การวัดศักยภาพ ประสิทธิภาพ ประสิทธิผลของการบริหาร เพื่อก้าวสู่การเติบโตอย่างยั่งยืน (ต่อ)

กรกฎาคม 3, 2009

การบริหารเชิงรุกเพื่อลดความเสี่ยงด้านการจัดการที่ดี ทุกท่านทราบดีแล้วว่าทุกองค์กรจะต้องจัดให้มีการบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management และองค์ประกอบอย่างหนึ่งของกระบวนการนี้ก็คือ การประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ (Inherent Risk) หลังจากนั้นจึงพิจารณาดูว่า การปฏิบัติงานขององค์กรในปัจจุบัน มีวิธีการอย่างไรในการควบคุมและจัดการกับความเสี่ยงเหล่านั้น โดยพิจารณาถึงแนวการจัดการต่าง ๆ โดยย่อ ดังนี้

– กระบวนการการดำเนินงานของธุรกิจ
– กิจกรรมการควบคุมภายใน
– การปฏิบัติงานของผู้บริหารและพนักงาน
– โครงสร้างทางธุรกิจและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติตดามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยง และวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจ

ผลการดำเนินงานและจัดการกับความเสี่ยงอย่างเป็นกระบวนการ โดยเฉพาะอย่างยิ่งทางด้าน IT ซึ่งเป็นการวัดคุณค่าจากสินทรัพย์ที่ไม่มีตัวตนเป็นส่วนใหญ่ หรือที่เรียกกันว่า Intangible Asset นั้น มีช่องว่างในการทำความเข้าใจของการวัด Performance Measurement ในทางปฏิบัติอยู่มาก เพราะส่วนใหญ่จะชินกับการวัดและเปรียบเทียบกับสินทรัพย์ที่มีตัวตน หรือ Tangible Asset เป็นส่วนใหญ่ ทำให้ดุลยภาพในการตัดสินใจทางด้านการลงทุน โดยเฉพาะทางด้านที่เกี่ยวข้องกับ IT Security ในแง่มุมต่าง ๆ ไม่อยู่ในฐานการตัดสินใจที่ถูกต้องเท่าที่ควร

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

ครั้งที่แล้ว ผมได้นำวิธีการวัดผลการบริหารกลยุทธ์ด้าน IT (IT Strategic Measures) และการวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management (IT Customer Measures) หรือการบริหารจัดการสารสนเทศ และในวันนี้ผมจะนำเสนอการวัดผลในอีก 2 ด้านที่เหลือ คือ การวัดผลด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT (IT Innovation and Learning)

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

และการวัดผลด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

จากการวัดประสิทธิภาพและประสิทธิผลการบริหารและการจัดการด้านเทคโนโลยีสารสนเทศ ตามแนวทางข้างต้น ท่านที่สนใจจะเห็นภาพได้ค่อนข้างชัดเจนว่า การวัดประสิทธิภาพของงานที่ต้องใช้ทรัพยากรทางด้านเทคโนโลยีสารสนเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารจะต้องให้ความสำคัญอย่างยิ่งต่อการเปรียบเทียบกับคุณค่าเพิ่ม ความเชื่อถือ จาก Intangible Asset ในมุมมองต่าง ๆ ตามหลัก Balance Scorecard ที่เกี่ยวข้อง

Perspective of the Risk Management and C-Levels

Perspective of the Risk Management and C-Levels

ในมุมมองของการบริหารความเสี่ยงทั่วทั้งองค์กร คณะกรรมการและผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องควรเข้าใจในลักษณะธุรกิจขององค์กรในภาพโดยรวม และควรเข้าใจความเสี่ยงที่เกิดจากปัจจัยภายในและปัจจัยภายนอก ที่มีผลกระทบต่อการบรรลุเป้าหมายขององค์กรในหลักการ 4 ข้อ ของ COSO คือ Stretegic + Operational + Financial/Reporting + Compliance

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ดังนั้น ความเสี่ยงที่เกิดจาก IT Risk ที่แสดงด้วยแผนภาพจะทำให้ท่านผู้อ่านเข้าใจถึงปัจจัยเสี่ยงต่าง ๆ อันเกิดจาก IT ที่มีผลกระทบต่อการบรรลุเป้าประสงค์ขององค์กรโดยรวมเป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การวัดศักยภาพ ประสิทธิภาพ ประสิทธิผลของการบริหาร เพื่อก้าวสู่การเติบโตอย่างยั่งยืน (ต่อ)

กรกฎาคม 3, 2009

การบริหารเชิงรุกเพื่อลดความเสี่ยงด้านการจัดการที่ดี ทุกท่านทราบดีแล้วว่าทุกองค์กรจะต้องจัดให้มีการบริหารความเสี่ยงอย่างเป็นกระบวนการ ตามหลักการของ COSO – Enterprise Risk Management และองค์ประกอบอย่างหนึ่งของกระบวนการนี้ก็คือ การประเมินความเสี่ยง โดยพิจารณาความเสี่ยงที่มีอยู่ก่อนทำการควบคุมใด ๆ (Inherent Risk) หลังจากนั้นจึงพิจารณาดูว่า การปฏิบัติงานขององค์กรในปัจจุบัน มีวิธีการอย่างไรในการควบคุมและจัดการกับความเสี่ยงเหล่านั้น โดยพิจารณาถึงแนวการจัดการต่าง ๆ โดยย่อ ดังนี้

– กระบวนการการดำเนินงานของธุรกิจ
– กิจกรรมการควบคุมภายใน
– การปฏิบัติงานของผู้บริหารและพนักงาน
– โครงสร้างทางธุรกิจและกระบวนการรายงาน
– การวัดผลการดำเนินงานและการติตดามผลของกิจกรรมต่าง ๆ
– วิธีการสื่อสารทั้งภายในและภายนอกองค์กร
– ทัศนคติของผู้บริหารต่อความเสี่ยง และวิธีการบริหารความเสี่ยง
– การปฏิบัติด้านบุคลากร
– การปฏิบัติต่อคู่ค้าและสัญญาทางธุรกิจ

ผลการดำเนินงานและจัดการกับความเสี่ยงอย่างเป็นกระบวนการ โดยเฉพาะอย่างยิ่งทางด้าน IT ซึ่งเป็นการวัดคุณค่าจากสินทรัพย์ที่ไม่มีตัวตนเป็นส่วนใหญ่ หรือที่เรียกกันว่า Intangible Asset นั้น มีช่องว่างในการทำความเข้าใจของการวัด Performance Measurement ในทางปฏิบัติอยู่มาก เพราะส่วนใหญ่จะชินกับการวัดและเปรียบเทียบกับสินทรัพย์ที่มีตัวตน หรือ Tangible Asset เป็นส่วนใหญ่ ทำให้ดุลยภาพในการตัดสินใจทางด้านการลงทุน โดยเฉพาะทางด้านที่เกี่ยวข้องกับ IT Security ในแง่มุมต่าง ๆ ไม่อยู่ในฐานการตัดสินใจที่ถูกต้องเท่าที่ควร

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

แนวความคิดและดุลยภาพ การวัดผลการดำเนินงานด้าน ITG ตามหลัก Balance Scorecard

ครั้งที่แล้ว ผมได้นำวิธีการวัดผลการบริหารกลยุทธ์ด้าน IT (IT Strategic Measures) และการวัดผลในอีกด้านหนึ่งที่ตอบสนองความต้องการของผู้ใช้ / ลูกค้า / Stakeholders ด้าน IT Management (IT Customer Measures) หรือการบริหารจัดการสารสนเทศ และในวันนี้ผมจะนำเสนอการวัดผลในอีก 2 ด้านที่เหลือ คือ การวัดผลด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT (IT Innovation and Learning)

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

แนวความคิดและการวัดผลการดำเนินงานด้านการสร้างเสริมนวัตกรรมและการเรียนรู้ทางด้าน IT

และการวัดผลด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

แนวความคิดและการวัดผลการดำเนินงานด้านการจัดการ IT (IT Internal Business Measures)

จากการวัดประสิทธิภาพและประสิทธิผลการบริหารและการจัดการด้านเทคโนโลยีสารสนเทศ ตามแนวทางข้างต้น ท่านที่สนใจจะเห็นภาพได้ค่อนข้างชัดเจนว่า การวัดประสิทธิภาพของงานที่ต้องใช้ทรัพยากรทางด้านเทคโนโลยีสารสนเทศนั้น จำเป็นอย่างยิ่งที่ผู้บริหารจะต้องให้ความสำคัญอย่างยิ่งต่อการเปรียบเทียบกับคุณค่าเพิ่ม ความเชื่อถือ จาก Intangible Asset ในมุมมองต่าง ๆ ตามหลัก Balance Scorecard ที่เกี่ยวข้อง

Perspective of the Risk Management and C-Levels

Perspective of the Risk Management and C-Levels

ในมุมมองของการบริหารความเสี่ยงทั่วทั้งองค์กร คณะกรรมการและผู้บริหาร รวมทั้งผู้ที่เกี่ยวข้องควรเข้าใจในลักษณะธุรกิจขององค์กรในภาพโดยรวม และควรเข้าใจความเสี่ยงที่เกิดจากปัจจัยภายในและปัจจัยภายนอก ที่มีผลกระทบต่อการบรรลุเป้าหมายขององค์กรในหลักการ 4 ข้อ ของ COSO คือ Stretegic + Operational + Financial/Reporting + Compliance

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ปัจจัยความเสี่ยงทางด้าน IT ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ต่าง ๆ ขององค์กร

ดังนั้น ความเสี่ยงที่เกิดจาก IT Risk ที่แสดงด้วยแผนภาพจะทำให้ท่านผู้อ่านเข้าใจถึงปัจจัยเสี่ยงต่าง ๆ อันเกิดจาก IT ที่มีผลกระทบต่อการบรรลุเป้าประสงค์ขององค์กรโดยรวมเป็นอย่างดี

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

กรกฎาคม 2, 2009

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

กรกฎาคม 2, 2009

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 29, 2009

สำหรับเนื้อหาที่จะเล่าสู่กันฟังในวันนี้จะเป็นเรื่องของวิธีการและเทคนิคในการระบุเหตุการณ์ ที่จะทำให้ผู้บริหารสามารถแยกแยะ/บ่งชี้เหตุการณ์ที่เป็นปัจจัยเสี่ยง เพื่อพิจารณาและประเมินค่าความเสี่ยงอันอาจส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขั้นต่อไปที่ผมจะนำเสนอในโอกาสหน้าครับ ส่วนโอกาสนี้ไปติดตามวิธีการและเทคนิคในการระบุเหตุการณ์ดังกล่าวกันเลยดีกว่าครับ

วิธีการและเทคนิคในการระบุเหตุการณ์
วิธีการแยกแยะเหตุการณ์ขององค์กรทั่วไป อาจประกอบด้วยเทคนิคกับเครื่องมือสนับสนุนหลาย ๆ เครื่องมือรวมกัน ตัวอย่างเช่น ผู้บริหารอาจใช้การสัมมนาเชิงปฏิบัติการกลุ่มเป็นส่วนหนึ่งของวิธีการแยกแยะเหตุการณ์ด้วยการใช้อุปกรณ์ช่วยที่อาศัยเทคโนโลยีในการช่วยเหลือผู้เข้าร่วม

เทคนิคการแยกแยะเหตุการณ์มองทั้งอดีตและอนาคต เทคนิคซึ่งมุ่งไปที่เหตุการณ์ในอดีตและแนวโน้มในอนาคต พิจารณาเรื่องประวัติเกี่ยวกับการจ่ายเงิน การเปลี่ยนแปลงราคาสินค้าและการสูญเสียเวลา เทคนิคซึ่งมุ่งเน้นไปที่การเปิดเผยอนาคต พิจารณาเรื่องการเปิดเผยการเปลี่ยนแปลงทางประชากร สภาพตลาดใหม่ และการดำเนินงานของคู่แข่ง

เทคนิคการแยกแยะเหตุการณ์จะขึ้นกับกลยุทธ์ของแต่ละองค์กร และแผนงานที่เกี่ยวข้องเป็นสำคัญ ดังนั้น ความเข้าใจในเรื่องการเลือกวิธีการระบุเหตุการณ์และปัจจัยเสี่ยง ผู้ที่เกี่ยวข้องจึงต้องทำความเข้าใจในกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กรเป็นอย่างดี

เทคนิคมีความหลากหลายมีระดับความซับซ้อนที่แตกต่างกัน เทคนิคที่ซับซ้อนกว่าส่วนใหญ่ในกิจกรรมทั่วไปมีความเฉพาะเจาะจงในทางอุตสาหกรรมและการให้บริการ แต่ส่วนใหญ่แล้วมาจากวิธีการปกติ ตัวอย่าง ทั้งการบริหารด้านการเงิน สุขภาพ และความปลอดภัยในอุตสาหกรรมใช้เทคนิคการติดตามเหตุการณ์ที่เสียหาย แม้ว่าเทคนิคเหล่านี้เริ่มต้นด้วยการมุ่งเน้นเหตุการณ์ทางประวัติศาสตร์โดยทั่วไป

เทคนิคการบ่งชี้ความเสี่ยง

เทคนิคการบ่งชี้ความเสี่ยง

วิธีการขั้นพื้นฐานจำนวนมากมองที่เหตุการณ์แฝงที่มีพื้นฐานบนแนวคิดเรื่องพนักงานภายใน ในขณะที่เทคนิคขั้นสูงจำนวนมากกว่าอยู่บนพื้นฐานของแหล่งที่เป็นจริงของเหตุการณ์ที่สังเกตได้ และจากนั้นได้นำข้อมูลเข้ามาสู่รูปแบบที่ซับซ้อน องค์กรที่มีความก้าวหน้ามากขึ้นในเรื่องการบริหารความเสี่ยงจะใช้หลาย ๆ เทคนิครวมกันเพื่อใช้พิจารณาทั้งเหตุการณ์แฝงในอดีตและอนาคต เทคนิคต่าง ๆ มีความหลากหลายในการใช้ภายในองค์กร บางเทคนิคมุ่งเน้นไปที่การวิเคราะห์ข้อมูลที่มีรายละเอียดและสร้างภาพของเหตุการณ์จากล่างขึ้นบน ในขณะที่เทคนิคอื่น ๆ มุ่งเน้นจากบนลงล่าง

ความลึก ความกว้าง เวลา และความมีวินัยในการแยกแยะเหตุการณ์มีความผันแปรท่ามกลางองค์กรต่าง ๆ ผู้บริหารขององค์กร ควรเลือกวิธีการซึ่งเหมาะสมกับวัฒนธรรมความเสี่ยงและมั่นใจว่าองค์กรพัฒนาความจำเป็นในการแยกแยะเหตุการณ์และสนับสนุนเทคนิคและเครื่องมือที่เหมาะสม ในภาพรวมความจำเป็นของวิธีแยกแยะเหตุการณ์มีความทนทานแข็งแรง เพราะก่อตัวมาจากพื้นฐานของการประเมินค่าความเสี่ยงและองค์ประกอบของการตอบสนองต่อความเสี่ยง

เทคนิคการระบุเหตุการณ์มีหลายเทคนิคทั้งเชิงปริมาณ (Quantitative) และเชิงคุณภาพ (Qualitative) เทคนิคเชิงปริมาณและการใช้ข้อมูลเชิงปริมาณอาจให้ผลลัพธ์ที่ชัดเจนและพิสูจน์ความถูกต้องทางสถิติได้ ซึ่งควรใช้กับเหตุการณ์ที่สำคัญและมีความซับซ้อน ในขณะที่เทคนิคเชิงคุณภาพและการใช้ข้อมูลเชิงคุณภาพ เช่น ดุลยพินิจ อาจให้ผลลัพธ์ที่ไม่แน่นอน รวมทั้งการพิจารณาอดีต (Past Event) และเหตุการณ์ในอนาคต (Potential Event)
โดยดูว่าเหตุการณ์ในอดีตเป็นอย่างไรและแนวโน้มในอนาคตเป็นอย่างไร เช่น พิจารณาข้อมูลการไม่ชำระหนี้ การไม่ปฏิบัติตามสัญญาในอดีต การเปลี่ยนแปลงราคาสินค้า หรือการเปลี่ยนแปลงจำนวนประชากร ตลาดใหม่และการแข่งขันของคู่แข่งทางการค้า สามารถที่จะจัดกลุ่มของเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นในอนาคต

อย่างไรก็ตาม การเลือกเทคนิคการระบุเหตุการณ์ไม่จำเป็นต้องใช้วิธีการที่เป็นแบบเดียวกันเสมอไป ขึ้นอยู่กับความจำเป็นที่ต้องการความแม่นยำของข้อมูลและสถานการณ์แวดล้อมอื่น เช่น ความเสี่ยงเกี่ยวกับการลงทุนซื้อหุ้น ควรใช้เทคนิคเชิงคุณภาพ ได้แก่การตัดสินใจโดยใช้ดุลยพินิจที่ระมัดระวังรอบคอบ เป็นต้น

การพึ่งพากันของเหตุการณ์
เหตุการณ์ไม่ได้เกิดขึ้นอย่างลำพัง เหตุการณ์หนึ่งก่อให้เกิดอีกเหตุการณ์หนึ่ง และเหตุการณ์สามารถเกิดขึ้นพร้อมกันได้ ในการแยกแยะเหตุการณ์ ผู้บริหารองค์กร ควรมีความเข้าใจว่าเหตุการณ์ต่าง ๆ สัมพันธ์กันอย่างไร

จากการประเมินค่าความสัมพันธ์ระหว่างกัน เหตุการณ์สามารถกำหนดได้ว่าความพยายามจากการบริหารความเสี่ยงไปในทิศทางใดดีที่สุด ตัวอย่างเช่น การเปลี่ยนแปลงอัตราดอกเบี้ยของธนาคารกลางส่งผลต่ออัตราแลกเปลี่ยนต่างประเทศ รวมทั้งกำไรขาดทุนในการเดินบัญชีของบริษัท การตัดสินใจที่จะตัดทอนเป็นการถ่วงการยกระดับในระบบการกระจายการบริหาร ทำให้เสียเวลาเพิ่มขึ้นและมีค่าใช้จ่ายในการดำเนินการสูงขึ้น เป็นต้น

ตัวอย่างกระบวนทัศน์และแนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์ทางด้านการดำเนินงานที่เกี่ยวเนื่องกันบางประการที่สามารถอธิบายย่อ ๆ ด้วยแผนภาพได้ดังนี้

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ครั้งหน้าไปติดตามการจัดกลุ่มของเหตุการณ์กันต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 29, 2009

สำหรับเนื้อหาที่จะเล่าสู่กันฟังในวันนี้จะเป็นเรื่องของวิธีการและเทคนิคในการระบุเหตุการณ์ ที่จะทำให้ผู้บริหารสามารถแยกแยะ/บ่งชี้เหตุการณ์ที่เป็นปัจจัยเสี่ยง เพื่อพิจารณาและประเมินค่าความเสี่ยงอันอาจส่งผลต่อการบรรลุวัตถุประสงค์ขององค์กร ซึ่งเป็นกระบวนการบริหารความเสี่ยงและการควบคุมภายในขั้นต่อไปที่ผมจะนำเสนอในโอกาสหน้าครับ ส่วนโอกาสนี้ไปติดตามวิธีการและเทคนิคในการระบุเหตุการณ์ดังกล่าวกันเลยดีกว่าครับ

วิธีการและเทคนิคในการระบุเหตุการณ์
วิธีการแยกแยะเหตุการณ์ขององค์กรทั่วไป อาจประกอบด้วยเทคนิคกับเครื่องมือสนับสนุนหลาย ๆ เครื่องมือรวมกัน ตัวอย่างเช่น ผู้บริหารอาจใช้การสัมมนาเชิงปฏิบัติการกลุ่มเป็นส่วนหนึ่งของวิธีการแยกแยะเหตุการณ์ด้วยการใช้อุปกรณ์ช่วยที่อาศัยเทคโนโลยีในการช่วยเหลือผู้เข้าร่วม

เทคนิคการแยกแยะเหตุการณ์มองทั้งอดีตและอนาคต เทคนิคซึ่งมุ่งไปที่เหตุการณ์ในอดีตและแนวโน้มในอนาคต พิจารณาเรื่องประวัติเกี่ยวกับการจ่ายเงิน การเปลี่ยนแปลงราคาสินค้าและการสูญเสียเวลา เทคนิคซึ่งมุ่งเน้นไปที่การเปิดเผยอนาคต พิจารณาเรื่องการเปิดเผยการเปลี่ยนแปลงทางประชากร สภาพตลาดใหม่ และการดำเนินงานของคู่แข่ง

เทคนิคการแยกแยะเหตุการณ์จะขึ้นกับกลยุทธ์ของแต่ละองค์กร และแผนงานที่เกี่ยวข้องเป็นสำคัญ ดังนั้น ความเข้าใจในเรื่องการเลือกวิธีการระบุเหตุการณ์และปัจจัยเสี่ยง ผู้ที่เกี่ยวข้องจึงต้องทำความเข้าใจในกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กรเป็นอย่างดี

เทคนิคมีความหลากหลายมีระดับความซับซ้อนที่แตกต่างกัน เทคนิคที่ซับซ้อนกว่าส่วนใหญ่ในกิจกรรมทั่วไปมีความเฉพาะเจาะจงในทางอุตสาหกรรมและการให้บริการ แต่ส่วนใหญ่แล้วมาจากวิธีการปกติ ตัวอย่าง ทั้งการบริหารด้านการเงิน สุขภาพ และความปลอดภัยในอุตสาหกรรมใช้เทคนิคการติดตามเหตุการณ์ที่เสียหาย แม้ว่าเทคนิคเหล่านี้เริ่มต้นด้วยการมุ่งเน้นเหตุการณ์ทางประวัติศาสตร์โดยทั่วไป

เทคนิคการบ่งชี้ความเสี่ยง

เทคนิคการบ่งชี้ความเสี่ยง

วิธีการขั้นพื้นฐานจำนวนมากมองที่เหตุการณ์แฝงที่มีพื้นฐานบนแนวคิดเรื่องพนักงานภายใน ในขณะที่เทคนิคขั้นสูงจำนวนมากกว่าอยู่บนพื้นฐานของแหล่งที่เป็นจริงของเหตุการณ์ที่สังเกตได้ และจากนั้นได้นำข้อมูลเข้ามาสู่รูปแบบที่ซับซ้อน องค์กรที่มีความก้าวหน้ามากขึ้นในเรื่องการบริหารความเสี่ยงจะใช้หลาย ๆ เทคนิครวมกันเพื่อใช้พิจารณาทั้งเหตุการณ์แฝงในอดีตและอนาคต เทคนิคต่าง ๆ มีความหลากหลายในการใช้ภายในองค์กร บางเทคนิคมุ่งเน้นไปที่การวิเคราะห์ข้อมูลที่มีรายละเอียดและสร้างภาพของเหตุการณ์จากล่างขึ้นบน ในขณะที่เทคนิคอื่น ๆ มุ่งเน้นจากบนลงล่าง

ความลึก ความกว้าง เวลา และความมีวินัยในการแยกแยะเหตุการณ์มีความผันแปรท่ามกลางองค์กรต่าง ๆ ผู้บริหารขององค์กร ควรเลือกวิธีการซึ่งเหมาะสมกับวัฒนธรรมความเสี่ยงและมั่นใจว่าองค์กรพัฒนาความจำเป็นในการแยกแยะเหตุการณ์และสนับสนุนเทคนิคและเครื่องมือที่เหมาะสม ในภาพรวมความจำเป็นของวิธีแยกแยะเหตุการณ์มีความทนทานแข็งแรง เพราะก่อตัวมาจากพื้นฐานของการประเมินค่าความเสี่ยงและองค์ประกอบของการตอบสนองต่อความเสี่ยง

เทคนิคการระบุเหตุการณ์มีหลายเทคนิคทั้งเชิงปริมาณ (Quantitative) และเชิงคุณภาพ (Qualitative) เทคนิคเชิงปริมาณและการใช้ข้อมูลเชิงปริมาณอาจให้ผลลัพธ์ที่ชัดเจนและพิสูจน์ความถูกต้องทางสถิติได้ ซึ่งควรใช้กับเหตุการณ์ที่สำคัญและมีความซับซ้อน ในขณะที่เทคนิคเชิงคุณภาพและการใช้ข้อมูลเชิงคุณภาพ เช่น ดุลยพินิจ อาจให้ผลลัพธ์ที่ไม่แน่นอน รวมทั้งการพิจารณาอดีต (Past Event) และเหตุการณ์ในอนาคต (Potential Event)
โดยดูว่าเหตุการณ์ในอดีตเป็นอย่างไรและแนวโน้มในอนาคตเป็นอย่างไร เช่น พิจารณาข้อมูลการไม่ชำระหนี้ การไม่ปฏิบัติตามสัญญาในอดีต การเปลี่ยนแปลงราคาสินค้า หรือการเปลี่ยนแปลงจำนวนประชากร ตลาดใหม่และการแข่งขันของคู่แข่งทางการค้า สามารถที่จะจัดกลุ่มของเหตุการณ์ที่มีความเป็นไปได้ที่จะเกิดขึ้นในอนาคต

อย่างไรก็ตาม การเลือกเทคนิคการระบุเหตุการณ์ไม่จำเป็นต้องใช้วิธีการที่เป็นแบบเดียวกันเสมอไป ขึ้นอยู่กับความจำเป็นที่ต้องการความแม่นยำของข้อมูลและสถานการณ์แวดล้อมอื่น เช่น ความเสี่ยงเกี่ยวกับการลงทุนซื้อหุ้น ควรใช้เทคนิคเชิงคุณภาพ ได้แก่การตัดสินใจโดยใช้ดุลยพินิจที่ระมัดระวังรอบคอบ เป็นต้น

การพึ่งพากันของเหตุการณ์
เหตุการณ์ไม่ได้เกิดขึ้นอย่างลำพัง เหตุการณ์หนึ่งก่อให้เกิดอีกเหตุการณ์หนึ่ง และเหตุการณ์สามารถเกิดขึ้นพร้อมกันได้ ในการแยกแยะเหตุการณ์ ผู้บริหารองค์กร ควรมีความเข้าใจว่าเหตุการณ์ต่าง ๆ สัมพันธ์กันอย่างไร

จากการประเมินค่าความสัมพันธ์ระหว่างกัน เหตุการณ์สามารถกำหนดได้ว่าความพยายามจากการบริหารความเสี่ยงไปในทิศทางใดดีที่สุด ตัวอย่างเช่น การเปลี่ยนแปลงอัตราดอกเบี้ยของธนาคารกลางส่งผลต่ออัตราแลกเปลี่ยนต่างประเทศ รวมทั้งกำไรขาดทุนในการเดินบัญชีของบริษัท การตัดสินใจที่จะตัดทอนเป็นการถ่วงการยกระดับในระบบการกระจายการบริหาร ทำให้เสียเวลาเพิ่มขึ้นและมีค่าใช้จ่ายในการดำเนินการสูงขึ้น เป็นต้น

ตัวอย่างกระบวนทัศน์และแนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์ทางด้านการดำเนินงานที่เกี่ยวเนื่องกันบางประการที่สามารถอธิบายย่อ ๆ ด้วยแผนภาพได้ดังนี้

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ตัวอย่าง แนวคิดของการพิจารณาการบริหารความเสี่ยงและการพึ่งพาของเหตุการณ์

ครั้งหน้าไปติดตามการจัดกลุ่มของเหตุการณ์กันต่อครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย

มิถุนายน 24, 2009

พูดคุยกันถึงเรื่องเกี่ยวกับการทุจริตและการตรวจสอบการทุจริตมาก็หลายครั้งหลายครา โดยเฉพาะอย่างยิ่งการทุจริตในวงการของสถาบันการเงิน ซึ่งพักนี้มีข่าวคราวการทุจริตของสถาบันการเงินเปิดเผยออกมาให้ทราบกันหลายองค์กรทีเดียว ผมคิดว่าเป็นเรื่องสำคัญที่ผู้บริหารองค์กร ผู้ตรวจสอบ ต้องให้ความสนใจเป็นอย่างยิ่ง

เมื่อพูดถึงการทุจริตและการตรวจสอบ ยังคงมีเรื่องราวอีกมากมายที่น่าสนใจและต้องติดตาม อย่าเพิ่งเบื่อกันก่อนนะครับ เพราะในวันนี้ผมก็จะกล่าวถึงการทุจริตที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศร่วมด้วย ซึ่งก็ยังเป็นเรื่องราวของการทุจริตอยู่เช่นเดิม ไปติดตามกันต่อเลยดีกว่าครับ

การทุจริตกับจุดอ่อนในการพัฒนาระบบเทคโนโลยีสารสนเทศ
การทุจริต คือ การกระทำใด ๆ ไม่ว่าจะใช้วิธีธรรมดา (Manual) หรือใช้ระบบเทคโนโลยีสารสนเทศ (IT) เข้าช่วย หรือผสมผสานกันไป ซึ่งกฎหมายหรือระเบียบที่ระบุว่าเป็น
– การฉ้อฉล
– หลอกลวง
– ปกปิด หรือ
– ละเมิดอำนาจหน้าที่ตามความรับผิดชอบหรือจรรยาบรรณในการปฏิบัติงานที่ดีและ
– เป็นการกระทำที่เกิดขึ้นโดยปราศจากการข่มขู่บังคับหรือมีเหตุบีบคั้นจากผู้อื่น
– เป็นการกระทำของบุคคล กลุ่มบุคคล หรือองค์กร เพื่อให้ได้มาซึ่งทรัพย์สินเงินทอง หรือข้อมูล หรือบริการพิเศษ เช่น การเพิกเฉย ละเลย การจ่ายเงินหรือให้บริการ หรือ

ตามคำจำกัดความของสมาคมผู้ตรวจสอบภายในของอเมริกา – สากล
– การทุจริต เป็นการกระทำเพื่อก่อให้เกิดผลประโยชน์ส่วนตัวหรือผู้อื่น หรือเอื้อผลประโยชน์ต่อธุรกิจอื่น ซึ่งเป็น Conflict of Interest ไม่ว่าจะทางตรงหรือทางอ้อม

จุดอ่อนที่ก่อให้เกิดการทุจริตด้านเทคโนโลยีสารสนเทศ
องค์กรที่มีผู้บริหารที่เข้าใจในเรื่องการบริหารความเสี่ยง (Risk Management) ที่มีการจัดทำระบบการควบคุมภายใน และจัดให้มีการตรวจสอบตามฐานความเสี่ยงซึ่งอยู่ภายในการกำกับดูแลกิจการที่ดีนั้น ควรจะได้ให้ความสนใจในการจัดให้มีและฝังระบบ (Embeded) การควบคุมและแนวการตรวจสอบภายในไว้ตั้งแต่ขั้นตอนการพัฒนาระบบงาน เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพตั้งแต่เริ่มแรก โดยกำหนดร่องรอยสำหรับการบริหารงานหรือแนวการตรวจสอบเป็น Audit Program ในแต่ละงาน และจัดให้มีผู้ตรวจสอบภายในมีส่วนร่วมจัดทำข้อมูลที่ใช้ในการทดสอบและประเมินผลการทดสอบก่อนนำระบบงานใหม่ไปใช้

ทั้งนี้ เพื่อป้องกันปัญหาต่างๆ ในการปฏิบัติงานตรวจสอบในภาคปฏิบัติจริง เพราะการไม่มีผู้ตรวจสอบภายใน (Internal Auditor) เข้าร่วมประเมินความน่าเชื่อถือได้ของระบบการปฏิบัติงาน ซึ่งรวมทั้งข้อมูลที่ผู้ใช้ (User) ต้องการในระดับต่าง ๆ ตามที่กำหนดไว้ในกรอบการปฏิบัติงาน ไม่ว่าหน่วยงานนั้น ๆ จะพัฒนา Application Program ขึ้นมาเอง หรือจะใช้โปรแกรมสำเร็จรูป (Package) จากผู้พัฒนาระบบงานภายนอกแล้วมาปรับระบบงานและการจัดทำรายงานให้เหมาะสมกับองค์กรนั้น ๆ บางส่วน (Modify and/or Customize) ก็ตาม

วิธีการดังกล่าวจะมีลักษณะการปฏิบัติงานเชิงป้องกันปัญหา (Proactive) ก่อนเกิดปัญหาต่าง ๆ ในการบริหารงานและการปฏิบัติงานของผู้บริหารและผู้ตรวจสอบภายในองค์กร ซึ่งจะสร้างประสิทธิภาพและประสิทธิผลในการดำเนินการและสอดคล้องกับการบริหารความเสี่ยง (Risk Management) ขององค์กรยุคปัจจุบันซึ่งบริหารในลักษณะ “ชี้ปัญหาให้ออก บอกประเด็นที่ต้องการทดสอบให้ถูก ชี้ประเด็นที่ต้องการในการตรวจสอบให้ได้ แล้วจัดวางระบบให้สอดคล้องกับความต้องการอย่างมีประสิทธิภาพก่อนที่จะเกิดปัญหาและความเสียหายภายหลัง”… ให้สอดคล้องกับกระบวนปฏิบัติงานของธุรกิจ โดยคำนึงถึงประสิทธิภาพของการใช้ระบบเทคโนโลยีสารสนเทศที่สามารถจะเอื้อประโยชน์ต่อการบริหารงานและการดำเนินงานขององค์กรในรูปแบบต่าง ๆ โดยเฉพาะการใช้เทคโนโลยีสารสนเทศเพื่อการจัดการ ควบคุม ตรวจสอบ เพื่อให้ได้ผลลัพธ์ที่ต้องการอย่างอัตโนมัติ รวดเร็ว และถูกต้องอย่างทันเวลา

ท่านผู้อ่านมีความเห็นเป็นอย่างไรบ้างครับ สำหรับแนวคิดและวิธีการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่จะเกิดปัญหา ในครั้งหน้าผมจะมาพูดคุยกันต่อถึงการพัฒนาระบบงาน และจุดอ่อนของการพัฒนาระบบงานภายนอกที่นำมาปรับใช้ เพื่อให้การควบคุมภายในมีระบบการจัดการที่มีประสิทธิภาพ โปรดติดตามต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 21, 2009

ครั้งที่แล้วผมได้นำเสนอภาพเพื่อให้เข้าใจได้อย่างชัดเจนขึ้นถึงการวางแผนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงขององค์กร ซึ่งผู้บริหารองค์กรจะต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ให้เป็นไปในแนวทางเดียวกันกับความเสี่ยงที่ยอมรับได้

วันนี้ผมจะกล่าวถึงการระบุเหตุการณ์ (Event Identification) ที่จะส่งผลต่อการบรรลุวัตถุประสงค์หรือการนำกลยุทธ์ไปปฏิบัติ เพื่อบ่งชี้หรือระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กร

หลังจากที่ผู้บริหารองค์กรได้วางแผนการบริหารความเสี่ยงและกำหนดระดับความเสี่ยงที่องค์กรยอมรับได้แล้ว ซึ่งรายละเอียดของเกณฑ์ความสามารถในการยอมรับความเสี่ยงผมจะได้กล่าวถึงในโอกาสต่อไป ผู้บริหารองค์กรจะต้องระบุเหตุการณ์ที่จะส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ทั้งเหตุการณ์ที่จะส่งผลในด้านบวกและด้านลบต่อองค์กร

ผู้บริหารที่แยกแยะเหตุการณ์ที่แฝงอยู่ได้จะส่งผลต่อความสามารถขององค์กรในการที่จะประสบความสำเร็จในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ เหตุการณ์ที่มีแนวโน้มที่ส่งผลลบทำให้เกิดความเสี่ยง ซึ่งจำเป็นต้องได้รับการประเมินและการตอบสนองจากผู้บริหาร

ส่วนเหตุการณ์ที่มีแนวโน้มที่ส่งผลบวกจะชดเชยผลกระทบทางลบหรือสร้างโอกาสได้ ช่องทางของผู้บริหาร คือ การกลับไปสู่กระบวนการตั้งวัตถุประสงค์และกลยุทธ์ ความหลากหลายของปัจจัยภายในและภายนอกทำให้เกิดเหตุการณ์ขึ้น เมื่อผู้บริหารได้แยกแยะเหตุการณ์ที่ซ่อนอยู่ ผู้บริหารจะพิจารณาองค์กรโดยรวม และพิจารณาบริบทในองค์กรที่กำลังดำเนินการกับระดับความเสี่ยงที่ยอมรับได้

เหตุการณ์
เหตุการณ์ หมายถึง เหตุหรือกรณีที่เกิดขึ้นจากแหล่งภายในหรือภายนอก ที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ซึ่งอาจมีผลทางด้านบวก ด้านลบหรือทั้งสองด้าน

ผู้บริหารจะต้องระลึกไว้ว่าความไม่แน่นอนยังคงอยู่แต่ไม่สามารถรู้ได้ว่าเมื่อไรจะเกิดเหตุการณ์หรือผลลัพธ์เป็นอย่างไร และต้องพิจารณาในเบื้องต้นเกี่ยวกับขอบเขตของเหตุการณ์ซึ่งส่งผลกระทบต่อปัจจัยภายในและภายนอกโดยปราศจากการมุ่งเน้นว่าผลที่ได้รับจะเป็นบวกหรือลบ

ขอบเขตของเหตุการณ์ที่แฝงอยู่มีระดับจากเห็นได้ชัดจนถึงคลุมเครือ และการแฝงมีผลกระทบจากสำคัญไปจนถึงไม่สำคัญ เพื่อหลีกเลี่ยงการมองข้ามเหตุการณ์ที่เกี่ยวข้องกัน การแยกแยะเป็นการกระทำที่ดีที่สุดในการประเมินค่าความเป็นไปได้ของการเกิดเหตุการณ์ ซึ่งจะอธิบายในหัวข้อของการประเมินค่าความเสี่ยงต่อไป

อย่างไรก็ตามข้อจำกัดยังคงมีอยู่และเป็นการยากที่จะแยกแยะเหตุการณ์ที่แฝงอยู่ แต่แม้ว่าเหตุการณ์ที่แฝงอยู่กับความเป็นไปได้ที่จะเกิดขึ้นไม่มาก ก็ไม่ควรจะถูกเพิกเฉยในขั้นตอนการแยกแยะเหตุการณ์ หากผลที่แฝงอยู่บนความสำเร็จของวัตถุประสงค์ที่สำคัญที่จะนำไปสู่เป้าหมายที่กำหนดไว้

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การบ่งชี้/ระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กรทั่วไป
1. ชี้/ระบุปัจจัยเสี่ยงที่อาจไม่บรรลุเป้าประสงค์ในแต่ละกิจกรรมและแต่ละขั้นตอนหลัก ๆ ซึ่งอาจจะเกิดจากปัจจัยภายในและปัจจัยภายนอก ซึ่งก่อให้เกิดเป็นความไม่แน่นอนต่อการบรรลุวัตถุประสงค์ที่นำไปสู่วิสัยทัศน์ขององค์กรในกรอบเวลาที่กำหนด

2. ระบุเหตุการณ์ที่อาจทำให้แผนงานไม่อาจบรรลุกิจกรรมและขั้นตอนตามเวลาที่กำหนดได้ เช่น ความสามารถของบุคลากร ประสิทธิภาพในการดำเนินงาน ระบบงานไม่เอื้ออำนวย และสภาพแวดล้อมที่ไม่เหมาะสมในการขับเคลื่อนแผนงานให้ไปสู่ความสำเร็จได้

การระบุความเสี่ยงของแผนงาน/โครงการในกรอบวัตถุประสงค์หลัก 4 ด้าน
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk)
3. ความเสี่ยงด้านการเงิน (Financial Risk)
4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
ซึ่งความเสี่ยงทั้ง 4 ด้านข้างต้นนี้ ผมเคยได้พูดถึงในครั้งที่ผ่าน ๆ มาแล้ว

ในครั้งหน้าผมจะมาเล่าถึงเทคนิคและวิธีการในการระบุเหตุการณ์ ซึ่งเป็นเรื่องสำคัญที่ผู้บริหารองค์กรควรจะได้ติดตามต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 21, 2009

ครั้งที่แล้วผมได้นำเสนอภาพเพื่อให้เข้าใจได้อย่างชัดเจนขึ้นถึงการวางแผนการบริหารความเสี่ยงและการกำหนดระดับความเสี่ยงขององค์กร ซึ่งผู้บริหารองค์กรจะต้องพิจารณาความสำคัญของวัตถุประสงค์ที่สัมพันธ์กันและวางระดับความเสี่ยงที่ยอมรับได้ให้เป็นไปในแนวทางเดียวกันกับความเสี่ยงที่ยอมรับได้

วันนี้ผมจะกล่าวถึงการระบุเหตุการณ์ (Event Identification) ที่จะส่งผลต่อการบรรลุวัตถุประสงค์หรือการนำกลยุทธ์ไปปฏิบัติ เพื่อบ่งชี้หรือระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กร

หลังจากที่ผู้บริหารองค์กรได้วางแผนการบริหารความเสี่ยงและกำหนดระดับความเสี่ยงที่องค์กรยอมรับได้แล้ว ซึ่งรายละเอียดของเกณฑ์ความสามารถในการยอมรับความเสี่ยงผมจะได้กล่าวถึงในโอกาสต่อไป ผู้บริหารองค์กรจะต้องระบุเหตุการณ์ที่จะส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ทั้งเหตุการณ์ที่จะส่งผลในด้านบวกและด้านลบต่อองค์กร

ผู้บริหารที่แยกแยะเหตุการณ์ที่แฝงอยู่ได้จะส่งผลต่อความสามารถขององค์กรในการที่จะประสบความสำเร็จในการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์ เหตุการณ์ที่มีแนวโน้มที่ส่งผลลบทำให้เกิดความเสี่ยง ซึ่งจำเป็นต้องได้รับการประเมินและการตอบสนองจากผู้บริหาร

ส่วนเหตุการณ์ที่มีแนวโน้มที่ส่งผลบวกจะชดเชยผลกระทบทางลบหรือสร้างโอกาสได้ ช่องทางของผู้บริหาร คือ การกลับไปสู่กระบวนการตั้งวัตถุประสงค์และกลยุทธ์ ความหลากหลายของปัจจัยภายในและภายนอกทำให้เกิดเหตุการณ์ขึ้น เมื่อผู้บริหารได้แยกแยะเหตุการณ์ที่ซ่อนอยู่ ผู้บริหารจะพิจารณาองค์กรโดยรวม และพิจารณาบริบทในองค์กรที่กำลังดำเนินการกับระดับความเสี่ยงที่ยอมรับได้

เหตุการณ์
เหตุการณ์ หมายถึง เหตุหรือกรณีที่เกิดขึ้นจากแหล่งภายในหรือภายนอก ที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติหรือการบรรลุวัตถุประสงค์ ซึ่งอาจมีผลทางด้านบวก ด้านลบหรือทั้งสองด้าน

ผู้บริหารจะต้องระลึกไว้ว่าความไม่แน่นอนยังคงอยู่แต่ไม่สามารถรู้ได้ว่าเมื่อไรจะเกิดเหตุการณ์หรือผลลัพธ์เป็นอย่างไร และต้องพิจารณาในเบื้องต้นเกี่ยวกับขอบเขตของเหตุการณ์ซึ่งส่งผลกระทบต่อปัจจัยภายในและภายนอกโดยปราศจากการมุ่งเน้นว่าผลที่ได้รับจะเป็นบวกหรือลบ

ขอบเขตของเหตุการณ์ที่แฝงอยู่มีระดับจากเห็นได้ชัดจนถึงคลุมเครือ และการแฝงมีผลกระทบจากสำคัญไปจนถึงไม่สำคัญ เพื่อหลีกเลี่ยงการมองข้ามเหตุการณ์ที่เกี่ยวข้องกัน การแยกแยะเป็นการกระทำที่ดีที่สุดในการประเมินค่าความเป็นไปได้ของการเกิดเหตุการณ์ ซึ่งจะอธิบายในหัวข้อของการประเมินค่าความเสี่ยงต่อไป

อย่างไรก็ตามข้อจำกัดยังคงมีอยู่และเป็นการยากที่จะแยกแยะเหตุการณ์ที่แฝงอยู่ แต่แม้ว่าเหตุการณ์ที่แฝงอยู่กับความเป็นไปได้ที่จะเกิดขึ้นไม่มาก ก็ไม่ควรจะถูกเพิกเฉยในขั้นตอนการแยกแยะเหตุการณ์ หากผลที่แฝงอยู่บนความสำเร็จของวัตถุประสงค์ที่สำคัญที่จะนำไปสู่เป้าหมายที่กำหนดไว้

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การระบุเหตุการ์/ปัจจัยเสี่ยงและแนวคิดการบริหารความเสี่ยงบางประการ

การบ่งชี้/ระบุความเสี่ยงในมิติต่าง ๆ ตามกลยุทธ์และแผนงาน/โครงการต่าง ๆ ขององค์กรทั่วไป
1. ชี้/ระบุปัจจัยเสี่ยงที่อาจไม่บรรลุเป้าประสงค์ในแต่ละกิจกรรมและแต่ละขั้นตอนหลัก ๆ ซึ่งอาจจะเกิดจากปัจจัยภายในและปัจจัยภายนอก ซึ่งก่อให้เกิดเป็นความไม่แน่นอนต่อการบรรลุวัตถุประสงค์ที่นำไปสู่วิสัยทัศน์ขององค์กรในกรอบเวลาที่กำหนด

2. ระบุเหตุการณ์ที่อาจทำให้แผนงานไม่อาจบรรลุกิจกรรมและขั้นตอนตามเวลาที่กำหนดได้ เช่น ความสามารถของบุคลากร ประสิทธิภาพในการดำเนินงาน ระบบงานไม่เอื้ออำนวย และสภาพแวดล้อมที่ไม่เหมาะสมในการขับเคลื่อนแผนงานให้ไปสู่ความสำเร็จได้

การระบุความเสี่ยงของแผนงาน/โครงการในกรอบวัตถุประสงค์หลัก 4 ด้าน
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk)
3. ความเสี่ยงด้านการเงิน (Financial Risk)
4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
ซึ่งความเสี่ยงทั้ง 4 ด้านข้างต้นนี้ ผมเคยได้พูดถึงในครั้งที่ผ่าน ๆ มาแล้ว

ในครั้งหน้าผมจะมาเล่าถึงเทคนิคและวิธีการในการระบุเหตุการณ์ ซึ่งเป็นเรื่องสำคัญที่ผู้บริหารองค์กรควรจะได้ติดตามต่อไปครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »