการดอกเบี้ยจ่ายในระบบบัญชี GL ของธนาคารได้จำนวน 499.27 ล้านบาท โดยมีปัจจัยมาจาก 2 ประการ คือ

ประการแรก ระบบงานโดยเฉพาะหน้าจอ (MENU) ที่ใช้ในการปรับปรุงดอกเบี้ยจ่ายและการทำรายการข้ามสาขาเปิดให้พนักงานทุกระดับ (Work Class) สามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการอนุมัติผ่านรายการ (Verify) ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติ สามารถเข้าไปทำรายการดอกเบี้ยจ่ายในระบบงานบัญชี GL ของธนาคารได้

ประการที่ 2 สาขาของบัญชีดอกเบี้ยจ่ายไม่ตรวจสอบงบทดลองประจำวัน ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติสามารถทุจริตได้ต่อเนื่องเป็นเวลานาน ซึ่งทำให้มีมูลค่ารวมเสียหายสูง

วิธีการตรวจสอบระบบงาน

จากปัจจัย 2 ประการข้างต้น คณะกรรมการสามารถสรุปได้ คือ
1. ระบบงานโดยเฉพาะหน้าจอที่ใช้ในการปรับปรุงดอกเบี้ยจ่าย และการทำรายการข้ามสาขา หรือ MENU HXFER เปิดให้พนักงานทุกระดับสามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการ Verify มีสาเหตุมาจาก

1.1. ธนาคารไม่ได้กำหนดสิทธิในการเข้าถึง MENU HXFER ทั้งที่เมนูดังกล่าวสามารถเชื่อมโยงกับงานบัญชี GL ของธนาคาร เนื่องจาก Architecture ของ CBS ระบบเก่าและใหม่แตกต่างกันอย่างมีสาระสำคัญ คือ ในระบบใหม่ได้รวมระบบ GL เข้าไว้ในระบบ ในขณะที่ระบบเดิมแยกระบบ GL ออกต่างหาก ซึ่งผู้ที่เกี่ยวข้องรับทราบประเด็นความแตกต่างดังกล่าว หากแต่ไม่ได้ตระหนักถึงความเสี่ยง หรือโอกาสที่จะก่อให้เกิดความเสียหาย หากไม่มีระบบการควบคุมที่เหมาะสม

1.2. ภายหลังจากการ Go Live แล้ว ธนาคารประสบปัญหาในการให้บริการ โดยเฉพาะธุรกรรมเงินฝาก ซึ่งระบบคิดดอกเบี้ยเงินฝากประจำที่จ่ายให้ผู้ฝากผิด จึงได้นำ MENU HXFER มาใช้ในการปรับปรุงรายการดอกเบี้ยจ่าย

1.3. ธนาคารได้กำหนดการปิดระบบของสาขา จะเป็นการปิด เปิดระบบจากส่วนกลางพร้อมกันทุกสาขา ซึ่งจะปิดระบบภายหลังจากที่เคาน์เตอร์การเงินปิดให้บริการแล้วในเวลาประมาณ 20.00 น. จึงเปิดโอกาสให้ นายสมเกียติ สามารถเข้าไปทำรายการทุจริตนอกเวลาทำการ

2. สำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 ซึ่งเป็นเจ้าของบัญชีดอกเบี้ยจ่าย ไม่ได้ตรวจสอบงดทดลองประจำวัน มีสาเหตุจาก

2.1. ผู้ที่มีหน้าที่รับผิดชอบบริหารสาขาและผู้ที่ตรวจสอบบัญชีสาขาไม่ปฏิบัติหน้าที่ คือ ไม่ตรวจสอบรายงานทดลองประจำวัน หรือรายงานที่เกี่ยวข้อง ไม่ควบคุมดูแลการกระทบยอดประจำวัน ไม่ได้บริหารจัดการสาขา ควบคุม กำกับ ดูแลงบการเงินของตน กรณีเกิดความผิดปกติในงบการเงินเกี่ยวกับดอกเบี้ยจ่าย ถือเป็นค่าใช้จ่ายสำคัญของสำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 อย่างมีสาระสำคัญให้ครบถ้วนตามที่ธนาคารกำหนด

2.2. ผู้ปฏิบัติไม่ได้รับการชี้แจงวิธิการปฏิบัติงานที่ถูกต้อง ครบถ้วนและไม่ได้รับการอบรมในเรื่องระบบ GL เพื่อให้ดูหัวบัญชีดอกเบี้ยจ่าย ซึ่งจากการสอบถามผู้ปฏิบัติก็ให้การยืนยันตรงกันว่าไม่ได้ดูหัวบัญชีดอกเบี้ยจ่าย อีกทั้งธนาคารไม่มีการฝึกอบรมผู้บริหารสาขาเพื่อเตรียมความพร้อมที่จำเป็นพื้นฐานในการบริหารสาขา

2.3. คู่มือปฏิบัติงานไม่มีความสมบูรณ์ในเรื่องการกระทบยอดงบทดลองประจำวัน และไม่ได้ปรับปรุงระเบียบที่เกี่ยวข้องกับบัญชี GL คือก่อน Go Live ธนาคารไม่ได้ปรับปรุงคู่มือปฏิบัติงานในเรื่องนี้ ต่อมาภายหลัง Go Live ก็ได้มีการปรับปรุงคู่มือการปฏิบัติงานเพื่อแก้ไขปัญหาที่ไม่สามารถปิดงบทดลองได้ลงตัว แต่ไม่มีคู่มือกระทบยอดรายวันเพื่อกระทบหัวบัญชีดอกเบี้ยจ่าย เนื่องจากเข้าใจว่าระบบจะประมวลผลตัวเลขที่ถูกต้อง ซึ่งสอดคล้องกับคำให้การของหัวหน้าบริหารจัดการสาขา

2.4. รายการสำคัญที่ใช้ในการกระทบยอดรายวัน ไม่อำนวยให้ผู้ปฏิบัติสามารถทำงานได้อย่างมีประสิทธิภาพ คือ รายงานที่ใช้กระทบยอดและตรวจสอบรายวันในระบบใหม่จะใช้รายงานรายการเกี่ยวกับตรวจเช็คต่าง ๆ ซึ่งเทียบได้กับรายงานในระบบเดิม 8 รายงาน และรายงานที่ใช้ตรวจประจำวัน ซึ่งเทียบกับรายงานระบบเดิม 5 รายงาน โดยปริมาณหน้าแต่ละวันของสำนักงานพระราม 9 มีมากกว่าพันหน้า ซึ่งรายงานดังกล่าว ได้รวมทั้งรายการที่เกิดขึ้นตามปกติและรายการที่ไม่ปกติ เช่น รายการที่มีการปรับปรุง การทำข้ามสาขาเข้าไว้ในรายงานเดียวกัน จึงทำให้เป็นการยากที่จะใช้เป็นเครื่องมือในการตรวจสอบ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

สิงหาคม 29, 2009

สวัสดีครับ ไม่ได้พูดคุยกันมาก็หลายวันสำหรับ COSO – ERM ที่ตอนนี้ยังคงคุยกันอยู่ในเรื่องของการตอบสนองความเสี่ยงที่เป็นกลยุทธ์ในการจัดการกับความเสี่ยง โดยมีแนวทางในการจัดการความเสี่ยงที่องค์กรอาจพิจารณาได้จากความเสี่ยงของผลงานที่ผ่านมา ซึ่งวันนี้เราจะมาพูดคุยกันต่อในเรื่องนี้ครับ

การพิจารณาความเสี่ยงจากผลงานที่ผ่านมา ผู้บริหารพิจารณาความเสี่ยงจากองค์กรอย่างกว้าง ๆ หรือจากผลงานที่ผ่านมา ผู้บริหารอาจใช้วิธีการให้ผู้จัดการซึ่งรับผิดชอบแต่ละแผนก หน่วยงานหรือหน่วยธุรกิจ เป็นผู้พิจารณาส่วนประกอบต่าง ๆ ในการประเมินค่าความเสี่ยงและการตอบสนองความเสี่ยงสำหรับหน่วยงาน ซึ่งการมองเช่นนี้จะสะท้อนความเสี่ยงของหน่วยที่สัมพันธ์กับวัตถุประสงค์และระดับของความเสี่ยงที่ยอมรับได้

ในแง่ของความเสี่ยงที่เกิดขึ้นในแต่ละหน่วย ผู้บริหารอาวุโสถูกวางตำแหน่งให้ดูแลผลงานขององค์กร เพื่อกำหนดว่าความเสี่ยงขององค์กรสมน้ำสมเนื้อกับความเสี่ยงที่ยอมรับได้ที่สัมพันธ์กับวัตถุประสงค์หรือไม่ ความเสี่ยงอาจคงอยู่ในหน่วยงานที่แตกต่างกันที่อยู่ภายในระดับความเสี่ยงที่ยอมรับได้ของหน่วยงานต่าง ๆ ความเสี่ยงอาจมากเกินกว่าความเสี่ยงที่ยอมรับได้ขององค์กรในภาพรวม ซึ่งในกรณีนี้จำเป็นต้องใช้การตอบสนองความเสี่ยงเพิ่มเติมหรือมีความแตกต่าง

ในทางกลับกัน ความเสี่ยงอาจโต้ตอบองค์กรโดยธรรมชาติ หรือแต่ละหน่วยงานอาจไม่ชอบความเสี่ยง หากผลงานได้รับการพิจารณาน้อยกว่าความเสี่ยงที่ยอมรับได้ขององค์กร ผู้บริหารอาจตัดสินใจที่จะจูงใจให้ผู้บริหารของแต่ละหน่วยธุรกิจยอมรับความเสี่ยงที่มากกว่าในพื้นที่ที่เป็นเป้าหมาย เพื่อทำให้องค์กรโดยรวมมีการเติบโตและผลตอบแทนเพิ่มขึ้น

ในการสร้างผลงานของการตอบสนองความเสี่ยง ผู้บริหารจะจดจำความหลากหลายของการตอบสนองที่ถูกเลือก และผลของการตอบสนองมากมายในระดับความเสี่ยงที่ยอมรับได้ หากเหตุการณ์ที่มีศักยภาพไม่มีความสัมพันธ์โดยตรง

ผู้บริหารอาจประเมินค่าผลของการตอบสนองความเสี่ยงจากเหตุการณ์ แล้วจึงสร้างองค์ประกอบหรือผลงานที่ผ่านมา หากความเสี่ยงที่เหมือนกันคงมีอยู่ในหน่วยงานที่หลากหลาย ผู้บริหารอาจตัดสินใจประเมินค่าผลของการตอบสนองความเสี่ยงจากประเภทหรือกลุ่มของเหตุการณ์โดยเฉพาะ แล้วจึงสร้างภาพผลงาน ภาพผลงานจะส่งผลกระทบกับการโต้ตอบเหตุการณ์ที่เป็นโอกาส หรือเหตุการณ์ที่อาจลดระดับผลทางลบของเหตุการณ์อื่น ๆ ซึ่งควรอยู่ในภาพผลงาน เช่นเดียวกับผลรวมของการตอบสนองทั้งหมด

ฝ่ายจัดการระบุถึงทางเลือกในการตอบสนองความเสี่ยง และพิจารณาถึงผลกระทบต่อเหตุการณ์ที่เป็นไปได้ที่จะเกิดและผลกระทบที่ตามมา ในความสัมพันธ์ต่อระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) และต้นทุนเมื่อเปรียบเทียบกับผลประโยชน์ การออกแบบและดำเนินการตามทางเลือกหรือเครื่องมือในการสนองตอบต่อความเสี่ยง การพิจารณาถึงการตอบสนองความเสี่ยง

การเลือกเครื่องมือในการตอบสนองความเสี่ยงและการดำเนินการเป็นการผสมผสานของกระบวนการจัดการความเสี่ยงขององค์กร โดย ERM ที่มีประสิทธิภาพคือการที่ฝ่ายจัดการเลือกการตอบสนองที่ถูกคาดหวังว่าจะทำให้ความเป็นไปได้ที่จะเกิดความเสี่ยงและผลกระทบที่เกิดขึ้นอยู่ในระดับที่ยอมรับได้

องค์ประกอบสำคัญของการตอบสนองความเสี่ยง

ครั้งหน้าเราจะไปต่อกันในเรื่องของกิจกรรมควบคุม ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในกระบวนการถัดไปกันครับ

7 ความเห็น | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

GRC กลยุทธ์ใหม่ในการบริหารเพื่อประสบความสำเร็จขององค์กรยุคใหม่ที่เรียกว่า Integrity – Driven Performance (ต่อ)

สิงหาคม 21, 2009

คราวที่แล้วเราได้พูดกันถึง ปัจจัยสำคัญที่จำเป็นอย่างยิ่งที่ผู้บริหารต้องใช้ในการขับเคลื่อนการดำเนินงาน/การปฏิบัติการที่มีศักยภาพอย่างยั่งยืนตามหลักการ GRC ที่ผมได้กล่าวไปแล้ว 3 หัวข้อ สำหรับในวันนี้เราจะมาคุยกันต่อถึงปัจจัย ข้อที่ 4 ซึ่งจะมีหัวข้อแยกย่อยลงไปอีกเล็กน้อยกันครับ

4. ความสำเร็จของการใช้ GRC เป็นกลยุทธ์นั้น ต้องการใช้ตัวขับเคลื่อนไปสู่ความสำเร็จตามวัตถุประสงค์หลักขององค์กร (Key Enablers) ที่สำคัญยิ่งเป็นฐานร่วมด้วยอย่างมีนัยสำคัญก็คือ

– การสร้าง/การมีวัฒนธรรม (Culture) ที่ยอมรับได้ ซึ่งต้องมีตัวเปรียบเทียบ หรือต้องมีวัฒนธรรมจากจิตใจ (Spirited) เป็นฐานสำคัญ และ

– คณะกรรมการ ผู้บริหาร ตามกลยุทธ์ GRC ต้องนำหลักการบริหารการเปลี่ยนแปลง (Change Management) มาใช้ และ

– สร้างความเป็นรูปธรรมในการบริหารความเสี่ยงแบบบูรณาการของการดำเนินงาน/การปฏิบัติงานที่ต้องมีบุคลากร (People) ที่มีความสามารถ รวมทั้งมีกระบวกการบริหารที่สร้างคุณค่าเพิ่ม (Value Management) และ

– องค์กรต้องมีการปรับปรุงกระบวนการทำงาน (Process Improvement) และปรับปรุงเทคโนโลยี (Improvement Technology) ให้มีลักษณะที่เป็นบูรณาการ และสัมพันธ์กับวิสัยทัศน์ พันธกิจ กลุยทธ นโยบาย แผนการปฏิบัติงานใหม่ ๆ ที่เป็นรูปธรรม รวมถึงมีการสื่อสารให้พนักงาน (People) ทุกระดับได้เข้าใจ

– คณะกรรมการ ผู้บริหาร ต้องทำงานเป็นทีม ที่ต้องการผู้นำ (Leader) ที่เข้มแข็ง โดยเฉพาะความสามารถในการปรับปรุงกระบวนการทำงาน กระบวนการปฏิบัติงาน ที่องค์กรส่วนใหญ่ยังมีโครงสร้าง และแนวการบริหารที่เป็นแบบอิสระ หรือ Silo อยู่มากในหลายองค์กร ทั้ง ๆ ที่เป็นองค์กรที่ได้รับรางวัลธรรมาภิบาล หรือการกำกับดูแลกิจการที่ดีมาแล้วก็ตาม

The Value Change Approach

The Value Change Approach

ทั้งนี้เพราะ คณะกรรมการธรรมาภิบาลที่ดีของชาติ หรือผู้ให้รางวัลมีมุมมองทางด้านธรรมาภิบาลเป็นเรื่อง ๆ แยกเป็นส่วน ๆ หรือพิจารณาแบบ Silo เช่น ให้หรือวัดการมีธรรมาภิบาลเพียงด้าน “ความโปร่งใส” หรือ “Transparency” เท่านั้น ซึ่งเป็นเรื่องที่อาจพิจารณาได้ค่อนข้างง่ายกว่าปัจจัยหลัก ๆ ที่เหลืออีก 6 ข้อหลัก ก็คือ ส่วนใหญ่ยังมีโอกาสปรับปรุงเพิ่ม Governance ได้มากก็คือ

1) การมีความเข้าใจและมีขีดความสามารถในการประพฤติ การปฏิบัติตามหน้าที่และความรับผิดชอบ (Responsibility)

2) คณะกรรมการและผู้บริหารระดับสูง และ C – Levels แสดงความรับผิดและรับชอบต่อผลการปฏิบัติตามหน้าที่ (Accountability) นั่นคือ ถ้าองค์กรเสียชื่อเสียง เสียความไว้วางใจ อย่างมีนัยสำคัญ ก็จะแสดง Spirits ในการรับผิดและรับชอบจากการบริหารองค์กรโดยรวม

3) มีการปฏิบัติต่อผู้มีส่วนได้เสียทุกกลุ่มอย่างเท่าเทียมกัน และเป็นธรรมในทุกกลุ่มที่เกี่ยวข้อง โดยคำนึงถึงผลกระทบหรือผลประโยชน์ต่อผู้มีส่วนได้เสีย (Stakeholders) เป็นหลัก

4) แสดงหรือจัดให้มีกลยุทธ์และขีดความสามารถในการสร้างมูลค่าเพิ่มให้กับกิจการในระยะยาว (Creation of Long Term Value) ซึ่ง GRC จะให้น้ำหนักข้อนี้มากเป็นพิเศษ

5) องค์กรต้องส่งเสริมการปฏิบัติอันเป็นเลิศ (Best Practice) และการปฏิบัติตามมาตรฐาน (Standard) ที่เป็นสากลและยอมรับปฏิบัติกันโดยทั่วไป รวมทั้งการมีจรรยาบรรณที่ดีในการประกอบธุรกิจ เช่น ไม่ซ้ำเติมคู่แข่ง เป็นต้น

6) องค์กรมีความสำนึกที่ต้องรับผิดชอบต่อสังคม และสิ่งแวดล้อมที่ดี (Social and Environmental Awareness) คณะกรรมการและผู้บริหารต้องเคารพ เคร่งครัดในการปฏิบัติตามกติกาของสังคม ซึ่งรวมทั้งกฎหมาย มาตรฐาน จริยธรรม/จรรยาบรรณ และวัฒนธรรมที่ดี อันเป็นที่ยอมรับกันโดยทั่วไป และมีความรับผิดชอบในการร่วมกันปกป้องสิ่งแวดล้อมทั้งภายในองค์กร และภายนอกองค์กร โดยไม่กระทบถึงผลประโยชน์ของประเทศที่ยอมรับได้ในแต่ละกรอบของ Risk Appetite และ Risk Tolerance ที่รัฐบาลนานาชาติกำหนดอันเป็นสากล

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลการสอบทุจริต “ธอส.” และข้อสังเกตในการบริหารความเสี่ยงเมื่อเทียบกับความเสียหายที่เกิดขึ้น ในบางมุมมอง

สิงหาคม 15, 2009

ก่อนผลการสอบข้อเท็จจริงกรณีการทุจริตที่ ธอส. จะเปิดเผยทางสื่อมวลชน ผมได้เคยกล่าวถึงกรณีทุจริตที่ ธอส. โดยกล่าวถึงหลักการกว้าง ๆ ว่า การทุจริตทุกประเภทมีเพียง 3 ประเด็นเท่านั้นที่ให้พิจารณา ก็คือ คน + กระบวนการทำงาน + เทคโนโลยี ที่ใช้คำย่อ ๆ ว่า PPT – People – Process – Technology

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

ผมขอทบทวนภาพที่คิดว่ามีคุณค่าอย่างยิ่ง สำหรับคณะกรรมการ รวมทั้งคณะกรรมการตรวจสอบของทุกองค์กร และอาจรวมถึงคณะกรรมการสอบสวนข้อเท็จจริง หากจะได้เห็นภาพที่ผมเคยแสดงไว้แล้ว และขอนำมาแสดงซ้ำอีกครั้ง เพื่อให้เกิดความเข้าใจความเสี่ยงจาก PPT ซึ่งเป็นความเสี่ยงในการดำเนินงาน และความเสี่ยงในการบริหารของทุกองค์กร ที่มีน้ำหนักโดยเฉลี่ยประมาณร้อยละ 70 ของความเสี่ยงประเภทอื่น ๆ ในการบริหารงานทั้งหมดขององค์กร

เพราะความเสี่ยงจากการจัดการที่แท้จริงในทุกระดับของการบริหารก็คือ ความเสี่ยงในการปฏิบัติการ หรือความเสี่ยงในการดำเนินงาน ซึ่งแท้จริงแล้ว อาจจะเรียกได้ว่าเป็นความเสี่ยงในการบริหารงานโดยแท้ ที่เกิดจาก PPT ในภาพโดยรวม อาจอธิบายได้โดยแผนภาพ ดังนี้

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

คณะกรรมการสอบสวนกรณีการทุจริต ของ ธอส. อาจใช้ Model ดังกล่าวในการไต่สวนหาข้อมูล และสารสนเทศในส่วนที่เกี่ยวข้องกับ PPT + Strategy ตามแผนภาพข้างต้น โดยนำปัจจัยต่าง ๆ ตามที่ปรากฎในการเชื่อมโยง 4 ประเด็นหลัก ๆ ซึ่งจะเกี่ยวข้องกับการบริหาร Operational Risk และการบริหารองค์กร แบบสอดประสานและบูรณาการ ตามองค์ประกอบหลักที่เกี่ยวข้องที่เชื่อมโยงด้วยการบริหารความเสี่ยงที่เกี่ยวเนื่อง คือ การหลอมรวม (Emergence) การบริหารความเสี่ยงในทุกมุมมองที่เกี่ยวข้องกับ S-O-F-C และ การบริหารทรัพยากรบุคคล และกลไกหรือตัวขับเคลื่อน รวมทั้งการสนับสนุนด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ

ตามที่กล่าวข้างต้นคือภาพแรกของ PPT ที่เกี่ยวข้องกับการบริหาร Emergence, Human Factors and Enabling & Support อย่างสอดประสานและเป็นบูรณาการ ซึ่งในแต่ละองค์ประกอบหลักและองค์ประกอบย่อย จะมีกิจกรรมต่าง ๆ ที่เกี่ยวข้องและสัมพันธ์กันอย่างมกาในการขับเคลื่อนความสำเร็จ เพื่อก้าวไปสู่การมีประสิทธิภาพและประสิทธิผลของการดำเนินงานขององค์กร และถ้าตรงกันข้ามก็คือ ความเสี่ยงที่อาจก่อให้เกิดความเสียหายและก่อให้เกิดการทุจริตในองค์กรได้

จากรูปภาพที่ 2 ท่านผู้ที่สนใจในเรื่องการบริหารความเสี่ยง ซึ่งเป็นส่วนหนึ่งในการขับเคลื่อน CG + ITG และเป็นองค์ประกอบหลักของ GRC ที่ผมเคยเล่าสู่กันฟังสั้น ๆ ไปแล้วก่อนหน้านี้หลายตอนนั้น ท่านกำลังจะเห็นคุณค่าจากความเข้าใจในการบริหารภายใต้ร่มของการกำกับดูแลกิจการที่ดี ควบคู่กันไปกับการบริหารสารสนเทศเพื่อการจัดการที่ดี ที่สามารถสร้างความเชื่อมั่น สร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) อย่างกว้างขวาง นี่คือ Value Creation ของกระบวนการจัดการที่ทุกองค์กรสามารถก้าวไปสู่จุดนี้ได้อย่างมั่นใจ หากองค์กรของท่านมีความเข้าใจในกระบวนการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ที่สามารถวัดคุณค่าเพิ่มได้จาก Intangible Assets และ Tangible Assets ซึ่งนับวันคุณค่าเพิ่มจากการบริหาร Intangible Assets จะมีบทบาทเพิ่มขึ้นอย่างมากในทุกองค์กร ขณะเดียวกันก็สร้างจุดอ่อนเป็นอย่างยิ่งให้กับหลายองค์กรที่ขาดความพร้อมทางด้านการบริหารและการจัดการ PPT อย่างแท้จริง

ในกรณี ธอส. หากจะมีการวิเคราะห์กระบวนการบริหารความเสี่ยง ตั้งแต่นโยบาย ลงมาถึงการปฏิบัติการและการตรวจสอบ ตามหลักการบริหารความเสี่ยงของกรอบ COSO – ERM อย่างน้อยก็จะพบกับข้อสังเกตและจุดอ่อนของกระบวนการทำงาน ที่ปรากฎในรายงานของ คณะกรรมการตรวจสอบข้อเท็จจจริงของ ธอส. ที่ปรากฎตามข่าวหนังสือพิมพ์ ซึ่งผมจะขอนำมาเปรียบเทียบพื่อการศึกษาให้แก่ท่านผู้ที่สนใจในครั้งต่อไป

จากแผนภาพที่ 2 ซึ่งเชื่อมโยงกระบวนการบริหารจัดการด้าน PPT ไปสู่กระบวนการออกแบบระบบ และการกำหนดกลยุทธ์ขององค์กรที่มีความเกี่ยวข้องกับข้อสังเกตของคณะกรรมการตรวจสอบข้อเท็จจริงของ ธอส. เป็นอย่างมาก ถึงกรณีระบบ CBS – Core Banking System ที่มีกระบวนการทำงาน (Process) ที่มีจุดอ่อนหลายประการผสมผสานกับบุคลากรที่ไม่จงรักภักดีต่อองค์กร รวมทั้งกระบวนการบริหารขององค์กรที่น่าจะปรับปรุงได้หลายประการนั้นเป็นต้นเหตุสำคัญ (Root Cause) ของการทุจริตใน ธอส. ทั้งสิ้น

จากแผนภาพข้างต้น หากทำเป็นกรณีศึกษา (Case Study) ก็จะพบประเด็นต่าง ๆ ที่มีกระบวนการบริหารความเสี่ยงที่ขาดดุลยภาพและคุณภาพในการจัดการ ตามหลักการของ COSO – ERM หลายประการ

ขอได้โปรดติดตาม ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ในตอนต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »