แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

ตุลาคม 13, 2009

ในวันนี้ มาต่อกันด้วยเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ จากที่ได้ทิ้งท้ายเอาไว้ในครั้งก่อน ด้วยความแพร่หลายของการพึ่งพาระบบข้อมูลสารสนเทศ และการแพร่กระจายของข้อมูลข่าวสาร การควบคุมกิจกรรมควบคุมจึงมีความสำคัญและจำเป็นอย่างยิ่ง เพื่อทำให้เกิดความมั่นใจในความสมบูรณ์ ความถูกต้องของข้อมูลข่าวสาร ซึ่งการควบคุมระบบข้อมูลข่าวสารดังกล่าวนี้แบ่งได้เป็น 2 กลุ่ม คือ

1. การควบคุมทั่วไป (General Control) เป็นการควบคุมทั่วไปเพื่อรับประกันความเชื่อมั่นว่ามีการปฏิบัติหรือกระบวนการที่เหมาะสมอย่างต่อเนื่อง การควบคุมทั่วไปนี้รวมถึงการจัดองค์กร การปฏิบัติ การควบคุมการบริหารข้อมูลสารสนเทศ โครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ การบริหารความปลอดภัย การซื้อซอฟต์แวร์ การพัฒนาและการดูแลรักษา การควบคุมนี้สามารถประยุกต์ใช้ได้กับทุกระบบ จากระบบปฏิบัติการหลัก (Mainframe) จนถึงลูกค้าหรือผู้ใช้บริการไปจนถึงสภาพแวดล้อม การควบคุมรวมถึงกระบวนการ (Process) การติดตามและการรายงานกิจกรรมเทคโนโลยีข้อมูลสารสนเทศ

2. การควบคุมการใช้งาน (Application Control) เป็นการควบคุมเพื่อทำให้แน่ใจว่าการบันทึกข้อมูล การประมวลผลและการรายงานมีความสมบูรณ์ ความถูกต้อง เชื่อถือได้ของข้อมูล

เนื่องจากแต่ละหน่วยงานตั้งเป้าหมายและกระบวนการของตนเอง ซึ่งย่อมแตกต่างกัน ดังนั้นเป้าหมาย โครงสร้างและกิจกรรมควบคุมของแต่ละองค์กรย่อมแตกต่างกัน แต่ละองค์กรจะถูกบริหารจัดการจากบุคลากร สภาพแวดล้อม ความซับซ้อนของโครงสร้างองค์กรและวัฒนธรรมองค์กรที่แตกต่างกัน ซึ่งมีผลต่อการควบคุมภายใน (Internal Control)

การควบคุมการใช้งานออกแบบมาเพื่อให้มั่นใจในความสมบูรณ์ ความถูกต้อง การมอบอำนาจและความมีเหตุมีผลของการดักจับข้อมูลและการประมวลผล การใช้งานแต่ละชนิดอาจพึ่งพาการปฏิบัติที่มีประสิทธิภาพในการควบคุมระบบข้อมูลข่าวสาร เพื่อให้มั่นใจว่าได้ดักจับข้อมูลหรือดำเนินการกับข้อมูลเมื่อจำเป็น การสนับสนุนการใช้งานสามารถหามาได้และตรวจสอบความผิดพลาดได้อย่างรวดเร็ว

สิ่งหนึ่งที่สำคัญที่สุดที่ได้จากคอมพิวเตอร์คือความสามารถในการป้องกันความผิดพลาดจากการเข้าไปในระบบ รวมทั้งการตรวจและแก้ไขในทันที ในการทำเช่นนี้การควบคุมการใช้งานขึ้นอยู่กับการตรวจสอบระบบคอมพิวเตอร์ ซึ่งประกอบด้วยรูปแบบ ความมีเหตุมีผล และการตรวจสอบอื่น ๆ จากข้อมูลซึ่งอยู่ภายในระบบการใช้งานระหว่างทำการพัฒนา เมื่อออกแบบได้อย่างถูกต้องก็สามารถควบคุมการนำเข้าข้อมูลได้

องค์กรกับการตอบสนองความเสี่ยงและการควบคุม
เนื่องจากแต่ละองค์กรมีวัตถุประสงค์และวิธีการนำไปปฏิบัติที่แตกต่างกันในการสนองตอบความเสี่ยงและกิจกรรมการควบคุมที่เกี่ยวข้อง หากแม้ว่า 2 องค์กรมีวัตถุประสงค์เหมือนกันและมีการตัดสินใจเหมือนกันในการที่จะทำอย่างไรให้บรรลุผลสำเร็จ แต่กิจกรรมการควบคุมอาจมีความแตกต่างกัน แต่ละองค์กรถูกบริหารโดยคนซึ่งใช้การตัดสินของแต่ละคนส่งผลต่อการควบคุมภายใน ยิ่งไปกว่านี้การควบคุมสะท้อนสภาพแวดล้อมและอุตสาหกรรมในแง่การปฏิบัติในองค์กร

สภาพแวดล้อมในแง่ขององค์กรจัดการกับผลสะท้อนของความเสี่ยงซึ่งถูกเปิดเผยและอาจนำเสนอรายงานเชิงวัตถุประสงค์ที่ไม่เหมือนใคร หรือกฎหมายพิเศษ หรือความต้องการของกฎระเบียบ เช่น โรงงานผลิตภัณฑ์เคมีอาจบริหารความเสี่ยงของสภาพแวดล้อมได้มากกว่าองค์กรที่ให้บริการ

ความซับซ้อนขององค์กรและธรรมชาติและกรอบของกิจกรรมส่งผลต่อกิจกรรมควบคุมขององค์กร องค์กรที่ซับซ้อนและมีกิจกรรมที่หลากหลายอาจเผชิญกับเรื่องของการควบคุมที่ยากกว่าองค์กรธรรมดาที่มีกิจกรรมที่หลากหลายน้อยกว่า องค์กรที่มีการปฏิบัติแบบกระจายอำนาจและมุ่งเน้นความเป็นเอกเทศและนวัตกรรม นำเสนอเหตุการณ์การควบคุมที่แตกต่างกว่าองค์กรที่มีการรวมศูนย์อย่างมาก ปัจจัยอื่น ๆ ซึ่งมีอิทธิพลต่อความซับซ้อนขององค์กรและธรรมชาติของการควบคุมรวมถึงสถานที่ตั้ง การกระจายทางประชากร การขยายตัวและปรับแต่งการปฏิบัติ และวิธีการประมวลผลข้อมูล

ปัจจัยต่าง ๆ ซึ่งส่งผลต่อกิจกรรมควบคุมขององค์กรทั่วไป จำเป็นต้องออกแบบเพื่อให้องค์กรบรรลุผลสำเร็จตามวัตถุประสงค์ขององค์กร

องค์ประกอบที่สำคัญของกิจกรรมการควบคุม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ (ต่อ)

ตุลาคม 10, 2009

ในครั้งก่อน ผมได้พูดถึงสภาพแวดล้อมของเศรษฐกิจ และการเงินในปัจจุบัน ซึ่งเป็นขั้นตอนที่อาจเรียกว่า Down – turn หรือ อาจเรียกว่า อยู่ในระยะฟื้นตัวของเศรษฐกิจ การเงิน กับการตรวจสอบ

คณะกรรมการ และผู้บริหารระดับสูง ขององค์กร จะต้องเป็นผู้วางแนว และความต้องการในลักษณะของการสร้าง Reasonable Assurance เพื่อสนองตอบต่อความต้องการของ Stakeholders มากกว่าความต้องการของ Shareholders ซึ่งเป็นมุมมองเดิม ๆ ที่ไม่เหมาะกับการบริหาร เพื่อสร้างความเชื่อมั่น ความไว้วางใจ ให้กับผู้มีผลประโยชน์ร่วม และจะมีผลต่อการเติบโตอย่างยั่งยืนขององค์กรได้ในที่สุดนั้น

ในมุมมองดังกล่าวข้างต้น หากคณะกรรมการและผู้บริหารระดับสูง ยังไม่แน่ใจ หรือขาดความเชื่อมั่นในตนเอง ในระดับหนึ่ง ก็มักจะมอบหมายให้การนำเสนอเรื่องราวต่าง ๆ รวมทั้ง การวางแผนการตรวจสอบ (Audit Plan) เพื่อสนองตอบต่อ Stakeholders ในมุมมองของ Business Model ใหม่ เริ่มต้นในลักษณะ Bottom – Up ซึ่งจะได้ผลค่อนข้างจำกัด ในการสนองตอบต่อ Vision + Mission และกลยุทธ์ใหม่ขององค์กร เนื่องจาก พนักงานในระดับรอง ๆ ลงไป มีความเข้าใจในมุมมองระดับสูง และระดับกว้าง โดยเฉพาะระดับนโยบายขององค์กร หรือระดับประเทศที่แตกต่างกันค่อนข้างมาก

รายละเอียดในภาคปฏิบัติ สำหรับการดำเนินงาน การบริหาร การจัดการ การตรวจสอบ ทางด้าน IT และ Non – IT เพื่อสนองตอบให้กับกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ อย่างได้ดุลยภาพ หรือเกิดความพอดี หรือพอเพียง ในการบริหารและการจัดการแบบบูรณาการ ตามหลัก GRC เพื่อการเติบโตอย่างยั่งยืนนั้น ต้องการผู้นำที่มีวิสัยทัศน์ และเข้าใจกระบวนการบริหาร ในระดับประเทศ และในภาคส่วนต่าง ๆ ที่สัมพันธ์กัน ในการขับเคลื่อนวัตถุประสงค์ขององค์กร เพื่อการเติบโตอย่างยั่งยืน

การควบคุมภายในและการตรวจสอบ ทางด้าน IT และ Non – IT มีส่วนสำคัญอย่างยิ่งต่อกระบวนการบริหาร เพื่อสร้างคุณค่าเพิ่ม และสร้างความมั่นใจอย่างสมเหตุสมผลว่า กิจกรรมการควบคุมต่าง ๆ ที่ขับเคลื่อน Business Process ไปสู่ Business Objective นั้น เหมาะสมและสัมพันธ์กับสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างรวดเร็ว และในหลายมุมมอง ผู้ตรวจสอบตามไม่ทันกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีผลกระทบต่อการขับเคลื่อน และการบริหารความเสี่ยง เพื่อก้าวไปสู่วัตถุประสงค์ระดับองค์กร และระดับประเทศ อย่างมีนัยสำคัญ

วันนี้ ผมจะยังคงกล่าวถึงมุมมอง เพื่อสร้างความเข้าใจในการวางแผนการตรวจสอบที่เกี่ยวข้องกับ IT ไม่ว่าจะเป็น IT Audit หรือ Non – IT Audit ก็ตาม เพราะการตรวจสอบทั้ง 2 เรื่อง ในที่สุดแล้วก็จะหลอมรวมกันเป็นหนึ่งเดียว ของกระบวนการจัดการ ตามหลักการ GRC

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพกระบวนการวางแผน และการตรวจสอบ ที่เกี่ยวข้องกับงานด้าน IT และมีผลโดยตรงต่อการประเมินความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ตามหลักการของ IT Governance และ CobiT v.4.1 ที่เน้นเรื่อง ความน่าเชื่อถือได้ของ Information เป็นสำคัญ เพราะมีผลต่อกระบวนการบริหาร ตามหลักการบริหารความเสี่ยงของ COSO – ERM ตามหลักการ S – O – F – C ที่ผมกล่าวถึงหลาย ๆ ครั้งมาแล้ว

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพ และการบวนการบริหารที่เกี่ยวข้องกับการควบคุมและการตรวจสอบ บางมุมมอง ขององค์กรที่ใช้คอมพิวเตอร์ และพยายามสร้างความเข้าใจ หรือ คำถาม จากผลกระทบของการควบคุม ที่อาจมีจุดอ่อนในกิจกรรม และกระบวนการทำงานที่เกี่ยวข้องต่อรายงานต่าง ๆ ที่ท่านผู้บริหารต้องใช้ ดังต่อไปนี้นะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

คณะกรรมการตรวจสอบ ผู้ตรวจสอบ ผู้บริหาร และรับผิดชอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ใช้หลัก COSO – ERM หากต้องการได้รับความมั่นใจอย่างสมเหตุสมผลของกระบวนการควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง เพื่อให้การบรรลุวัตถุประสงค์ระดับองค์กร และระดับสายงาน ประสบความสำเร็จดังที่ตั้งใจไว้ และเป็นไปตาม Vision + Mission + Policy + Strategy + Action Plan + KPI ที่เกี่ยวข้อง ในมุมมองต่าง ๆ โดยเฉพาะอย่างยิ่ง มุมมองของการสอดประสานและบูรณาการ ตามหลักการ GRC หากเข้าใจและมั่นใจกระบวนการติดตามผลของคณะกรรมการและผู้บริหารระดับต่าง ๆ รวมทั้งการตรวจสอบภายใน ซึ่งรวม ๆ แล้วอาจจะเรียกว่า Assurance แล้วละก็ คงจะสบายใจได้ขึ้นมาก ว่าองค์กรสามารถก้าวสู่การบรรลุวัตถุประสงค์ หากได้รับผลการตรวจสอบที่น่าเชื่อถือได้ จากผู้ตรวจสอบที่มีศักยภาพที่เข้าใจความต้องการของ Stakeholders ในมุมมองต่าง ๆ และมีการวางแผนการตรวจสอบได้ตรงกับวัตถุประสงค์ที่ Stakeholders ต้องการในมุมมองที่เกี่ยวข้อง

ในครั้งต่อไป ผมจะค่อย ๆ ลงรายละเอียดในระดับที่ลึกลงไปถึง กระบวนการวางแผนการตรวจสอบขององค์กรที่ใช้คอมพิวเตอร์ และเทคนิคการตรวจสอบความน่าเชื่อถือได้ของข้อมูล และสารสนเทศ รวมทั้ง การควบคุมภายใน ตามฐานความเสี่ยง ที่จะทำให้แน่ใจอย่างสมเหตุสมผลว่า คณะกรรมการและผู้บริหารระดับสูง ได้รับรายงานที่มีคุณค่าต่อการตัดสินใจที่แท้จริง

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทเรียนของการสั่งระงับ 76 โครงการลงทุนที่มาบตาพุด กับการพิจารณา ผู้มีผลประโยชน์ร่วม ระดับชาติ (Stakeholders)

ตุลาคม 10, 2009

จากกรณีที่ศาลปกครองมีคำสั่งคุ้มครองชั่วคราวกับ 76 โครงการที่รัฐบาลจะดำเนินการที่มาบตาพุด ซึ่งส่งผลกระทบต่อสิ่งแวดล้อมนั้น นายอภิสิทธิ์ เวชชาวีวะ นายกรัฐมนตรี ระบุว่า จะยื่นอุทธรณ์ในส่วนของโครงการที่ได้อนุญาตไปแล้วให้เดินต่อไปได้ ส่วนโครงการที่อยู่ในกระบวนการอนุมัติจะชะลอไว้ก่อน จนกว่าศาลจะมีความชัดเจน และอยากให้ศาลวินิจฉัยคดีทั้งหมดโดยเร็ว เพราะต้องการแนวทางปฏิบัติที่ชัดเจน

ในคำวินิจัยนี้ ศาลเห็นว่าบรรดาโครงการใด ๆ ก็ตามที่ต้องทำการวิเคราะห์ผลกระทบสิ่งแวดล้อม ศาลก็จะใช้มาตรการชั่วคราว เพื่อระงับโครงการเหล่านี้ไว้ เพื่อให้มีแนวทางที่ชัดเจนในการปฏิบัติตามมาตรา 67

แต่สิ่งที่รัฐบาลยืนยัน คือ รัฐบาลปฏิบัติตามมาตร 67 อยู่แล้ว และสิ่งที่เดินหน้าไปเป็นโครงการที่เห็นว่าไม่มีผลกระทบอย่างรุนแรงต่อชุมชน โดยอาศัยผลการศึกษาวิเคราะห์ผลกระทบสิ่งแวดล้อมเป็นเกณฑ์กำหนดว่า เรื่องไหนรุนแรงหรือไม่รุนแรง

รัฐบาลอยากได้ข้อยุติโดยเร็วว่า ความจริงแนวปฏิบัติเป็นอย่างไร เพราะถ้าไม่ได้ข้อยุติโดยเร็วจะเป็นปัญหาความไม่แน่นอน และมีผลกระทบต่อความเชื่อมั่นของนักลงทุน…ฯลฯ

ความคิด ความเข้าใจ ในการบริหารความเสี่ยงแบบบูรณาการ โดยคำนึงถึงสังคม และ Stakeholder ยิ่งกว่าการพิจารณาและตัดสินใจจากกลุ่มผู้มีผลประโยชน์เดียว เป็นเรื่องสำคัญยิ่งยวดต่อการเติบโตอย่างยั่งยืน ตามหลัก CG

กรณีข้างต้น ผมขอร่วมออกความคิดเห็นบางประการ ในมุมมองของ Stakeholders ทั้งในประเทศและต่างประเทศ สำหรับผมเองขอให้ข้อสังเกต ในมุมมองของประชาชนคนไทยคนหนึ่ง ที่อยู่ในสังคม และเกี่ยวข้องกับ Stakeholders ในมุมมองต่าง ๆ ดังนี้

หากผู้ที่เกี่ยวข้อง เช่น คณะกรรมการสิ่งแวดล้อมแห่งชาติ เลขาธิการสำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม (สผ.) รมว.ทรัพยากรธรรมชาติและสิ่งแวดล้อม (พม.) รมว.อุตสาหกรรม รมว.พลังงาน รมว.คมนาคม รมว.สาธารณสุข และการนิคมอุตสาหกรรมแห่งประเทศไทย (กนอ.) สมาคมต่อต้านสภาวะโลกร้อน สมาคมสมัชชาองค์กรเอกชนด้านการคุ้มครอง สิ่งแวดล้อมและอนุรักษ์ทรพัยากรธรรมชาติ ชาวบ้านที่อาศัยอยู่ในเขตนิคมอุตสาหกรรมมาบตาพุด จ. ระยอง และศาลปกครองกลาง และ….

ซึ่งเรียกรวม ๆ กันว่าเป็น Stakeholders หรือผู้มีผลประโยชน์ร่วม ของการก่อสร้างอุตสาหกรรม 76 โครงการ เป็นเงิน 4 แสนล้านบาท นั้น หากผู้ที่เกี่ยวข้องพิจารณาเพียงมุมมองของตนเอง (Individual Perspective) หรือเพียงมุมมองเดียว โดยไม่ได้พิจารณามุมมองอื่น ๆ ตามหลัก Corporate Governance หรือ CG และในมุมมองของส่วนรวม และสังคม

ทุกกลุ่มตามที่กล่าวข้างต้น ก็มีความมั่นใจในมุมมองของตนเองเป็นหลักว่า ถูกต้องแล้ว ปัญหาที่ตามมาของการระงับ 76 โครงการ เป็นเงินมหาศาลถึง 4 แสนล้าน ที่มีผลกระทบต่อความเชื่อมั่นของนักลงทุน ทั้งต่างประเทศและภายในประเทศ ความเสียหายจากการล่าช้าของโครงการ ผลกระทบที่ตามมาของการขาดความเชื่อมั่นของนักลงทุน และความเชื่อมั่นต่อประเทศไทยโดยรวม +++ นั้น มีมากมายมหาศาล เกินกว่าที่จะคำนวนเป็นจำนวนเงิน เพียงที่เกิดขึ้นเฉพาะ 76 โครงการ 4 แสนล้านบาทได้

ทั้งนี้เพราะ ต้นทุนจากการวิเคราะห์และพิจารณาเพียงมุมมองเดียว โดยไม่คำนึงถึงองค์ประกอบอื่น ๆ ในสังคม ที่มีกลุ่มของผู้มีผลประโยชน์ร่วมหลายกลุ่ม เช่น ผลกระทบต่อการสร้างรายได้ประชาชาติ ผลกระทบต่อการสร้างแรงงาน สร้างรายได้ ให้กับประชาชนในสังคมในอนาคต++ ซึ่งมีผลกระทบตามมาอย่างมากมาย ทั้งที่เป็นตัวเงิน และไม่เป็นตัวเงิน น่าจะมีมากมายมหาศาล และน่าจะเกินกว่าระดับความเสี่ยงที่ประเทศ หรือสังคมยอมรับก็ได้นะครับ

ความเสี่ยง และความเสียหายในระดับที่ประเทศชาติ และ/หรือองค์กรจะยอมรับได้นั้น เรียกกันในภาษาการบริหารความเสี่ยงว่า Risk Appetite และ Risk Tolerance ซึ่งผมได้อธิบายไว้ในหัวข้อที่เกี่ยวข้อง พร้อมกับรูปภาพไปพอสมควรแล้วนะครับ

ผลประโยชน์ของประเทศชาติ และสังคม โดยรวม มีความสำคัญอย่างยิ่งยวดต่อความสำคัญของการบริหารทุกระดับ ของกระบวนการจัดการ ตามหลักการบริหารยุคใหม่ ที่ใช้หลัก GRC เป็นสำคัญ

ผมกำลังพยายามจะพูดว่า การบริหารความเสี่ยงเชิงรุก โดยการมองอนาคตขององค์กรและประเทศ ไปข้างหน้าอย่างเป็นระบบ และเป็นกระบวนการนั้น ต้องอาศัยความเข้าใจในหลักการของ COSO – Enterprise Risk Management ซึ่งเป็นกรอบการบริหารความเสี่ยง ที่อาจเรียกได้ว่าเป็น Good หรือ Best Practice ที่นิยมเรียกกัน และนำไปปฏิบัติใช้กันทั่วโลก ในทุกระดับของการบริหาร และการจัดการ ทั้งด้านเศรษฐกิจ การเงิน ความมั่นคงในระดับต่าง ๆ ทั้งด้าน IT และ Non – IT ซึ่งมีเรื่องที่ผู้บริหารควรจะทำความเข้าใจ และน่าจะนำไปประยุกต์ใช้ในการบริหารการจัดการระดับชาติ อย่างมีนัยสำคัญด้วย

ลองมาช่วยสรุปกันเร็ว ๆ นะครับว่า กรณีมาบตาพุด มีหน่วยงานต่าง ๆ และบุคลากรต่าง ๆ ที่เกี่ยวข้องกับการตัดสินใจ ตั้งแต่การฟ้องร้อง ไปจนถึง การระงับชั่วคราว มิให้มีการก่อสร้างเพิ่มเติม ทั้ง 76 โครงการ นั้น ได้พิจารณาในมุมมองของการบริหารความเสี่ยง แบบสอดประสานและบูรณาการ (Alignment and Integration Management) หรือไม่

หากผู้ที่เกี่ยวข้อง พิจารณาผลประโยชน์ของสังคม และผู้มีผลประโยชน์ร่วม ตามหลักการของ CG + ITG + GRC ซึ่งผมได้เคยอธิบายไว้ในหัวข้อต่าง ๆ ในเว็บนี้แล้วนั้น ก็จะพบว่า การพิจารณาของผู้ที่เกี่ยวข้อง ในกรณีที่เกิดขึ้น เท่าที่ผ่านมา มิใช่เฉพาะในกรณีมาบตาพุดนี้เท่านั้น ส่วนใหญ่จะพิจารณา ให้น้ำหนัก และตัดสินใจในมุมมอง ๆ เดียว เป็นสำคัญ โดยให้น้ำหนักและสนใจผลกระทบต่อผู้มีผลประโยชน์ร่วม หรือ Stakeholders หรือสังคม ทั้งภายนอกและภายในประเทศ ค่อนข้างน้อยมาก หรือบางกรณี แทบไม่พิจารณาในมุมมองของ Stakeholders ด้วยซ้ำไป

ผมมีภาพที่ได้ทำขึ้นในวันนี้ เพื่อใช้เป็นคำอธิบายแทนตัวอักษรหลายพันคำ เพียงเพื่อแสดงให้กับผู้ที่เกี่ยวข้องได้พิจารณาว่า หากเราต้องพิจารณาผลประโยชน์ของสังคม ซึ่งเป็นผลประโยชน์ของประเทศชาติ และทุกกลุ่มของผู้มีผลประโยชน์ร่วม แทนการพิจารณาเพียงมุมมองหนึ่งมุมมองใด หรือให้น้ำหนักมุมมองหนึ่งมุมมองใด อย่างไม่ได้ดุลยภาพเท่าที่ควร ผลที่เกิดต่อเป้าประสงค์ ระดับต่าง ๆ ของชาติ และสังคม จะเป็นเช่นใด

ความโปร่งใส และการปฎิบัติโดยเท่าเทียมกันของสังคม ในประเทศ จะนำไปสู่ความร่วมมือ ด้วยความเข้าใจ ด้วยความเต็มใจ เพื่อการขับเคลื่อนเป้าประสงค์ในระดับองค์กร และเป้าประสงค์ในระดับประเทศ

ความยุติธรรมที่สังคมในชาติ ต่างพากันเรียกร้อง ในกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ จะเกิดขึ้นได้ยาก หากคนในสังคมนั้น ต่างพิจารณาผลประโยชน์ภายในกลุ่มของตนเองที่ต้องเป็นไปตามเป้าประสงค์ในกลุ่มของตนเท่านั้น โดยไม่พิจารณาถึงกลุ่มอื่น ๆ ที่มีมุมมอง และมีเป้าประสงค์ที่แตกต่างกัน

หากทุกคน หรือส่วนใหญ่ในสังคมขาดจิตสำนึก (Conscious) ที่แสดงถึงความรับผิดรับชอบภายในจิตใจของตนเอง จากจิตวิญญาณ (Spiritual) ที่มุ่งมั่น และคำนึงถึงผลประโยชน์ของสังคมในชาติ โดยรวม แนวการพิจารณาและตัดสินใจ ในเรื่องหนึ่งเรื่องใด ก็จะไม่พิจารณาเพียงมุมมองเดียวเป็นอันขาด เพราะการพิจารณาดังกล่าว จะนำไปสู่ความแตกแยกทางความคิด แตกแยกทางการกระทำ และนำไปสู่ความไม่เข้าใจกันของสังคมภายในชาติในที่สุด

องค์กรและประเทศชาติ ต้องการผู้รู้ที่เข้าใจการบริหารภาพแบบสอดประสานและบูรณาการ เพื่อผลประโยชน์ของสังคมและคนในประเทศชาติโดยรวม ดังนั้น ผู้บริหารในทุกองค์กร และผู้บริหารในระดับชาติ โดยเฉพาะอย่างยิ่งผู้ที่เกี่ยวข้องกับ การให้ความยุติธรรม การให้ความโปร่งใส การมีความรู้ มีศักยภาพ ในงานที่ตนทำ โดยการพัฒนาตนเองอย่างสม่ำเสมอ การมีความรับผิดชอบ ในภาระหน้าที่ที่ตนเองดูแล ถึงแม้จะไม่ได้ปฏิบัติโดยตรง ก็คงต้องรับผิดชอบ (Accountability) ในผลของงานที่เกิดขึ้น

รวมทั้ง การมีจิตสำนึกที่ต้องการสร้างคุณค่าเพิ่ม โดยการบริหารกลยุทธ์ ในระดับองค์กรและระดับประเทศ เพื่อให้เกิด Long Term Value Creation ภายใต้หลักการปฏิบัติโดยเท่าเทียมกัน และภายใต้การดูแลสังคมและสิ่งแวดล้อมที่เหมาะสม ที่ได้ดุลยภาพและสัมพันธ์กับผู้มีผลประโยชน์ร่วมในสังคม

หากประเทศเราสามารถทำได้ในทางปฏิบัติที่เป็นรูปธรรมจริง ๆ ประเทศไทยเราจะได้ประโยชน์โดยตรงจากความเชื่อมั่น เพื่อสร้างคุณค่าเพิ่มให้กับผู้ที่เกี่ยวข้องอย่างเท่าเทียมกันและยอมรับได้ในที่สุดนะครับ

ข้อสำคัญก็คือ ผู้นำในระดับองค์กร และในระดับชาติ ควรมีความรู้ ความเข้าใจในหลักการของ GRC – Governance + Risk Management + Compliance ซึ่งพิจารณาว่าเป็น Integrity – Driven Performance ตามที่ได้กล่าวในหัวข้อต่าง ๆ มาแล้ว อย่างแท้จริง

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ที่เกี่ยวข้องกับ GRC บางประการ

ตุลาคม 10, 2009

การบริหารความเสี่ยงที่มีการประเมินผลโดย สคร. / กระทรวงการคลัง ต่อการดำเนินงานของรัฐวิสาหกิจต่าง ๆ เพื่อสร้างประสิทธิภาพและประสิทธิผลในการดำเนินงาน ที่เป็นรูปธรรม

สคร. ได้ร่วมกับ คณะอนุกรรมการประเมินผลการบริหารความเสี่ยง ได้ยกระดับการขับเคลื่อนการบริหารความเสี่ยง ไปสู่รูปธรรมของการบริหารเชิงรุก ที่เชื่อมโยงการกำกับดูแลกิจการที่ดี กับการปฏิบัติตามกฎหมาย กฎเกณฑ์ ที่เกี่ยวข้อง โดยเชื่อมโยงกับการบริหารความเสี่ยงอย่างเป็นระบบ เพื่อให้หลักการบริหารความเสี่ยงที่ สคร. ใช้ในการประเมินผลรัฐวิสาหกิจเป็นรูปธรรมมากขึ้น สคร. และคณะอนุกรรมการประเมินผลการบริหารความเสี่ยง จึงได้นำ GRC – Governance + Risk Management + Compliance ซึ่งปัจจุบันเป็น First Priority ของหน่วยงานต่าง ๆ ทั่วโลก

GRC เป็นการยกระดับการบริหารความเสี่ยงของ COSO – ERM ให้เป็นรูปธรรมในทางปฏิบัติ โดยกระบวนการนี้จะต้องเริ่มต้นจากระดับคณะกรรมการ หรือเรียกสั้น ๆ ว่า Top Down เช่นเดียวกับการตรวจสอบภายใต้ภาวะเศรษฐกิจ การเงินปัจจุบัน ซึ่งเป็นเศรษฐกิจขาลงของประเทศต่าง ๆ ทั่วโลกนั้น ก็ต้องใช้แนวทาง Top Down เป็นหลัก เพื่อขับเคลื่อนผลประโยชน์ของผู้มีส่วนร่วม หรือ Stakeholders เป็นสำคัญ

GRC จะไม่ประสบความสำเร็จเลย ถ้าไม่มีการบริหารและจัดการในลักษณะ Top Down Basis ซึ่งจะต้องมีการเปลี่ยนแปลงวิสัยทัศน์ พันธกิจ และแผนงาน รวมทั้งโครงการต่าง ๆ ให้สัมพันธ์กันในทุกองค์ประกอบที่เกี่ยวข้อง เพื่อการขับเคลื่อนศักยภาพโดยรวมขององค์กร ที่เรียกว่า Integrity – Driven Performance ตามที่ผู้เขียนได้กล่าวไว้แล้วในหัวข้ออื่น ๆ ก่อนหน้านี้

ดังนั้น ในการประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ทาง สคร. / กระทรวงการคลัง ร่วมกับคณะอนุกรรมการฯ และ ทริส จึงได้กำหนดแนวทางที่ใช้ในการขับเคลื่อนรัฐวิสาหกิจใหม่ โดยใช้หลักการ GRC เป็นเบื้องต้น ในปี 2553 ก่อนที่จะให้น้ำหนักมากขึ้นในปีต่อ ๆ ไป ดังนี้

ความคิดและความเข้าใจในการบริหารแบบบูรณาการผ่านกลยุทธ์ และ Action Plan ต่าง ๆ ขององค์กร เพื่อการขับเคลื่อน Integrity - Driven Performance ระดับองค์กรและระดับประเทศ

หลักเกณฑ์การประเมิน
หลักเกณฑ์การประเมินบริหารความเสี่ยง แบ่งเป็น 2 ส่วน ได้แก่
คะแนนในส่วนแรกที่ยึดหลักเกณฑ์ตาม COSO ERM และคะแนนในส่วนที่สอง ซึ่งเป็นเกณฑ์ประเมินเพื่อสนับสนุนระบบการบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น

คะแนนในส่วนแรก แบ่งเป็นเกณฑ์ขั้นบันไดใน 3 ระดับ ได้แก่
ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงในเชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น
มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการ มีองค์ประกอบในการบริหารความเสี่ยงที่ดีครบถ้วน โดยมีการวิเคราะห์ระดับความรุนแรง (I/L) ที่ชัดเจนเป็นระบบ และ มีคู่มือการบริหารความเสี่ยงตามเกณฑ์ และเผยแพร่ให้พนักงานทุกระดับ

ระดับที่ 3 การบริหารความเสี่ยงที่มีองค์ประกอบที่ดีครบถ้วน ได้แก่
รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีคณะทำงาน/กอง/งาน/ฝ่ายเพื่อจัดการความเสี่ยง มีแผนงานที่ชัดเจน รวมถึงสามารถบรรลุเป้าหมายในแผนงานได้ครบถ้วน
มีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง กำหนดเป้าหมายในเชิงระดับความรุนแรงที่คาดหวัง และสามารถรายงานระดับความรุนแรงของแต่ละปัจจัยเสี่ยงรายไตรมาส และมีการมีการกำหนด risk appetite และ risk tolerance ทุกปัจจัยเสี่ยง

คะแนนในส่วนที่สอง เป็นเกณฑ์ที่มีคะแนนถ่วงน้ำหนักในเกณฑ์ดังกล่าว ได้แก่
• มีการบริหารความเสี่ยงแบบบูรณาการ
• มีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนด
• กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ
• มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น
• จัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง
• กระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงานและสัมพันธ์กับค่าตอบแทน
• มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร
• การบริหารความเสี่ยงเป็นการสนับสนุนการบริหารเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation)
• ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงเมื่อเทียบกับแผนการบริหารความเสี่ยง และเทียบจากอดีต
• Portfolio View of Risk (เกณฑ์ใหม่)
• Integrated Governance , Risk and Compliance (GRC – เกณฑ์ใหม่)

สคร. และคณะอนุกรรมการบริหารความเสี่ยง รวมทั้ง ทริส ได้ร่วมกันชี้แจงเกณฑ์การประเมินใหม่ ในปี 2553 แก่ผู้แทนของรัฐวิสาหกิจที่อยู่ในเกณฑ์ประเมินผลเรียบร้อยแล้ว ส่วนใหญ่คณะกรรมการรัฐวิสาหกิจฯ ยังไม่มีโอกาสได้ฟังหรือรับทราบการเปลี่ยนแปลงที่มีผลต่อบทบาทของคณะกรรมการ ตั้งแต่ระดับนโยบาย รวมทั้ง การปรับปรุงแนวทางการบริหารและการจัดการอย่างเป็นกระบวนการในส่วนที่เกี่ยวข้องต่อไป

การนำ GRC มาใช้วัดศัยกภาพในการบริหารรัฐวิสาหกิจ ซึ่งเริ่มตั้งแต่ ปี 2553 ในระดับเบื้องต้นนั้น น่าจะพิจารณาได้ว่า มีความสำคัญอย่างยิ่งยวด ต่อกระบวนการขับเคลื่อน หลักการของ CG ให้มาเชื่อมโยงกับกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – ERM รวมทั้ง ผสมผสานการปฏิบัติตามกฎหมาย กฎเกณฑ์ / Compliance เข้าเป็นองค์ประกอบหลักในกระบวนการบริหาร ให้เป็นรูปธรรมนั้น เป็นเรื่องที่ต้องการความเข้าใจในความรับผิดชอบ ในทุกระดับ ของรัฐวิสาหกิจ เพื่อการเติบโตอย่างยั่งยืนขององค์กร เป็นสำคัญ

ในเรื่องของ GRC นี้เน้นผลประโยชน์ของผู้มีส่วนร่วม หรือผู้มีส่วนได้เสีย (Stakeholders) เป็นสำคัญ ซึ่งก็ตรงกับหลักการบริหารของหน่วยงานภาครัฐเป็นปกติอยู่แล้ว เพียงแต่คำจำกัดความและความหมายที่เกี่ยวเนื่องกับกระบวนการบริหารนั้น เป็นสิ่งที่จะใช้พิจารณาความเข้าใจร่วมกันของทั้งผู้ได้รับการประเมิน คือ รัฐวิสาหกิจต่าง ๆ กับผู้ประเมินผล ซึ่งก็คือ คณะอนุกรรมการประเมินผล ร่วมกับ ทริส ในการพิจารณาและวัดคุณภาพของการจัดการอย่างเป็นรูปธรรม

ความหมายของคำว่า Compliance ในองค์ประกอบของ GRC ก็เปลี่ยนแปลงไปอย่างมีนัยสำคัญ เพราะมิได้หมายความเฉพาะเพียง การปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่าง ๆ จากหน่วยงานภายนอก และหน่วยงานภายในองค์กรเท่านั้น แต่ Compliance ในคำจำกัดความใหม่นี้ มีความหมายกว้างขวาง ครอบคลุมไปถึง การปฏิบัติตาม Best Practice หรือจะเรียกว่า Good Practice รวมทั้ง การปฏิบัติให้ได้มาตรฐานสากล ในส่วนที่เกี่ยวข้อง เพื่อสร้างความน่าเชื่อถือ (Trust) การสร้างคุณค่าเพิ่ม (Value) การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ซึ่งขอขยายความสักเล็กน้อยนะครับว่า หมายถึง การติดตามผลของการปฏิบัติงาน ในแง่มุมต่าง ๆ ตามหลัก Balance Scorecard จากรายงานที่เกี่ยวข้อง

ซึ่งแน่นอนว่า จะสัมพันธ์กับหลักการของ COSO – ERM รวมทั้ง การสร้างความมั่นใจอย่างสมเหตุสมผล (Assurance) ของความถูกต้อง จากกระบวนการตรวจสอบความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ที่ผู้บริหารได้รับจากรายงานต่าง ๆ ตามหลักการ COSO ในองค์ประกอบเรื่อง Reporting ซึ่งเป็นหนึ่งในหลักการควบคุมการบริหารความเสี่ยง คือ S – O – F – C นั่นเอง

อีกองค์ประกอบหนึ่งของหลักการสร้างความเติบโตอย่างยั่งยืน (Sustainable Growth) ของ CG / ITG / GRC ก็คือ ความสามารถในการดำเนินการอย่างต่อเนื่อง และความอยู่รอด (Survival) ในกระบวนการบริหารและการจัดการที่เกี่ยวข้องกับความเสี่ยง ทางด้าน IT และ Non – IT ที่มีผลกระทบต่อ Activities Risk + Process Risk + Business Risk ซึ่งเป็นส่วนหนึ่งของ IT Governance Drivers เพื่อการขับเคลื่อน CG และ GRC ด้วย

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ขั้นตอนในการวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร โดยรวม ภายใต้สภาพแวดล้อมปัจจุบัน

ตุลาคม 5, 2009

การวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม หรือ Stakehoders ในมุมมองของภาพโดยรวม ซึ่งเป็นการตรวจสอบทางด้าน It (IT Audit) และ Non – IT มีแนวทางในการพิจารณาดำเนินการ โดยหัวหน้าผู้ตรวจสอบ ดังนี้

1. ระบุความต้องการของฝ่ายบริหาร เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองของ หัวหน้าผู้ตรวจสอบ และฝ่ายตรวจสอบภายในขององค์กร ก็คือ การพิจารณาว่า คณะกรรมการและฝ่ายบริหารขององค์กร ต้องการสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองใดบ้าง

2. รวบรวมข้อมูลที่เกี่ยวข้องกับการขับเคลื่อนกลยุทธ์ ทั้ง 4 มุมมอง ให้สัมพันธ์กับสภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน เช่น ในกรณีที่เป็นเศรษฐกิจขาลง ผู้ตรวจสอบก็ควรพิจารณา วางแผนการตรวจสอบ ที่เน้นไปทางด้านการตรวจสอบกลยุทธ์ ให้มีน้ำหนักมากขึ้น และให้น้ำหนักที่เกี่ยวข้องกับการตรวจสอบ การปฏิบัติตามกฎหมายกฎเกณฑ์ให้น้อยลง เป็นต้น

ทั้งนี้ ผู้ตรวจสอบยังคงให้ความสำคัญในการตรวจสอบความเสี่ยงจากการดำเนินงาน ที่จะมีผลกระทบต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการเงิน และการรายงานต่าง ๆ และมีผลกระทบต่อการปฏิบัติตามกฎหมาย กฎเกณฑ์ โดยพิจารณาในภาพผลกระทบที่ต่อเนื่องจากการดำเนินงานที่มีจุดอ่อนต่าง ๆ เป็นสำคัญ

3. เพิ่มและให้น้ำหนักการตรวจสอบทางด้านการทุจริต และการใช้เทคโนโลยีเข้าช่วยในการตรวจสอบให้มากขึ้น ทั้งนี้ โดยเชื่อมโยงวัตถุประสงค์เชิงกลยุทธ์ ที่มีเป้าหมายในการขับเคลื่อนการสร้างคุณค่าเพิ่มต่าง ๆ ขององค์กร

4. เชื่อมโยงความเสี่ยงทางด้านการตรวจสอบ ที่มาจากฝ่ายจัดการ จากการบริหารความเสี่ยงที่ไม่ได้ผล โดยเฉพาะอย่างยิ่ง ความเสี่ยงจากการที่ข้อมูลและสารสนเทศ เชื่อถือได้ในระดับจำกัด ให้เข้ากับการวางแผนการตรวจสอบ ทางด้าน IT และ Non – IT

5. ลดขนาดของการตรวจสอบงานประจำ ที่สร้างคุณค่าเพิ่มน้อยลงไป หรือในกรณีที่ทรัพยากรมีจำกัด งานประเภทที่มีคุณค่าเพิ่มต่ำ ก็อาจจัดอยู่ในการตรวจสอบระดับท้าย ๆ

6. ระดมความคิดเห็นจากผู้ตรวจสอบ ในแนวทางที่จะช่วยลดต้นทุนในการดำเนินงาน และการใช้ทรัพยากรในการตรวจสอบ และนำไปหารือกับคณะกรรมการตรวจสอบ ที่เข้าใจความต้องการ และทิศทางในการดำเนินงานของคณะกรรมการ ในการขับเคลื่อนธุรกิจ ภายใต้สภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน และกลยุทธ์ที่เปลี่ยนแปลงไป และนำข้อมูลที่ได้รับมาปรับปรุงแผนการตรวจสอบ ให้สัมพันธ์กับทรัพยากรของฝ่ายตรวจสอบภายในที่มีอยู่

7. ให้ระบุกระบวนการในการประมวลข้อมูลที่ขาดประสิทธิภาพในการดำเนินงาน (Inefficient Processes) ที่มีอยู่ ภายใต้สถานการณ์การควบคุมที่เป็นปัจจุบัน ที่จำเป็นต้องเปลี่ยนแปลง หรืออาจต้องเปลี่ยนแปลงให้เหมาะสมกับสภาพแวดล้อม ที่มาจากภายนอกและภายในองค์กร

8. ประเมินความเสี่ยงจากการบริหารและการจัดการ ที่อาจมองข้ามจุดอ่อนของการควบคุมกิจกรรม และกระบวนการทำงาน ที่มาจากระบบคอมพิวเตอร์ ทั้งทางด้าน General Control และ Application Control และจุดอ่อนจากกระบวนการบริหารความเสี่ยงเชิงรุก ที่ไม่อาจนำหลักการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) มาใช้ได้อย่างมีประสิทธิผลและประสิทธิภาพ

9. ทบทวนและสอบทานจุดอ่อนจากบทเรียนขององค์กรอื่น ๆ ภายใต้สภาพแวดล้อมที่เกี่ยวข้องกับทางด้านเทคโนโลยีสารสนเทศและการจัดการที่ดี อย่างเช่น การนำบทเรียนกรณีทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่ที่สุดเป็นอันดับ 2 ของประเทศฝรั่งเศส และเสียหายจากการทุจริตและการดำเนินงาน เป็นเงินประมาณ 4 แสนล้านบาท จากการทุจริตของคน ๆ เดียว และกรณีทุจริตต่าง ๆ ที่เกิดจาก คน + กระบวนการดำเนินงาน + เทคโนโลยี ซึ่งรวม ๆ เรียกว่า ความเสี่ยงในการดำเนินงาน หรือ PPT – People – Process – Technology และพิจารณาวางแผนการตรวจสอบ เพื่อปิด Gap ต่าง ๆ ที่อาจจะเกิดขึ้นจาก Lesson Learned จากกรณีของต่างประเทศ และภายในประเทศที่ได้เกิดขึ้นแล้ว เพื่อไม่ให้เกิดซ้ำอีกในองค์กรของเรา

10. พิจารณาในภาพโดยรวม จากปัจจัยต่าง ๆ ที่กล่าวข้างต้น รวมทั้ง แนวทางเพื่อลดต้นทุนภายในองค์กรที่อาจจะเกิดจากจุดอ่อน จากการละเลยมิได้มีการพิจารณานำหลักการของ GRC – Governance, Risk, Compliance ที่เป็นแนวการปฏิบัติที่ดี ภายใต้กรอบ CG และ ITG ซึ่งเป็นการบริหารและขับเคลื่อนในลักษณะ Integrity – Driven Performance ซึ่งจะช่วยลดต้นทุนในการดำเนินงาน และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ได้เป็นอย่างดี

11. ประเมินศัยกภาพ (Competency) ของทรัพยากรภายในองค์กร โดยเฉพาะอย่างยิ่ง ภายในสายงานการตรวจสอบ ทางด้าน IT และ Non – IT ถึงความพร้อมในการปฏิบัติงานตรวจสอบ ให้ได้มาตรฐาน และสัมพันธ์กับความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ที่พัฒนาไปอย่างรวดเร็ว และมีผลกระทบโดยตรงต่อความเสี่ยงที่จะก้าวไปสู่ความสำเร็จตามเป้าประสงค์ ตามหลักการของ Balanced Scorecard และกลยุทธ์ที่เกี่ยวข้องทั้ง 4 มุมมอง

12. สร้างดุลยภาพในการวางแผนการตรวจสอบ ตามข้อมูลข้างต้น และนำผลดังกล่าวไปใช้ในการปฏิบัติงานตรวจสอบ เพื่อให้ได้ผลตามเป้าประสงค์ของ Stakeholders และผู้บริหารที่เกี่ยวข้อง ตามสภาพแวดล้อมที่เป็นอยู่

สำหรับการปฏิบัติการตรวจสอบจริง ก็ควรพิจารณามุมมองในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ที่ครอบคลุมหัวข้อต่าง ๆ ทั้งทางด้าน IT และ Non – IT ตามแผนภาพที่ได้แสดงไว้ข้างต้น และให้คำแนะนำที่เหมาะสมกับการจัดการตามมาตรฐานการตรวจสอบที่เกี่ยวข้อง และเป็นไปได้ต่อไป

ท่านผู้ตรวจสอบครับ จากประสบการณ์การตรวจสอบ ทั้งทางด้าน IT และ Non – IT ของผมในช่วงเวลาที่ผ่านมา จุดอ่อนที่สำคัญยิ่งขององค์กรและผู้ตรวจสอบก็คือ การจัดโครงสร้างขององค์กรไม่เหมาะสม ขาดการประสานงานที่เป็นรูปธรรม ระหว่างผู้ตรวจสอบทางด้าน IT และ Non – IT อย่างมีนัยสำคัญ ทำให้การใช้ทรัพยากรของผู้ตรวจสอบสูญเสียโดยเปล่าประโยชน์อย่างมาก และคำแนะนำในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ก็เป็นไปอย่างจำกัด

ทั้งนี้เพราะ มีปัญหาจากมุมมองการบูรณาการ การตรวจสอบ ที่ได้ดุลยภาพ ที่สัมพันธ์กับวิสัยทัศน์ พันธกิจ กลยุทธ์ ที่ถ่ายทอดเป็นแผนปฏิบัติในระดับต่าง ๆ ซึ่งต่อไป องค์กรที่ใช้คอมพิวเตอร์อย่างมีนัยสำคัญในการดำเนินงาน เช่น สถาบันการเงินต่าง ๆ จะพบกับความท้าทายของเทคโนโลยีที่มีผลกระทบอย่างสำคัญยิ่ง ต่อ Business Process ที่จะก้าวไปสู่ Business Objective ต่าง ๆ ขององค์กร

สรุปอีกครั้งก็คือ คณะกรรมการและผู้บริหารขององค์กรต่าง ๆ ควรประเมินช่องว่างระหว่างศักยภาพของบุคลากร ที่ควรมีความรู้ขั้นต่ำที่จำเป็น ให้ได้มุมมองจาก IT Risks ที่มีผลต่อ Business Risks อย่างสำคัญ ซึ่ง C – Level ในระดับต่าง ๆ ควรเข้าใจผลกระทบต่อเทคโนโลยีที่สามารถระบุความเสี่ยงในมุมมองของงานที่ตนเองรับผิดชอบโดยตรง และจากมุมมองที่มีผลกระทบจากสายงานอื่น ๆ ที่เกี่ยวข้อง (Impact Risk) ที่ต้องร่วมด้วยช่วยกันในการบริหารแบบบูรณาการ จากจิตสำนึก (Conscience) ความรับผิดชอบ (Acountability) ในการบริหารงานที่พิจารณาจากกระบวนการทำงาน และผลลัพธ์ที่มีต่อองค์กรเป็นสำคัญ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

จิตสำนึกผิดชอบหรือมโนธรรม (Conscience) กับการบริหารเพื่อการเติบโตอย่างยั่งยืน ตามหลัก CG

ตุลาคม 2, 2009

สวัสดีครับ ท่านผู้อ่านทุกท่าน

วันนี้ ผมได้ขึ้นหัวข้อใหม่ เพื่อจะได้คุยกับท่านผู้อ่าน และตอบคำถามที่ท่านผู้อ่านสนใจ เท่าที่เวลาจะอำนวย และหากมีเวลา ผมจะมาพูดคุยเรื่องอื่น ๆ ที่น่าสนใจภายใต้หัวข้อนี้ เช่น ผมคิดว่า “จิตสำนึก” ที่เกี่ยวข้องกับการบริหารและการจัดการ ตั้งแต่ระดับประเทศ ระดับองค์กร ระดับหน่วยงานและระดับบุคคล เป็นเรื่องสำคัญอย่างยิ่งยวด ที่จะนำความสำเร็จ ในการพัฒนาและการบริหาร

ภายใต้ร่มใหญ่ที่เป็นกรอบของการบริหารโดยทั่วไปของคำว่า การกำกับและดูแลกิจการที่ดี (Corporate Governance), การบริหารเทคโนโลยีสารสนเทศที่ดี (IT Governance), การบริหารเพื่อสร้างมูลค่าเพิ่มแบบบูรณาการ ที่อาจใช้คำว่า GRC (Governance + Risk Management + Compliance) ที่เป็นเรื่อง on-top จาก COSO-ERM ซึ่งเป็นกรอบการบริหารความเสี่ยงในเชิงรุก โดยการควบคุมปัญหาที่อาจเกิดขึ้นในอนาคต ในกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการขับเคลื่อน Business Process ไปสู่ Business Objective ที่ยังขาดความเป็นรูปธรรมในทางปฏิบัติ ในหลาย ๆ องค์กร

ทั้ง ๆ ที่ การบริหารความเสี่ยง ตามแนวทางของ COSO-ERM เป็นเรื่องที่มีการปฏิบัติอย่างแพร่หลายทั่วโลก รวมทั้งประเทศไทย มาได้ระยะเวลาหนึ่งแล้วก็ตาม แต่ Output และ Outcome เมื่อพิจารณาในมุมมองของหลักการบริหารแบบบูรณาการ (Integration) ซึ่งควรเข้าใจตรงกันว่า เป็นการบริหารข้ามสายงาน โดยเน้นการจัดการที่กระบวนการ (Process) ที่เกิดจากกิจกรรม (Activities) ที่หลากหลายที่ต้องมีการดำเนินการผ่าน Process ซึ่งในแต่ละ Process อันประกอบด้วยกิจกรรมต่าง ๆ มากมายนั้น จะถูกขับเคลื่อนผ่านไปยังหน่วยงานและสายงานต่าง ๆ ทั่วทั้งองค์กร เพื่อการขับเคลื่อน Business Objective ตามมุมมองของการบริหารกลยุทธ์ทั้ง 4 ตามหลัก Balance Scorecard นั่นเอง

เมื่อผมกล่าวมาถึงช่วงนี้ ท่านก็คงจะเห็นภาพนะครับว่า การควบคุมต่าง ๆ ซึ่งเริ่มตั้งแต่ระดับนโยบาย เรื่อยมาจนนำไปสู่การปฏิบัตินั้น ควรจะถูกฝัง (Embeded) ไว้ในกิจกรรมและกระบวนการอย่างเป็นระบบ คำว่าถูกฝังในที่นี้ เราคงจะเข้าใจตรงกันนะครับว่า เป็นกระบวนการที่เป็นส่วนหนึ่ง ที่นำไปผสมผสานในทุกกิจกรรมที่เกี่ยวข้องอย่างอัตโนมัติ และหากไม่มีการดำเนินการ อย่างเป็นขั้นตอนและมีการควบคุมอย่างเป็นอัตโนมัติ ที่ผสมผสานกับระบบ Manual หรือการควบคุม โดยบุคลากรระดับต่าง ๆ แล้ว กิจกรรมดังกล่าว ก็ไม่อาจดำเนินการผ่าน Process ต่าง ๆ ต่อไปได้ และในทุก ๆ Process ที่ขับเคลื่อน Business Objective ก็มีการควบคุมในระดับต่าง ๆ ทั้งในระบบอัตโนมัติ และด้วยคน (Manual)

โปรดดูรูปเพื่อความเข้าใจนะครับ ผมตั้งใจจะพูดเรื่อง “จิตสำนึก” ของการบริหารและการจัดการ เพื่อการเติบโตอย่างยั่งยืน ตามหลัก Corporate Governance และใช้หลักการของ GRC ซึ่งเป็นหลักการและแนวการปฏิบัติที่เป็นรูปธรรม ในการขับเคลื่อน การบริหารในลักษณะ Integrity – Driven Performance ซึ่งผมได้เล่าสู่กันฟังไว้แล้ว ในเรื่อง GRC ลองไปดูรูปภาพ และสิ่งที่เล่าสู่กันฟังในหัวข้อนี้นะครับ

การบริหารแบบสอดประสานและบูรณาการ หรือ Integrity - Drive Performance แบบ GRC

ผมจะเล่าสู่กันฟังในเรื่องจิตสำนึก ที่เกี่ยวข้องกับการบริหารในโอกาสต่อไป โดยขอเกริ่นนำเล็กน้อยในเรื่อง จิตสำนึกผิดชอบ หรือมโนธรรม ที่เป็นเรื่องค่อนข้างยากและลำบากอย่างยิ่ง ในการขับเคลื่อน หรือพัฒนา กฎเกณฑ์ ให้เป็นรูปธรรม เพราะไม่มีกฎหมาย หรือข้อบังคับใด ๆ จะสร้างกฎเกณฑ์ และข้อบังคับ ให้ความรู้สึกที่จะถ่ายทอดเป็นความคิด และการปฏิบัติ เพื่อให้เกิดความเป็นรูปธรรม และความเป็นจริง ที่องค์กรและบุคลากรต่าง ๆ ต้องการให้เกิดขึ้น เพราะ ประเทศใดก็ตาม องค์กรและบุคลากรใดก็ตาม ที่มีจิตสำนึกผิดชอบ หรือมโนธรรม ที่สามารถขับเคลื่อน จริยธรรม (Ethics) ซึ่งอยู่ในระดับบนสุดยอด ของการขับเคลื่อนการบริหารเพื่อความสำเร็จ ไปสู่การเติบโตอย่างยั่งยืน ประเทศหรือบุคลากรนั้น จะได้รับความนับถืออย่างยิ่งยวด

เรามาทำความเข้าใจความหมายของคำว่า จิตสำนึกผิดชอบ (Conscience) กันครับ
จิตสำนึกผิดชอบ เป็นส่วนประกอบที่อยู่ในส่วนลึกภายในตัวเราทุกคน ที่บอกให้ทราบว่าการกระทำของเรานั้น ผิดหรือถูก เป็นไปตามมาตรฐานแห่งจิตใจของเราหรือไม่ ออสวอล์ด แชมเบอร์ ให้คำจำกัดความเกี่ยวกับจิตสำนึกผิดชอบไว้ได้ดีว่า “จิตสำนึกผิดชอบ เป็นส่วนประกอบภายในวิญญาณของมนุษย์ ที่ฝังตัวเองอยู่ในส่วนที่สูงที่สุดเท่าที่มนุษย์รู้จัก” จิตสำนึกผิดชอบ ไม่ใช่กฎบัญญัติ แต่จิตสำนึกผิดชอบ เป็นพยานให้กับกฎบัญญัติ และจิตสำนึกผิดชอบ ไม่ใช่มาตรฐาน แต่เป็นพยานให้กับมาตรฐาน แต่ละภูมิภาคของโลกมีมาตรฐานที่แตกต่างกันออกไป

ถ้อยคำดังกล่าว ปรากฎอยู่ในหนังสือ Meet Your Consience ที่แต่งโดย Warren W. Wiersbe ในบทที่ 1 ในเรื่อง กฎภายในใจ ที่เกี่ยวข้องกับมโนธรรม ในพระคัมภีร์ใหม่ของคริสเตียน ซึ่งได้เขียนและกล่าวไว้อย่างน่าสนใจยิ่ง

ข้อคิดเห็น จากหนังสือ Meet Your Consience นี้ เป็นแรงบันดาลใจของผม ที่จะนำมาประยุกต์ใช้ และหยิบยกมา ในการเล่าสู่กันฟังเรื่องจิตสำนึกผิดชอบ หรือมโนธรรม ในการขับเคลื่อน การกำกับดูแลกิจการที่ดี หรือ CG เพื่อการเติบโตอย่างยั่งยืน และข้อสำคัญที่เป็นส่วนหนึ่งในการขับเคลื่อน GRC ที่เป็นเรื่องของ Integrity – Driven Performance ที่ผมย้ำอยู่เสมอนั่นเองครับ

Conscience and Understanding of IT Governance to be an integral part of Enterprise Governance

จะกล่าวถึงเรื่องจิตสำนึก / Conscience หรือ มโนธรรม เพื่อการขับเคลื่อน จริยธรรม / Ethics ซึ่งเกี่ยวข้องกับ Soft Control ที่เชื่อมโยงกับ ความรับผิดชอบสูงสุด ของมวลมนุษยชาติ และผู้บริหารที่เกี่ยวข้องกับความมั่นคงของประเทศชาติ ทั้งทางด้านทหาร การเมือง เศรษฐกิจ การเงิน สังคม และการบริหารเชิงรุก ที่ต้องมองอนาคตของชาติและส่วนรวมเป็นหลักนะครับ

Leave a Comment » | คุยกับผู้เขียน | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ดุลยภาพหรือความพอดีในกระบวนการจัดการ หมายถึงความยั่งยืนตามหลักการของ Corporate Governance ที่ต้องการสร้างความเป็นธรรมในการจัดการกับบุคคลทุกฝ่าย

ตุลาคม 2, 2009

ครั้งที่แล้ว ผมได้พูดถึงดุลยภาพทางด้านนโยบายของผู้กำกับ หรือหน่วยงานของรัฐ ซึ่งใช้ในการควบคุม หรือกำหนดทิศทางในการดำเนินงานของหน่วยงานภายใต้สังกัด และได้ให้ข้อสังเกตว่า นโยบายที่รัฐหรือผู้กำกับกำหนดในหลาย ๆ ครั้งนั้น ไม่ได้ดุลยภาพ หรือความพอดี ในแนวทางการกำกับ ซึ่งอาจพิจารณาได้ว่า เป็นความไม่ตั้งใจ เพราะพิจารณามุมมองของนโยบายที่เน้นด้านหนึ่งด้านใดเป็นการเฉพาะ แต่ไม่ได้เน้นหรือพิจารณามุมมองอื่น โดยเฉพาะอย่างยิ่ง ความเหมาะสมหรือความเพียงพอของการใช้ทรัพยากรในอนาคต

ในกรณีที่เกิดความเสียหาย ในระดับที่ไม่อาจยอมรับได้ ก็น่าจะแสดงว่า นโยบายนั้นไม่ชัดเจน หรือคลุมเครือ ทำให้ผู้ที่ปฏิบัติ รวมทั้งรัฐเสียหายได้ในที่สุด แต่ขณะเดียวกันก็อาจพิจารณาได้ว่า ผู้กำกับหรือนโยบายที่รัฐหรือแม้กระทั่งหน่วยงานเอกชนได้ออกไปเพื่อกำหนดทิศทางในการดำเนินงานนั้น คณะกรรมการและผู้บริหารหรือผู้มีอำนาจ ไม่ได้คำนึงถึงกระบวนการบริหารความเสี่ยง ตามหลักการของ COSO – Enterprise Risk Management (ERM) ซึ่งเป็นกรอบมาตรฐานหรือแนวการปฏิบัติที่ดี ในกรณีนี้ก็คือ การไม่ได้กำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ (Risk Appetite / Risk Tolerance) ซึ่งยังเป็นเรื่องใหม่อยู่มากสำหรับผู้นำในภาครัฐและภาคเอกชนในหลายหน่วยงาน

Enterprise Governance Drives IT Governance and GRC

การที่หน่วยงานของรัฐ หน่วยงานความมั่นคง หน่วยงานของเอกชน ไม่ได้กำหนดระดับความเสี่ยง หรือระดับความเสียหายที่ยอมรับได้อย่างเป็นกระบวนการ แสดงได้ในเบื้องต้นว่า กระบวนการบริหารและการจัดการมีจดอ่อนอย่างมีนัยสำคัญ ที่เกี่ยวข้องกับ Strategic Risk + Operational Risk + Reporting and Financial Risk และ Compliance Risk ซึ่งนำมาสู่การบริหารที่ด้อยประสิทธิภาพ และด้อยประสิทธิผลในกระบวนการดำเนินงานที่ถ่ายทอดมาเป็นแผนปฏิบัติ ในหน่วยงานปฏิบัติภาคสนามที่เกี่ยวข้อง

ผมจะมีตัวอย่างเรื่องราวเหล่านี้มากมาย ที่จะสะท้อนให้เห็นถึงจุดอ่อนของผู้นำหรือผู้บริหารในระดับต่าง ๆ ที่เกี่ยวข้อง

ในวันนี้เพียงแต่จะขอพูดถึงเรื่อง การที่มีหน่วยงานกำกับได้มาแนะนำให้ธนาคารแห่งประเทศไทย เปลี่ยนแปลงและลดการควบคุมหนี้จัดชั้น หรือหลักเกณฑ์ในการพิจารณาสินเชื่อที่จะก่อให้เกิด NPL ในอนาคต เพียงเพื่อให้ทางสถาบันการเงินลดภาระในการกันเงินสำรองตามหลักเกณ์ฑของ ธปท. ทั้ง ๆ ที่ไม่ช่วยให้คุณภาพของลูกหนี้ดีขึ้น แต่จะเป็นการหมกเม็ดปัญหาที่จะเกิดขึ้นในอนาคต ซึ่งในที่สุดแล้วก็เกิด NPL หากองค์ประกอบอื่นยังอยู่ในสภาพคงที่ต่อไปเหมือนเดิม

ข้อสำคัญในสถาบันการเงินที่ธนาคารแห่งประเทศไทยเป็นผู้ดูแลทางด้านความมั่นคงโดยรวมนั้น ก็อยู่ภายใต้กรอบการกำกับและแนวทางในการควบคุมสถาบันการเงิน โดยหน่วยงานกำกับสากลที่มีหลักเกณฑ์บังคับและใช้เป็นแนวทางที่จะให้ธนาคารกลางของประเทศต่าง ๆ ปฏิบัติตาม เช่น การใช้แนวทาง Basel II เพื่อให้แน่ใจถึงคุณภาพการดำเนินงานของสถาบันการเงินในมุมมองต่าง ๆ ซึ่งไม่อาจกล่าวได้ทั้งหมดในที่นี้

IT Governance Focus on 5 Areas

ข้อความข้างต้นอาจจะไม่ถูกทั้งหมดนะครับ เพราะในหลาย ๆ กรณี ผู้กำกับก็รู้ดีถึงความเสียหายที่อาจจะเกิดขึ้น ส่วนจะอยู่ในอัตราที่ยอมรับได้หรือไม่นั้น (การกำหนด Risk Appetite) ยังไม่ต้องคำนึงถึงใน ณ ที่นี้ เพราะส่วนใหญ่ไม่มีการพิจารณา เนื่องจากเป็นจุดอ่อนหรือช่องเปิดของความเสียหายในกระบวนการจัดการ หรือกระบวนการกำกับของบางหน่วยงานอยู่แล้ว แต่เป็นเพียงกลยุทธ์พื้นฐาน เพื่อให้เป็นหน้าที่และความรับผิดชอบของผู้บริหารของหน่วยงานที่ต้องปฏิบัติ หรือเป็นหน่วยงานที่เรียกว่าเป็น Operator ที่ต้องกำหนดแนวทางในการจัดการกับความเสี่ยงในรูปแบบต่าง ๆ ตามลำพัง

ดังนั้น ดุลยภาพของนโยบายและดุลยภาพในการควบคุมระดับต่าง ๆ ต้องการความเข้าใจจริง ของผู้นำและผู้บริหารที่เกี่ยวข้อง ที่ต้องคำนึงถึงผลกระทบ และภาระที่จะเกิดขึ้นในอนาคต ที่ควรจะอยู่ในระดับที่ยอมรับได้ นั่นคือ กระบวนการบริหารการจัดการที่ดี จะต้องมีการกำหนดระดับความเสี่ยงหรือความเสียหายที่ยอมรับได้ ตั้งแต่ระดับบนที่ถ่ายทอดลงมาถึงระดับปฏิบัติการ ที่เป็นรูปธรรม ปฏิบัติได้ ภายใต้กรอบและเป้าหมายที่กำหนดไว้ชัดเจนตามหลักของ SMART ตามที่ได้เคยกล่าวและอธิบายมาแล้ว

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กันยายน 27, 2009

ครั้งที่แล้วผมได้เกริ่นถึงกิจกรรมควบคุมกันไปบ้างแล้วในบางส่วน คราวนี้เรามาต่อในเรื่องของประเภทของกิจกรรมควบคุมกัน

ประเภทของกิจกรรมควบคุม
คำอธิบายที่แตกต่างมากมายของประเภทกิจกรรมควบคุมถูกนำออกมาใช้รวมถึงการควบคุมเชิงป้องกัน การควบคุมเชิงสืบสวน คู่มือการควบคุม การควบคุมเชิงคอมพิวเตอร์ และการควบคุมเชิงบริหาร กิจกรรมควบคุมถูกแบ่งตามวัตถุประสงค์เฉพาะของการควบคุม เช่น ความมั่นใจในความสมบูรณ์และความถูกต้องของการประมวลผลข้อมูล

ประเภทของการควบคุม แบ่งเป็น 4 ประเภท ดังนี้
1. การควบคุมแบบป้องกัน (Preventive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก เช่นการอนุมัติ การจัดโครงสร้างองค์กร การแบ่งแยกหน้าที่ การใช้พนักงานที่มีความรู้และจริยธรรม

2. การควบคุมแบบค้นพบ (Detective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทาน การวิเคราะห์ การยืนยันยอด การตรวจนับและการรายงานข้อบกพร่อง การตรวจสอบ ฯลฯ

3. การควบคุมแบบแก้ไข (Corrective Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อแก้ไขข้อผิดพลาดที่เกิดขึ้นให้ถูกต้องหรือเพื่อหาวิธีแก้ไขไม่ให้เกิดข้อผิดพลาดซ้ำอีกในอนาคต

4. การควบคุมแบบส่งเสริม (Directive Control) เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อส่งเสริมหรือกระตุ้นให้เกิดผลสำเร็จโดยตรงกับวัตถุประสงค์ที่ต้องการ

กิจกรรมควบคุมจะเกิดขึ้นตลอดองค์กรในทุกระดับชั้นและในทุกหน้าที่ กิจกรรมควบคุมเป็นส่วนหนึ่งของกระบวนการซึ่งองค์กรต้องการจะประสบความสำเร็จในเป้าหมายทางธุรกิจ โดยทั่วไปแล้วเกี่ยวข้องกับองค์ประกอบสองอย่างคือ นโยบายที่จัดตั้งขึ้น คือสิ่งที่ควรจะทำและกระบวนการที่รองรับนโยบาย

นโยบายและขั้นตอนปฏิบัติเกี่ยวกับการควบคุม
กิจกรรมควบคุมมักรวมถึงส่วนประกอบ 2 ส่วน คือ นโยบายที่สร้างขึ้นว่าอะไรควรทำและขั้นตอนปฏิบัติให้บรรลุนโยบาย ตัวอย่างเช่น นโยบายจำเป็นต้องทบทวนกิจกรรมทางการค้าของลูกค้าโดยผู้จัดการสาขาตัวแทนจำหน่ายรายย่อย ขั้นตอนปฏิบัติเป็นการทบทวนตนเอง ปฏิบัติในเวลาที่สมควรและด้วยความเอาใจใส่ต่อปัจจัยที่ตั้งขึ้นเพื่อนโยบาย เช่น ภาวะและปริมาณของความปลอดภัยทางการค้าและความสัมพันธ์ต่อลูกค้า

ในหลาย ๆ ครั้งพบว่านโยบายมักสื่อสารกันโดยวาจา นโยบายที่ไม่เป็นลายลักษณ์อักษรสามารถบรรลุผลทางนโยบาย ยืนระยะได้นานและปฏิบัติด้วยความเข้าใจดี และในองค์กรขนาดเล็กซึ่งช่องทางการติดต่อสื่อสารเกี่ยวข้องเฉพาะขึ้นการบริหารที่จำกัด และมีความสัมพันธ์ใกล้ชิดกับการบริหารงานบุคคล แต่การไม่คำนึงถึงว่ามีนโยบายเป็นลายลักษณ์อักษรหรือไม่นั้น นโยบายถูกนำไปปฏิบัติโดยตลอดอย่างถูกต้องและยั่งยืน

ขั้นตอนการปฏิบัติจะไม่เกิดประโยชน์หากปฏิบัติเป็นเครื่องจักรและปราศจากความชัดเจน ความต่อเนื่องในการมุ่งเน้นไปยังเงื่อนไขที่มุ่งสู่นโยบาย ยิ่งกว่านั้นเป็นสิ่งจำเป็นที่เงื่อนไขที่เป็นผลลัพธ์ของขั้นตอนการปฏิบัติได้ถูกตรวจสอบและแก้ไขให้ถูกต้อง

การติดตามการปฏิบัติขึ้นอยู่กับขนาดโครงสร้างองค์กร ซึ่งอาจวัดได้จากกระบวนการการรายงานผลอย่างเป็นทางการ ในบริษัทขนาดใหญ่เจ้าของธุรกิจได้บอกว่าทำไมบริษัทจึงไม่บรรลุเป้าหมายและจะทำอย่างไรเพื่อไม่ให้เกิดเหตุการณ์เช่นนี้อีก ในบริษัทขนาดเล็กเจ้าของจะพูดกับผู้จัดการด้านการผลิตเกี่ยวกับสิ่งที่ทำผิดและจะต้องดำเนินการอย่างไร

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

COSO กับการกำกับดูแลกิจการที่ดีและกิจกรรมควบคุม

ครั้งหน้าไปต่อกันในเรื่องของการควบคุมระบบข่าวสารข้อมูลกันครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. (ต่อ)

กันยายน 21, 2009

สวัสดีครับ ในครั้งที่แล้วผมได้พูดคุยถึงเรื่องของการสอบผลการทุจริต กรณียักยอกเงินของธนาคารอาคารสงเคราะห์ จำนวน 500 ล้านบาท ซึ่งธนาคารได้ทำการตรวจสอบและเผยแพร่ผลของการทุจริต ดังที่ผมได้นำเสนอไปแล้วในบางส่วนถึงสาเหตุและปัจจัยที่ทำให้พนักงานก่อการทุจริต และในวันนี้ผมจะมาเล่าต่อว่า ทางธนาคารมีการดำเนินการอย่างไรบ้าง หลังจากที่เกิดเหตุการณ์ทุจริตดังกล่าวนี้แล้ว ไปติดตามกันต่อเลยครับ

ภายหลังเกิดการทุจริต ธนาคารได้ดำเนินการปรับปรุงการทำงานในด้านต่าง ๆ เพื่อป้องกันสาเหตุที่ก่อให้เกิดการทุจริต ซึ่งสามารถจัดกลุ่มได้ดังนี้

กลุ่มกำหนดระบบรักษาความปลอดภัยของระบบ
1. การใช้ MENU HXFER, TRTRAN, TM ทำงานกำหนดให้พนักงานที่มี Work Class ตั้งแต่เกรด 9 ขึ้นไป จึงจะทำรายการได้ 1 คน ทำหน้าที่บันทึกและอีก 1 คน ทำหน้าที่ Verify ขณะนี้อยู่ระหว่าง Set Up และทดสอบระบบเพื่อป้องกันการเข้าถึงหัวบัญชีของ GL ประเภทรายได้และค่าใช้จ่าย

2. ปรับปรุงวงเงิน เงินฝาก ถอน รายการโอน เคลียริ่ง และยอดเงินสะสมคงเหลือในมือของ Teller ระดับต่าง ๆ ใหม่ ให้มีวงเงินที่ลดลงจากเดิม

3. การทำรายการเกิน Limit ตามข้อ 2 ต้องมีการ Override รายงานโดยพนักงานเกรด 9 ขึ้นไป

4. ปรับปรุงการทำงานบันทึกรายการด้วย MENU HXFER และ TM (Transaction Maintenance) โดยกำหนดให้มีระบบควบคุมการทำรายการมี Marker Checker ทุกครั้งที่ทำรายการ

5. กำหนดหัวบัญชี GL ที่สำคัญให้เป็นหน้าที่ของ Checker ซึ่งเป็นพนักงานเกรด 9 ขึ้นไป ที่จะทำการ Post transaction เท่านั้น

กลุ่มปรับปรุงกระบวนการทำงาน
1. การหมุนเวียนพนักงานสาขาหลักไปทำงานที่ Booth/oss/สาขาย่อย สาขาหลักจะต้องทำแผนล่วงหน้า 1 เดือน ส่งให้ฝ่ายงานต้นสังกัดอนุมัติและส่งให้ CORE TEAM เพื่อปรับ Work Class

2. การขอสร้างเปลี่ยนแปลง/แก้ไข หรือยกเลิกรหัสผู้ใช้งานเพื่อเข้าสู่ระบบ CBS กำหนดให้ ผอ.ฝ่าย/สำนัก เป็นผู้อนุมัติตามแบบฟอร์มที่กำหนด

3. การปรับปรุงกระบวนงานปฏิบัติงานของสาขาทั้งหมด โดยแต่งตั้งคณะกรรมการกำหนดกระบวนงานปฏิบัติสาขา และคณะทำงานกระบวนการปฏิบัติงานสาขา อีก 3 คณะ เพื่อดำเนินการปรับปรุง งานการเงินสาขา งานบัญชีสาขา และงานสินเชื่อสาขา

กลุ่มการปรับปรุงรายงานและผลการตรวจสอบ
1. การตรวจสอบรายละเอียดของรายการที่ทำไปแล้ว กำหนดให้ USER ใช้เมนู TI (Transaction Inquiry) ตรวจสอบรายละเอียดของรายการ

2. สายงาน IT ได้ปรับปรุงการออกรายงานสรุปยอดเดินรายการประจำวันของแต่ละสาขา โดยฝ่ายวางแผนปฏิบัติการสารสนเทศจะเป็นผู้ RUN ข้อมูลก่อนประมวลผลสิ้นวัน และให้สาขาเรียกรายงานตรวจสอบยันยอดเปรียบเทียบกับยอดรวม ในรายการยอดเดินรายการประจำวันของแต่ละสาขา ที่ใช้กระทบยอดเมื่อวันก่อน หากมียอดแตกต่างให้ตรวจสอบหาสาเหตุจากหน้าจอ CBS ที่เกี่ยวข้อง

กลุ่มปรับปรุงระเบียบปฏิบัติงานและการอบรม
1. ธนาคารได้ปรับปรุงระเบียบปฏิบัติงานด้านการเงิน ซึ่งประกอบด้วยระบบเงินฝาก การกำหนดวงเงินรับจ่ายของสำนักงานพระราม 9 และสาขา การกำหนดวงเงินสดในเมือเกินอำนาจอนุมัติของพนักงาน การใช้เมนู TM และ MENU HXFER

2. ธนาคารได้จัดประชุมทำความเข้าใจ และหารือในเรื่องเกี่ยวกับการตรวจสอบรายงานทางการเงิน เพื่อป้องกันทุจริตเมื่อวันที่ 27 มิ.ย. 2552

คณะกรรมการสอบสวนสรุปไว้อย่างน่าสนใจว่า จะเห็นว่าการปรับปรุงข้างต้นเป็นการสะท้อนให้เห็นถึงปัญหาข้อบกพร่อง และความไม่พร้อมของระบบคอร์แบงกิ้ง (Core Banking System : CBS) อันเป็นสาเหตุของการทุจริตที่เกิดขึ้น ซึ่งสอดคล้องกับสาเหตุที่คณะกรรมการสอบสวนข้อเท็จจริงสรุป

สำหรับเรื่องการทุจริตของ ธอส. ที่ผมได้หยิบยกมาเล่าสู่กันฟังในที่นี้ ก็น่าจะเป็นกรณีศึกษาทางด้านการตรวจสอบที่ผู้ตรวจสอบและผู้บริหารองค์กรทั้งหลาย ควรตระหนักและหาทางป้องกันเหตุการณ์ความเสี่ยงที่จะเกิดขึ้น ไม่ว่าจะเป็นเหตุการณ์ในลักษณะเดียวกันหรือคล้ายคลึงกันนี้ได้เป็นอย่างดี

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

CG+ITG+GRC กับ เกณฑ์การประเมินผลการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ของ ก.คลัง และ TRIS

กันยายน 17, 2009

เราได้คุยกันถึงเรื่อง การกำกับดูแลกิจการที่ดี ( CG-Corporate Governance ) ซึ่งมีหลีกการใหญ่ ๆ 7 ประการด้วยกัน โดยทั่วไปการบริหารและการจัดการเพื่อก้าวไปสู่ CG ก็ยังขาดความเป็นรูปธรรมหลายประการ ในรูปธรรมที่เกี่ยวกับองค์ประกอบในแต่ละข้อของ CG และรูปธรรมของการเชื่อมโยงการบริหารการจัดการ CG ทั้ง 7 ข้อเข้าด้วยกันในลักษณะเป็นอวัยวะภายในร่างกายเดียวกัน ซึ่งเป็นเรื่องของความเข้าใจ ความหมายและการปฏิบัติตามคำที่เรียกสั้น ๆ ว่า Interdependency Approach

นอกจากนี้ การบริหารแบบบูรณาการ โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยงตามกรอบของ COSO – ERM นั้น การบริหาร CG จะต้องบริหารควบคู่กันไปกับ ITG หรือ IT Governance ด้วยเสมอ

ผมได้เขียนและอธิบายความหมายและกรอบการดำเนินงานย่อ ๆ ของ IT Governance ไปแล้วในหัวข้อที่เกี่ยวข้อง ซึ่งอาจกล่าวได้ว่าเป็นกระบวนการบริหารจัดการที่เน้นความถูกต้อง และความน่าเชื่อถือได้ของข้อมูล หรือสารสนเทศที่เรียกว่า Information ที่ใช้ในการจัดการเพื่อการบริหารทั้งองค์กร ตามกรอบ และวัตถุประสงค์หลักของ COSO – ERM คือ การบริหาร Strategic Risk การบริหาร Operation Risk การบริหารรายงานต่าง ๆ รวมทั้งรายงานทางการเงิน ซึ่งอาจเรียกได้ว่า Reporting Risk หรือ Financial Risk รวมทั้งการบริหารการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ หรือ Compliance Risk ซึ่งเป็นหัวใจสำคัญอย่างยิ่งยวด ของความสำเร็จในการบริหารแบบบูรณาการตามหลักการของ GRC คือ Governance + Risk Management + Compliance ซึ่งเป็น Statement ใหม่ ที่เป็น First Priority ของโลกในปัจจุบัน เพราะ GRC เป็นตัวขับเคลื่อน Integrity – Driven Performance Strategy

แนวทางในการปรับเกณฑ์การประเมินผลการบริหารความเสี่ยง ประจำปี 2553

GRC ที่เป็นตัวขับเคลื่อนที่ทรงคุณภาพ ซึ่งเป็นการบริหารที่ก่อให้เกิดความเป็นรูปธรรมตามแนวทางการบริหาร COSO – ERM และในช่วงเวลาที่ผ่านมา การบริหารตามแนวทางดังกล่าว ยังไม่มีความเด่นชัดในเรื่องการบริหารแบบบูรณาการ ตามหลักการของ COSO มากนัก

กระทรวงการคลัง โดย สคร. ร่วมกับทริส จึงนำแนวทาง GRC มาเป็นส่วนหนึ่งของการขับเคลื่อนการบริหารความเสี่ยงที่เชื่อมโยงกับ Governance และ Compliance โดยมีคำจำกัดความในแต่ละคำของ GRC ที่ชัดเจนและเป็นรูปธรรมมากขึ้น ตามที่ผมได้เขียนไว้ในหัวข้อที่เกี่ยวข้องในช่วง 2 – 3 สัปดาห์ที่ผ่านมา

ในวันที่ 4 กันยายน 2552 ซึ่งเป็นวันที่ สคร. ชี้แจงแนวทางการประเมินการบริหารความเสี่ยง ประจำปี 2553 นั้น ผมก็ได้ทราบเป็นครั้งแรกว่า รัฐวิสาหกิจมีแนวความคิดที่ต้องการให้มีศูนย์กลางให้หน่วยงานรัฐวิสาหกิจต่าง ๆ ได้แลกเปลี่ยนความคิดเห็น รวมทั้งแนวทางการดำเนินงาน เทคโนโลยีสารสนเทศ การจัดกิจกรรมอบรม สร้างเสริมความรู้ ความเข้าใจให้กับผู้บริหารและพนักงานในองค์กร รวมทั้ง เพื่อจะทำให้การพัฒนาการดำเนินงานด้านบริหารความเสี่ยงในหน่วยงานรัฐวิสาหกิจ มีการพัฒนาได้รวดเร็ว ถูกต้อง และมีประสิทธิภาพมากยิ่งขึ้น โดยมีคุณสาริณี แสงประสิทธิ์ เป็นประธานชมรม ซึ่งมีเว็บไซต์เพื่อการสื่อสารกับทางชมรม คือ http://www.risk-seclub.org เพื่อเป็นช่องทางหนึ่งในการแลกเปลี่ยนความคิดเห็นกับหน่วยงานกำกับที่เกี่ยวข้องต่อไป

สคร. และทริส ได้ร่วมกันชี้แจงกับคณะอนุกรรมการประมวลผลด้านการบริหารความเสี่ยง ต่อหน่วยงานรัฐวิสาหกิจต่าง ๆ เมื่อวันที่ 4 กันยายน 2552 นั้น ได้แนะนำและชี้แจงแนวทางการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ ประจำปี 2553 ซึ่งจะได้กล่าวในตอนต่อ ๆ ไปนะครับ

1 ความเห็น | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »