ปัจจัยแห่งความสำเร็จและแนวความคิดทางด้าน IT Governance บางประการ

มิถุนายน 8, 2009

การสร้างคุณค่าเพิ่มให้กับองค์กรเพื่อผลประโยชน์ของ Stakeholders ซึ่งแน่นอนว่าได้รวม Shareholders เข้าไปด้วยแล้วนั้น จะประสบความสำเร็จเป็นรูปธรรมได้ก็ต่อเมื่อคณะกรรมการ และผู้บริหารต้องส่งสัญญาณและแนวทางที่ชัดเจนในการขับเคลื่อนองค์กร โดยใช้หลักการการกำกับดูแลกิจการที่ดี หรือ CG ควบคู่กันไปกับ IT Governance ซึ่งแยกกันไม่ได้ตามที่ได้กล่าวมาในครั้งก่อน ๆ แล้ว

แนวความคิดที่จะนำไปสู่การปฏิบัติในการขับเคลื่อน CG ควบคู่กันไปกับ ITG ในมุมมองโดยรวม มีดังนี้

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

จุดมุ่งหมายของการประกอบธุรกิจที่ดีด้วย Information Technology (IT)
1.สามารถลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินกิจการ
2.สร้างแนวทางในการหารายได้ใหม่ ๆ
3.สนองตอบความต้องการขององค์กร
4.สร้างมูลค่าเพิ่มให้กับองค์กร
5.สร้างรูปแบบใหม่ในการดำเนินธุรกิจขององค์กร
6.สร้างความสามารถในการแข่งขันด้วย ITG

ปัจจัยแห่งความสำเร็จ
1. ควรคำนึงถึงตลอดเวลาว่า IT เป็นส่วนหนึ่งขององค์กรและกลยุทธ์ การดำเนินงานทางด้าน IT เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดี

2. รับรู้ปัญหาทางด้าน IT และวิธีการที่ฝ่ายจัดการว่าจ้างผู้เชี่ยวชาญภายนอกเข้ามาช่วยแก้ไขปัญหา รวมทั้งความเสี่ยงคงเหลือขององค์กร

3. การกำหนดวัตถุประสงค์ รายละเอียด และการนำ IT ไปใช้ ควรมีพื้นฐานมาจากความต้องการขององค์กร ด้วยความคิดที่เป็นระบบ และมีขั้นตอน

4. ควรพิจารณาแต่งตั้งสมาชิกในคณะกรรมการตรวจสอบที่มีความรู้ทางด้าน IT และความเสี่ยงทางด้าน IT รวมทั้ง IT Governance

5. ทรัพยากรทางด้าน IT ขององค์กร สามารถทำงานร่วมกับองค์กรอื่นได้เป็นอย่างดี องค์กรอาจถูกผลักดันจากพันธมิตร หรือคู่ค้าทางด้าน IT

6. เป้าหมายและการดำเนินการตามกลยุทธ์ ควรนำเทคโนโลยีมาใช้เพื่อเป็นการใช้ทรัพยากรที่มีอยู่อย่างคุ้มค่า และมีความสามารถที่จะสนองตอบความต้องการขององค์กรได้อย่างมีคุณภาพสูงสุด

7. การสื่อสารระหว่างฝ่ายจัดการและผู้ตรวจสอบ เพื่อสร้างวัฒนธรรมการปฏิบัติงานใหม่ ๆ ควรเป็นไปอย่างสะดวก ไม่มีขั้นตอนที่ยุ่งยาก

8. ระเบียบวิธีปฏิบัติที่ถูกกำหนดขึ้น ควรเป็นความเห็นร่วมกันระหว่างฝ่ายจัดการและคณะกรรมการขององค์กร และเป็นไปตามกฎหมายที่เกี่ยวข้องและลงนามโดยฝ่ายจัดการ

9. กลยุทธ์ในการจัดการที่กำหนดให้มีขึ้น ควรคำนึงถึงวัตถุประสงค์ของ IT ได้แก่ กลยุทธ์ทางด้าน IT ที่ควรสอดคล้องกับกลยุทธ์สู่เป้าหมายต่าง ๆ ขององค์กร ระยะเวลาการส่งมอบการบริหารความเสี่ยงและประสิทธิภาพการบริหาร โดยผู้บริหารและผู้ปฏิบัติงานควรมีความเข้าใจในเรื่อง IT

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

กลไกในการใช้ IT Governance เป็นตัวผลักดันประสิทธิภาพและการจัดการที่ดี
1. ความถี่ของการรายงานจุดควบคุมความเสี่ยงและข้อเสนอแนะต่อ คณะกรรมการขององค์กร
2. การลดต้นทุนค่าใช้จ่าย การเพิ่มประสิทธิภาพของกระบวนการปฏิบัติงานทางด้าน IT โดยการเชื่อมโยงระบบต่าง ๆ เข้าด้วยกัน
3. สร้างความหลากหลายในการประกอบธุรกิจด้วย IT
4. เพิ่มอรรถประโยชน์ของทรัพยากรทางด้าน IT ที่มีอยู่
5. เพิ่มความพึงพอใจให้แก่พนักงานผู้มีผลประโยชน์ร่วมทุกฝ่าย
6. ปรับปรุงวิธีการทำงานและความรับผิดชอบของผู้ปฏิบัติงานที่มีส่วนเกี่ยวข้องกับ IT ทั้งทางตรงและทางอ้อม
7. เพิ่มพูนความรู้ทางด้าน IT ให้แก่ฝ่ายจัดการและผู้ปฏิบัติงาน
8. เพิ่มความเชื่อมโยงระหว่าง IT กับการกำกับดูแลกิจการที่ดี
9. เพิ่มศักยภาพของกระบวนการบริหาร (Management Process) และการปฏิบัติงานตามที่วัดได้จาก Management Tools ต่าง ๆ
10. กำหนดมาตรฐานการปฏิบัติงาน และเปรียบเทียบกับมาตรฐานการกำกับดูแลกิจการที่ดี

แนวความคิดที่ปฏิบัติจริงได้ จากการวัดประสิทธิภาพการบริหารด้าน IT และการใช้ IT Governance ในระดับสายงานต่าง ๆ อย่างสอดคล้องทั่วทั้งองค์กร

1. ทำอย่างไร IT จึงจะสามารถเพิ่มประสิทธิภาพและลดต้นทุนในการจัดการ
2. ทำอย่างไร IT จึงจะให้คำแนะนำเกี่ยวกับนวัตกรรมและการบริการใหม่ ๆ ได้อย่างรวดเร็ว และลดความซ้ำซ้อนในการปฏิบัติงาน
3. ทำอย่างไร IT จึงจะช่วยเพิ่มผลตอบแทนจากการลงทุนได้มากขึ้น
4. ทำอย่างไร IT จึงสามารถกำหนดมาตรฐานการปฏิบัติงานขององค์กรได้
5. ทำอย่างไร IT ช่วยองค์กรเพิ่มลูกค้าใหม่และสร้างความพอใจให้กับลูกค้าได้
6. ทำอย่างไร IT จึงจะสนองตอบความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วมขององค์กรได้ ภายใต้งบประมาณที่ได้รับและเวลาที่กำหนด
7. ทำอย่างไร IT จึงจะช่วยองค์กรให้ปฏิบัติงานได้อย่างถูกต้องตามกฎหมายระเบียบ ข้อบังคับ หรือตามสัญญา
8. ทำอย่างไร IT จึงจะช่วยให้องค์กรบริหารความเสี่ยงที่มีอยู่อย่างโปร่งใส
9. ทำอย่างไร IT จึงจะช่วยองค์กรในการสร้างช่องทางการบริการใหม่ ๆ
10. ทำอย่างไร IT จึงจะช่วยฝ่ายจัดการสร้างผลตอบแทนให้แก่องค์กรในอัตราที่สูงขึ้น บริหารงาน และปฏิบัติงานได้รวดเร็วยิ่งขึ้น

จากข้อมูลข้างต้น ท่านพอจะมองเห็นภาพ รวมทั้งกรอบและแนวความคิดในการนำ CG และ ITG ที่เป็นนามธรรม ไปสู่ความเป็นรูปธรรมในทางปฏิบัติได้จริง และสร้างความมั่นใจอย่างสมเหตุสมผลจากการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบภายใน รวมทั้งการติดตามผล ซึ่งเรียกรวม 2 คำหลังในการอธิบายนี้ว่า เป็นการสร้างความมั่นใจต่อการบรรลุเป้าประสงค์ (Objectives) อย่างมีเหตุผลหรือใช้คำหรูๆว่า Assurance ในการก้าวไปสู่ความมั่งคั่ง และมั่นคงในการเติบโตอย่างยั่งยืน ( Sustainable Growth ) ตามหลักการของ Governance หรือการกำกับดูแลกิจการที่ดี และแน่นอนว่าจะเกี่ยวข้องกับความมั่นใจในการปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ทั้งภายในและภายนอกองค์กร (Comformance / Compliance) ซึ่งเป็นส่วนหนึ่งของ GRC ภายใต้กรอบ CG และ IT Governance หรือ ITG นั่นเองครับ…

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ปัจจัยแห่งความสำเร็จและแนวความคิดทางด้าน IT Governance บางประการ

มิถุนายน 8, 2009

การสร้างคุณค่าเพิ่มให้กับองค์กรเพื่อผลประโยชน์ของ Stakeholders ซึ่งแน่นอนว่าได้รวม Shareholders เข้าไปด้วยแล้วนั้น จะประสบความสำเร็จเป็นรูปธรรมได้ก็ต่อเมื่อคณะกรรมการ และผู้บริหารต้องส่งสัญญาณและแนวทางที่ชัดเจนในการขับเคลื่อนองค์กร โดยใช้หลักการการกำกับดูแลกิจการที่ดี หรือ CG ควบคู่กันไปกับ IT Governance ซึ่งแยกกันไม่ได้ตามที่ได้กล่าวมาในครั้งก่อน ๆ แล้ว

แนวความคิดที่จะนำไปสู่การปฏิบัติในการขับเคลื่อน CG ควบคู่กันไปกับ ITG ในมุมมองโดยรวม มีดังนี้

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

การกำกับดูแลกิจการที่ดี / CG + ITG กับมุมมองในการสร้างคุณค่าเพิ่ม และกระบวนการควบคุมภายใน

จุดมุ่งหมายของการประกอบธุรกิจที่ดีด้วย Information Technology (IT)
1.สามารถลดต้นทุนและเพิ่มประสิทธิภาพในการดำเนินกิจการ
2.สร้างแนวทางในการหารายได้ใหม่ ๆ
3.สนองตอบความต้องการขององค์กร
4.สร้างมูลค่าเพิ่มให้กับองค์กร
5.สร้างรูปแบบใหม่ในการดำเนินธุรกิจขององค์กร
6.สร้างความสามารถในการแข่งขันด้วย ITG

ปัจจัยแห่งความสำเร็จ
1. ควรคำนึงถึงตลอดเวลาว่า IT เป็นส่วนหนึ่งขององค์กรและกลยุทธ์ การดำเนินงานทางด้าน IT เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดี

2. รับรู้ปัญหาทางด้าน IT และวิธีการที่ฝ่ายจัดการว่าจ้างผู้เชี่ยวชาญภายนอกเข้ามาช่วยแก้ไขปัญหา รวมทั้งความเสี่ยงคงเหลือขององค์กร

3. การกำหนดวัตถุประสงค์ รายละเอียด และการนำ IT ไปใช้ ควรมีพื้นฐานมาจากความต้องการขององค์กร ด้วยความคิดที่เป็นระบบ และมีขั้นตอน

4. ควรพิจารณาแต่งตั้งสมาชิกในคณะกรรมการตรวจสอบที่มีความรู้ทางด้าน IT และความเสี่ยงทางด้าน IT รวมทั้ง IT Governance

5. ทรัพยากรทางด้าน IT ขององค์กร สามารถทำงานร่วมกับองค์กรอื่นได้เป็นอย่างดี องค์กรอาจถูกผลักดันจากพันธมิตร หรือคู่ค้าทางด้าน IT

6. เป้าหมายและการดำเนินการตามกลยุทธ์ ควรนำเทคโนโลยีมาใช้เพื่อเป็นการใช้ทรัพยากรที่มีอยู่อย่างคุ้มค่า และมีความสามารถที่จะสนองตอบความต้องการขององค์กรได้อย่างมีคุณภาพสูงสุด

7. การสื่อสารระหว่างฝ่ายจัดการและผู้ตรวจสอบ เพื่อสร้างวัฒนธรรมการปฏิบัติงานใหม่ ๆ ควรเป็นไปอย่างสะดวก ไม่มีขั้นตอนที่ยุ่งยาก

8. ระเบียบวิธีปฏิบัติที่ถูกกำหนดขึ้น ควรเป็นความเห็นร่วมกันระหว่างฝ่ายจัดการและคณะกรรมการขององค์กร และเป็นไปตามกฎหมายที่เกี่ยวข้องและลงนามโดยฝ่ายจัดการ

9. กลยุทธ์ในการจัดการที่กำหนดให้มีขึ้น ควรคำนึงถึงวัตถุประสงค์ของ IT ได้แก่ กลยุทธ์ทางด้าน IT ที่ควรสอดคล้องกับกลยุทธ์สู่เป้าหมายต่าง ๆ ขององค์กร ระยะเวลาการส่งมอบการบริหารความเสี่ยงและประสิทธิภาพการบริหาร โดยผู้บริหารและผู้ปฏิบัติงานควรมีความเข้าใจในเรื่อง IT

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

การหลอมรวมกระบวนการจัดการทั่วทั้งองค์กร และการสร้างความมั่นใจอย่างสมเหตุสมผลเพื่อก้าวสู่ CG

กลไกในการใช้ IT Governance เป็นตัวผลักดันประสิทธิภาพและการจัดการที่ดี
1. ความถี่ของการรายงานจุดควบคุมความเสี่ยงและข้อเสนอแนะต่อ คณะกรรมการขององค์กร
2. การลดต้นทุนค่าใช้จ่าย การเพิ่มประสิทธิภาพของกระบวนการปฏิบัติงานทางด้าน IT โดยการเชื่อมโยงระบบต่าง ๆ เข้าด้วยกัน
3. สร้างความหลากหลายในการประกอบธุรกิจด้วย IT
4. เพิ่มอรรถประโยชน์ของทรัพยากรทางด้าน IT ที่มีอยู่
5. เพิ่มความพึงพอใจให้แก่พนักงานผู้มีผลประโยชน์ร่วมทุกฝ่าย
6. ปรับปรุงวิธีการทำงานและความรับผิดชอบของผู้ปฏิบัติงานที่มีส่วนเกี่ยวข้องกับ IT ทั้งทางตรงและทางอ้อม
7. เพิ่มพูนความรู้ทางด้าน IT ให้แก่ฝ่ายจัดการและผู้ปฏิบัติงาน
8. เพิ่มความเชื่อมโยงระหว่าง IT กับการกำกับดูแลกิจการที่ดี
9. เพิ่มศักยภาพของกระบวนการบริหาร (Management Process) และการปฏิบัติงานตามที่วัดได้จาก Management Tools ต่าง ๆ
10. กำหนดมาตรฐานการปฏิบัติงาน และเปรียบเทียบกับมาตรฐานการกำกับดูแลกิจการที่ดี

แนวความคิดที่ปฏิบัติจริงได้ จากการวัดประสิทธิภาพการบริหารด้าน IT และการใช้ IT Governance ในระดับสายงานต่าง ๆ อย่างสอดคล้องทั่วทั้งองค์กร

1. ทำอย่างไร IT จึงจะสามารถเพิ่มประสิทธิภาพและลดต้นทุนในการจัดการ
2. ทำอย่างไร IT จึงจะให้คำแนะนำเกี่ยวกับนวัตกรรมและการบริการใหม่ ๆ ได้อย่างรวดเร็ว และลดความซ้ำซ้อนในการปฏิบัติงาน
3. ทำอย่างไร IT จึงจะช่วยเพิ่มผลตอบแทนจากการลงทุนได้มากขึ้น
4. ทำอย่างไร IT จึงสามารถกำหนดมาตรฐานการปฏิบัติงานขององค์กรได้
5. ทำอย่างไร IT ช่วยองค์กรเพิ่มลูกค้าใหม่และสร้างความพอใจให้กับลูกค้าได้
6. ทำอย่างไร IT จึงจะสนองตอบความต้องการและความคาดหวังของผู้มีผลประโยชน์ร่วมขององค์กรได้ ภายใต้งบประมาณที่ได้รับและเวลาที่กำหนด
7. ทำอย่างไร IT จึงจะช่วยองค์กรให้ปฏิบัติงานได้อย่างถูกต้องตามกฎหมายระเบียบ ข้อบังคับ หรือตามสัญญา
8. ทำอย่างไร IT จึงจะช่วยให้องค์กรบริหารความเสี่ยงที่มีอยู่อย่างโปร่งใส
9. ทำอย่างไร IT จึงจะช่วยองค์กรในการสร้างช่องทางการบริการใหม่ ๆ
10. ทำอย่างไร IT จึงจะช่วยฝ่ายจัดการสร้างผลตอบแทนให้แก่องค์กรในอัตราที่สูงขึ้น บริหารงาน และปฏิบัติงานได้รวดเร็วยิ่งขึ้น

จากข้อมูลข้างต้น ท่านพอจะมองเห็นภาพ รวมทั้งกรอบและแนวความคิดในการนำ CG และ ITG ที่เป็นนามธรรม ไปสู่ความเป็นรูปธรรมในทางปฏิบัติได้จริง และสร้างความมั่นใจอย่างสมเหตุสมผลจากการบริหารความเสี่ยง การควบคุมภายใน การตรวจสอบภายใน รวมทั้งการติดตามผล ซึ่งเรียกรวม 2 คำหลังในการอธิบายนี้ว่า เป็นการสร้างความมั่นใจต่อการบรรลุเป้าประสงค์ (Objectives) อย่างมีเหตุผลหรือใช้คำหรูๆว่า Assurance ในการก้าวไปสู่ความมั่งคั่ง และมั่นคงในการเติบโตอย่างยั่งยืน ( Sustainable Growth ) ตามหลักการของ Governance หรือการกำกับดูแลกิจการที่ดี และแน่นอนว่าจะเกี่ยวข้องกับความมั่นใจในการปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ทั้งภายในและภายนอกองค์กร (Comformance / Compliance) ซึ่งเป็นส่วนหนึ่งของ GRC ภายใต้กรอบ CG และ IT Governance หรือ ITG นั่นเองครับ…

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 8, 2009

คงต้องขออภัยท่านผู้อ่านที่ติดตามกรอบการบริหารความเสี่ยง เพราะช่วงนี้ผมกำลังเร่ง post ข้อมูลเกี่ยวกับ IT Audit และ Non – IT Audit ทางด้านการทุจริตที่กำลังเป็นข่าว และเป็นเรื่องสำคัญที่น่าสนใจและควรติดตาม ประกอบกับเกิดปัญหาทางด้านเทคนิคในการ update ข้อมูลในหัวข้อดังกล่าว ทำให้ข้อมูลที่เคย post และแก้ไขหายไป ก็ต้องขออภัยอีกครั้งสำหรับผู้ที่ติดตามเนื้อหาทางด้าน Audit อยู่ เป็นเหตุให้ห่างหายจากการ update เรื่องความเสี่ยงในหัวข้อนี้ไปบ้าง แต่ผมก็จะพยายามหาเวลา post ข้อมูลให้ได้ในทุกหัวข้อเพื่อท่านผู้อ่านจะได้ติดตามได้อย่างต่อเนื่องครับ

สำหรับวันนี้ ผมจะมาต่อในกระบวนการขั้นที่ 2 ของกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM คือ การกำหนดวัตถุประสงค์ (Objective Setting) ในเรื่องของการกำหนดวัตถุประสงค์/เป้าประสงค์ที่ชัดเจนของแผนงานและโครงการ

การกำหนดวัตถุประสงค์ต้องมีความสอดคล้องกันทั่วทั้งองค์กร เพื่อให้เกิดความมั่นใจว่า ผู้บริหาร และพนักงานทุกคนกำลังดำเนินการเพื่อให้บรรลุวัตถุประสงค์ขององค์กร โดยใช้วิธีการที่เรียกว่า SMART ซึ่งอธิบายด้วยแผนภาพ เพื่อให้เข้าใจได้ง่าย ๆ ดังนี้

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ดี แบบ SMART
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้ปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน และปฏิบัติได้อย่างสอดคล้องและเป็นไปในแนวทางเดียวกัน

2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย การกำหนดวัตถุประสงค์ที่สามารถวัดผลได้ทำให้สามารถรู้ได้แน่ชัดว่าดำเนินการถึงขั้นตอนใด และผลของการดำเนินการในแต่ละขั้นเป็นอย่างไร บรรลุผลสำเร็จหรือไม่

3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ ในการกำหนดวัตถุประสงค์นั้นไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถปฏิบัติเพื่อบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ ทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรมเพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกันคือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้

4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความสมเหตุสมผลและมีความเป็นจริง ปฏิบัติได้จริง

5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

ความซ้ำซ้อนของวัตถุประสงค์
วัตถุประสงค์ของหน่วยงานหนึ่งอาจซ้ำซ้อนกับอีกหน่วยงานหนึ่งได้ การจัดกลุ่มของวัตถุประสงค์เพื่อมุ่งสู่พันธกิจ และวิสัยทัศน์ขององค์กรนั้น อาจขึ้นอยู่กับโอกาส ยกตัวอย่างเช่น การเตรียมข้อมูลให้กับผู้บริหารระดับสูงเพื่อใช้ในการบริหารจัดการ และควบคุมกิจกรรมในการส่งเสริมการผลิต อาจมีลักษณะเป็นวัตถุประสงค์เชิงปฏิบัติการและวัตถุประสงค์เชิงรายงานไปพร้อม ๆ กัน

ในบางองค์กรใช้การแบ่งกลุ่มวัตถุประสงค์ในแบบอื่น ๆ “การป้องกันทรัพยากร” บางครั้งอาจหมายถึง “การป้องกันทรัพย์สิน” ซึ่งซ้ำซ้อนกับกลุ่มวัตถุประสงค์อื่น ๆ หากมองอย่างกว้าง ๆ การป้องกันทรัพย์สิน หมายถึง การป้องกันความสูญเสียของทรัพย์สินหรือทรัพยากรขององค์กร ไม่ว่าจะเป็นการลักขโมย ความสิ้นเปลือง ความบกพร่อง หรือสิ่งใดก็ตามที่ทำให้เกิดการตัดสินใจที่ไม่ดี เช่น การขายสินค้าราคาต่ำเกินไป ความล้มเหลวในการรักษาพนักงานคนสำคัญ หรือ การป้องกันการละเมิดสิทธิ์ หรือหนี้สินที่ไม่ได้คาดมาก่อน เป็นต้น

สิ่งเหล่านี้เป็นวัตถุประสงค์เชิงปฏิบัติการเบื้องต้น เมื่อประยุกต์กฎหมายหรือกฎเกณฑ์ต่าง ๆ ก็จะกลายเป็นวัตถุประสงค์เชิงความร่วมมือ ในทางตรงข้ามภาพสะท้อนการสูญเสียทรัพย์สินในสถานะทางการเงินขององค์กรเป็นการนำเสนอวัตถุประสงค์เชิงรายงาน เมื่อนำมาใช้ร่วมกับการรายงานต่อสาธารณะ คำจำกัดความที่แคบลงของการป้องกันทรัพย์สินจะหมายถึง การปกป้องการได้มาซึ่งอำนาจโดยไม่ชอบ การใช้หรือการเคลื่อนย้ายทรัพย์สินขององค์กร

การบรรลุผลสำเร็จของวัตถุประสงค์
การตั้งวัตถุประสงค์เป็นส่วนสำคัญของการบริหารความเสี่ยงของสายงานหรือของหน่วยงานธุรกิจที่เกี่ยวข้อง แม้ว่าวัตถุประสงค์จะช่วยในการสร้างเป้าหมายที่สามารถวัดได้ใกล้เคียงกับองค์กรเพื่อเคลื่อนสู่การดำเนินกิจกรรม แต่อาจมีความแตกต่างกันในเรื่องระดับความสำคัญและลำดับก่อนหลัง แม้ว่าองค์กรทั่วไปจะมั่นใจอย่างมีเหตุมีผลว่าจะบรรลุวัตถุประสงค์ได้ แต่ไม่ใช่กับทุกวัตถุประสงค์

การบริหารความเสี่ยงที่มีประสิทธิภาพจะนำความมั่นใจที่มีเหตุมีผลว่าวัตถุประสงค์เชิงรายงานขององค์กรกำลังบรรลุความสำเร็จ เช่นเดียวกันกับวัตถุประสงค์เชิงความร่วมมือ การรายงานที่บรรลุความสำเร็จและวัตถุประสงค์เชิงความร่วมมือโดยทั่วไปอยู่ภายในการควบคุมขององค์กร นั่นคือทันทีที่กำหนดวัตถุประสงค์แล้ว องค์กรจะควบคุมว่าจะต้องทำอย่างไรให้บรรลุวัตถุประสงค์นั้น แต่มีความแตกต่างเมื่อกลายเป็นวัตถุประสงค์เชิงปฏิบัติการด้วยเหตุผลหลายประการ องค์กรอาจปฏิบัติได้ดังที่ตั้งใจแต่ไม่สามารถสู้คู่แข่งขันได้ ซึ่งเป็นปัญหาจากปัจจัยภายนอก เช่น การเปลี่ยนแปลงรัฐบาล สภาวะแวดล้อมทางอากาศ และ/หรือเหตุการณ์ที่ไม่สามารถควบคุมได้

ซึ่งเหล่านี้อาจนำมาพิจารณาในขั้นตอนการตั้งวัตถุประสงค์ในแง่ของการมีความเป็นไปได้น้อย โดยใช้การวางแผนตามสถานการณ์ในกรณีที่มีเหตุการณ์เกิดขึ้น อย่างไรก็ตาม แม้ว่าแผนงานจะสามารถบรรเทาผลกระทบจากเหตุการณ์ภายนอกได้ แต่ก็ไม่สามารถมั่นใจได้ว่าวัตถุประสงค์จะบรรลุผลสำเร็จ

การบริหารความเสี่ยงขององค์กรที่มีจุดมุ่งหมายพื้นฐานในการพัฒนาความยั่งยืนของวัตถุประสงค์และเป้าหมายทั่วทั้งองค์กร การแยกแยะปัจจัยที่ทำให้สำเร็จและความเสี่ยง การเข้าหาความเสี่ยงและการตอบสนอง การดำเนินการตอบสนองความเสี่ยงที่เหมาะสม การควบคุมความต้องการ และการรายงานผลการทำงานและความคาดหวัง สำหรับวัตถุประสงค์เหล่านี้ การบริหารความเสี่ยงขององค์กรสามารถสร้างความมั่นใจได้ว่าผู้บริหารจะตระหนักถึงขอบเขตขององค์กรในการมุ่งสู่วัตถุประสงค์

ครั้งหน้าผมจะพูดถึงวัตถุประสงค์ขององค์กรกับความเสี่ยง และระดับความเสี่ยงที่องค์กรยอมรับได้ โปรดติดตามในครั้งต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

มิถุนายน 8, 2009

คงต้องขออภัยท่านผู้อ่านที่ติดตามกรอบการบริหารความเสี่ยง เพราะช่วงนี้ผมกำลังเร่ง post ข้อมูลเกี่ยวกับ IT Audit และ Non – IT Audit ทางด้านการทุจริตที่กำลังเป็นข่าว และเป็นเรื่องสำคัญที่น่าสนใจและควรติดตาม ประกอบกับเกิดปัญหาทางด้านเทคนิคในการ update ข้อมูลในหัวข้อดังกล่าว ทำให้ข้อมูลที่เคย post และแก้ไขหายไป ก็ต้องขออภัยอีกครั้งสำหรับผู้ที่ติดตามเนื้อหาทางด้าน Audit อยู่ เป็นเหตุให้ห่างหายจากการ update เรื่องความเสี่ยงในหัวข้อนี้ไปบ้าง แต่ผมก็จะพยายามหาเวลา post ข้อมูลให้ได้ในทุกหัวข้อเพื่อท่านผู้อ่านจะได้ติดตามได้อย่างต่อเนื่องครับ

สำหรับวันนี้ ผมจะมาต่อในกระบวนการขั้นที่ 2 ของกระบวนการบริหารความเสี่ยงและการควบคุมภายใน ตามหลัก COSO – ERM คือ การกำหนดวัตถุประสงค์ (Objective Setting) ในเรื่องของการกำหนดวัตถุประสงค์/เป้าประสงค์ที่ชัดเจนของแผนงานและโครงการ

การกำหนดวัตถุประสงค์ต้องมีความสอดคล้องกันทั่วทั้งองค์กร เพื่อให้เกิดความมั่นใจว่า ผู้บริหาร และพนักงานทุกคนกำลังดำเนินการเพื่อให้บรรลุวัตถุประสงค์ขององค์กร โดยใช้วิธีการที่เรียกว่า SMART ซึ่งอธิบายด้วยแผนภาพ เพื่อให้เข้าใจได้ง่าย ๆ ดังนี้

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ชัดเจนตามหลัก SMART

การกำหนดวัตถุประสงค์ที่ดี แบบ SMART
1. Sensible & Specific หมายถึง วัตถุประสงค์ที่ดีต้องมีความเป็นไปได้และชัดเจน นั่นคือ ควรกำหนดวัตถุประสงค์ให้มีความเป็นไปได้ สามารถปฏิบัติได้จริง นอกจากนี้ยังควรมีความชัดเจน โดยผู้ปฏิบัติสามารถเข้าใจความหมายได้ตรงกัน และปฏิบัติได้อย่างสอดคล้องและเป็นไปในแนวทางเดียวกัน

2. Measurable หมายถึง วัตถุประสงค์นั้นต้องสามารถวัดผลได้ นั่นคือในการกำหนดวัตถุประสงค์ควรพิจารณาถึงประเด็นเกี่ยวกับการวัดผลด้วย การกำหนดวัตถุประสงค์ที่สามารถวัดผลได้ทำให้สามารถรู้ได้แน่ชัดว่าดำเนินการถึงขั้นตอนใด และผลของการดำเนินการในแต่ละขั้นเป็นอย่างไร บรรลุผลสำเร็จหรือไม่

3. Attainable & Assignable หมายถึง วัตถุประสงค์ที่ดีต้องสามารถบรรลุผลและมอบหมายได้ ในการกำหนดวัตถุประสงค์นั้นไม่ควรกำหนดไว้สูงเกินไปจนไม่สามารถปฏิบัติเพื่อบรรลุตามวัตถุประสงค์ที่กำหนดไว้ได้ ทำให้ผู้ปฏิบัติรู้สึกท้อแท้เพราะทำอย่างไรก็ไม่สามารถบรรลุวัตถุประสงค์ได้ นอกจากนี้วัตถุประสงค์ที่ดีต้องสามารถมอบหมายให้ผู้ปฏิบัตินำไปปฏิบัติได้ สามารถนำมาแยกย่อยเป็นกิจกรรมหลาย ๆ กิจกรรมเพื่อมอบหมายให้ผู้ที่เกี่ยวข้องนำไปปฏิบัติตามความรับผิดชอบของตน เพื่อมุ่งไปสู่เป้าหมายเดียวกันคือการบรรลุตามวัตถุประสงค์ที่กำหนดไว้

4. Reasonable & Realistic หมายถึง วัตถุประสงค์ที่ดีต้องสามารถอธิบายได้ มีความสมเหตุสมผลและมีความเป็นจริง ปฏิบัติได้จริง

5. Time Available หมายถึง วัตถุประสงค์ที่ดีต้องเหมาะสมกับห้วงเวลาในขณะนั้น วัตถุประสงค์ข้อหนึ่งอาจมีความเหมาะสมกับช่วงเวลาใดเวลาหนึ่ง เมื่อเวลาเปลี่ยนไปวัตถุประสงค์ข้อนั้นอาจไม่เหมาะสมกับสถานการณ์ที่เปลี่ยนไปได้

ความซ้ำซ้อนของวัตถุประสงค์
วัตถุประสงค์ของหน่วยงานหนึ่งอาจซ้ำซ้อนกับอีกหน่วยงานหนึ่งได้ การจัดกลุ่มของวัตถุประสงค์เพื่อมุ่งสู่พันธกิจ และวิสัยทัศน์ขององค์กรนั้น อาจขึ้นอยู่กับโอกาส ยกตัวอย่างเช่น การเตรียมข้อมูลให้กับผู้บริหารระดับสูงเพื่อใช้ในการบริหารจัดการ และควบคุมกิจกรรมในการส่งเสริมการผลิต อาจมีลักษณะเป็นวัตถุประสงค์เชิงปฏิบัติการและวัตถุประสงค์เชิงรายงานไปพร้อม ๆ กัน

ในบางองค์กรใช้การแบ่งกลุ่มวัตถุประสงค์ในแบบอื่น ๆ “การป้องกันทรัพยากร” บางครั้งอาจหมายถึง “การป้องกันทรัพย์สิน” ซึ่งซ้ำซ้อนกับกลุ่มวัตถุประสงค์อื่น ๆ หากมองอย่างกว้าง ๆ การป้องกันทรัพย์สิน หมายถึง การป้องกันความสูญเสียของทรัพย์สินหรือทรัพยากรขององค์กร ไม่ว่าจะเป็นการลักขโมย ความสิ้นเปลือง ความบกพร่อง หรือสิ่งใดก็ตามที่ทำให้เกิดการตัดสินใจที่ไม่ดี เช่น การขายสินค้าราคาต่ำเกินไป ความล้มเหลวในการรักษาพนักงานคนสำคัญ หรือ การป้องกันการละเมิดสิทธิ์ หรือหนี้สินที่ไม่ได้คาดมาก่อน เป็นต้น

สิ่งเหล่านี้เป็นวัตถุประสงค์เชิงปฏิบัติการเบื้องต้น เมื่อประยุกต์กฎหมายหรือกฎเกณฑ์ต่าง ๆ ก็จะกลายเป็นวัตถุประสงค์เชิงความร่วมมือ ในทางตรงข้ามภาพสะท้อนการสูญเสียทรัพย์สินในสถานะทางการเงินขององค์กรเป็นการนำเสนอวัตถุประสงค์เชิงรายงาน เมื่อนำมาใช้ร่วมกับการรายงานต่อสาธารณะ คำจำกัดความที่แคบลงของการป้องกันทรัพย์สินจะหมายถึง การปกป้องการได้มาซึ่งอำนาจโดยไม่ชอบ การใช้หรือการเคลื่อนย้ายทรัพย์สินขององค์กร

การบรรลุผลสำเร็จของวัตถุประสงค์
การตั้งวัตถุประสงค์เป็นส่วนสำคัญของการบริหารความเสี่ยงของสายงานหรือของหน่วยงานธุรกิจที่เกี่ยวข้อง แม้ว่าวัตถุประสงค์จะช่วยในการสร้างเป้าหมายที่สามารถวัดได้ใกล้เคียงกับองค์กรเพื่อเคลื่อนสู่การดำเนินกิจกรรม แต่อาจมีความแตกต่างกันในเรื่องระดับความสำคัญและลำดับก่อนหลัง แม้ว่าองค์กรทั่วไปจะมั่นใจอย่างมีเหตุมีผลว่าจะบรรลุวัตถุประสงค์ได้ แต่ไม่ใช่กับทุกวัตถุประสงค์

การบริหารความเสี่ยงที่มีประสิทธิภาพจะนำความมั่นใจที่มีเหตุมีผลว่าวัตถุประสงค์เชิงรายงานขององค์กรกำลังบรรลุความสำเร็จ เช่นเดียวกันกับวัตถุประสงค์เชิงความร่วมมือ การรายงานที่บรรลุความสำเร็จและวัตถุประสงค์เชิงความร่วมมือโดยทั่วไปอยู่ภายในการควบคุมขององค์กร นั่นคือทันทีที่กำหนดวัตถุประสงค์แล้ว องค์กรจะควบคุมว่าจะต้องทำอย่างไรให้บรรลุวัตถุประสงค์นั้น แต่มีความแตกต่างเมื่อกลายเป็นวัตถุประสงค์เชิงปฏิบัติการด้วยเหตุผลหลายประการ องค์กรอาจปฏิบัติได้ดังที่ตั้งใจแต่ไม่สามารถสู้คู่แข่งขันได้ ซึ่งเป็นปัญหาจากปัจจัยภายนอก เช่น การเปลี่ยนแปลงรัฐบาล สภาวะแวดล้อมทางอากาศ และ/หรือเหตุการณ์ที่ไม่สามารถควบคุมได้

ซึ่งเหล่านี้อาจนำมาพิจารณาในขั้นตอนการตั้งวัตถุประสงค์ในแง่ของการมีความเป็นไปได้น้อย โดยใช้การวางแผนตามสถานการณ์ในกรณีที่มีเหตุการณ์เกิดขึ้น อย่างไรก็ตาม แม้ว่าแผนงานจะสามารถบรรเทาผลกระทบจากเหตุการณ์ภายนอกได้ แต่ก็ไม่สามารถมั่นใจได้ว่าวัตถุประสงค์จะบรรลุผลสำเร็จ

การบริหารความเสี่ยงขององค์กรที่มีจุดมุ่งหมายพื้นฐานในการพัฒนาความยั่งยืนของวัตถุประสงค์และเป้าหมายทั่วทั้งองค์กร การแยกแยะปัจจัยที่ทำให้สำเร็จและความเสี่ยง การเข้าหาความเสี่ยงและการตอบสนอง การดำเนินการตอบสนองความเสี่ยงที่เหมาะสม การควบคุมความต้องการ และการรายงานผลการทำงานและความคาดหวัง สำหรับวัตถุประสงค์เหล่านี้ การบริหารความเสี่ยงขององค์กรสามารถสร้างความมั่นใจได้ว่าผู้บริหารจะตระหนักถึงขอบเขตขององค์กรในการมุ่งสู่วัตถุประสงค์

ครั้งหน้าผมจะพูดถึงวัตถุประสงค์ขององค์กรกับความเสี่ยง และระดับความเสี่ยงที่องค์กรยอมรับได้ โปรดติดตามในครั้งต่อไปนะครับ

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตของสถาบันการเงินต่าง ๆ โดยใช้ IT & Non – IT และการประเมินตนเอง(CSA)เพื่อการบริหารความเสี่ยง ของผู้บริหาร

มิถุนายน 6, 2009

ผมต้องขออภัยสำหรับผู้ที่ติดตามในหัวข้อนี้ เนื่องจากผมได้ update ข้อมูลไปเมื่อวันที่ 6 มิถุนายน 2552 และได้มีการปรับปรุงแก้ไขเนื้อหาเพียงเล็กน้อย ในวันที่ 7 มิถุนายน 2552 หลังจากทำการ post เนื้อหาขึ้นเว็บ ปรากฎว่าไม่พบเนื้อหาที่แก้ไข รวมถึงเนื้อหาเดิมก่อนทำการแก้ไขแล้ว ซึ่งผมเข้าใจว่าอาจเกิดปัญหาทางด้านเทคนิคบางประการ และเช้าวันนี้ ซึ่งเป็นวันที่ 8 มิถุนายน 2552 ก็ยังมีปัญหาใน Article นี้อยู่ ซึ่งผมจะพยายามดำเนินการต่อไปครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การทุจริตของสถาบันการเงินต่าง ๆ โดยใช้ IT & Non – IT และการประเมินตนเอง(CSA)เพื่อการบริหารความเสี่ยง ของผู้บริหาร

มิถุนายน 6, 2009

ผมต้องขออภัยสำหรับผู้ที่ติดตามในหัวข้อนี้ เนื่องจากผมได้ update ข้อมูลไปเมื่อวันที่ 6 มิถุนายน 2552 และได้มีการปรับปรุงแก้ไขเนื้อหาเพียงเล็กน้อย ในวันที่ 7 มิถุนายน 2552 หลังจากทำการ post เนื้อหาขึ้นเว็บ ปรากฎว่าไม่พบเนื้อหาที่แก้ไข รวมถึงเนื้อหาเดิมก่อนทำการแก้ไขแล้ว ซึ่งผมเข้าใจว่าอาจเกิดปัญหาทางด้านเทคนิคบางประการ และเช้าวันนี้ ซึ่งเป็นวันที่ 8 มิถุนายน 2552 ก็ยังมีปัญหาใน Article นี้อยู่ ซึ่งผมจะพยายามดำเนินการต่อไปครับ

ปิดความเห็น บน การทุจริตของสถาบันการเงินต่าง ๆ โดยใช้ IT & Non – IT และการประเมินตนเอง(CSA)เพื่อการบริหารความเสี่ยง ของผู้บริหาร | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Corporate Governance – CG กับ IT Governance – ITG กับบทบาทของผู้บริหารระดับสูง คณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบ

มิถุนายน 1, 2009

ครั้งที่แล้วผมได้กล่าวถึงการนำหลักการของกระบวนการบริหารความเสี่ยงที่ใช้กรอบของ COSO – ERM ซึ่งเป็นองค์ประกอบหนึ่งของการกำกับดูแลกิจการที่ดี หรือหลักบรรษัทภิบาล – CG ที่มีองค์ประกอบหลัก ๆ 7 ข้อ ตามที่อธิบายด้วยภาพของต้นไม้มาแล้ว วันนี้ผมกำลังจะนำหลักการ CG มาผสมผสานกับแนวทางการบริหารกระบวนการ และการจัดการกับความเสี่ยงในมุมมองของ IT Governance โดยใช้หลักการของ COBIT ที่ประกอบไปด้วย 4 Domain และ 34 Process แต่จะขออธิบายในเรื่องหลักการ CG สั้น ๆ ดังนี้

CG หรือหลักบรรษัทภิบาล ก็คือ กระบวนการบริหารและการจัดการโดยกำหนดบทบาท ความคิดที่นำมาสู่วิธีการปฏิบัติงาน เพื่อก่อให้เกิดประโยชน์และสร้างคุณค่าเพิ่มต่อการดำเนินธุรกิจทุกประเภท และในทุกระดับขององค์กร

IT Governance and Performance Measurement

IT Governance and Performance Measurement

IT Governance ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงกับการจัดการทางด้านเทคโนโลยีสารสนเทศ เพื่อการขับเคลื่อนกลยุทธ์โดยรวมขององค์กร โดยมีผลตอบแทนที่เหมาะสม ยอมรับได้ และประเมินคุณค่าได้ ทั้งในปัจจุบันและอนาคต จากประสิทธิภาพและประสิทธิผลในการดำเนินงานที่พิจารณาจากสินทรัพย์ที่มีตัวตน (Tangible Assets) และสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) ในระดับองค์กร

Performance Measurement and Criteria Concerned

Performance Measurement and Criteria Concerned

ผมขออธิบายโดยใช้รูปภาพประกอบข้างต้น ซึ่งอธิบายได้ในตัวของมันเอง ท่านสามารถใช้ดุลยพินิจและความคิดในการสร้างคุณค่าเพิ่มในทางปฏิบัติควบคู่กับหลักการบริหารความเสี่ยง ทั้งทางด้าน IT Risk และ Non – IT Risk ตามหลักการของ COSO – ERM ต่อไป

Performance Measurement and ITG

Performance Measurement and ITG

ผมจะขออธิบายเพิ่มเติมเพื่อสร้างความเข้าใจในรายละเอียดให้มากขึ้นในครั้งต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Corporate Governance – CG กับ IT Governance – ITG กับบทบาทของผู้บริหารระดับสูง คณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบ

มิถุนายน 1, 2009

ครั้งที่แล้วผมได้กล่าวถึงการนำหลักการของกระบวนการบริหารความเสี่ยงที่ใช้กรอบของ COSO – ERM ซึ่งเป็นองค์ประกอบหนึ่งของการกำกับดูแลกิจการที่ดี หรือหลักบรรษัทภิบาล – CG ที่มีองค์ประกอบหลัก ๆ 7 ข้อ ตามที่อธิบายด้วยภาพของต้นไม้มาแล้ว วันนี้ผมกำลังจะนำหลักการ CG มาผสมผสานกับแนวทางการบริหารกระบวนการ และการจัดการกับความเสี่ยงในมุมมองของ IT Governance โดยใช้หลักการของ COBIT ที่ประกอบไปด้วย 4 Domain และ 34 Process แต่จะขออธิบายในเรื่องหลักการ CG สั้น ๆ ดังนี้

CG หรือหลักบรรษัทภิบาล ก็คือ กระบวนการบริหารและการจัดการโดยกำหนดบทบาท ความคิดที่นำมาสู่วิธีการปฏิบัติงาน เพื่อก่อให้เกิดประโยชน์และสร้างคุณค่าเพิ่มต่อการดำเนินธุรกิจทุกประเภท และในทุกระดับขององค์กร

IT Governance and Performance Measurement

IT Governance and Performance Measurement

IT Governance ก็คือ ดุลยภาพของกระบวนการบริหารความเสี่ยงกับการจัดการทางด้านเทคโนโลยีสารสนเทศ เพื่อการขับเคลื่อนกลยุทธ์โดยรวมขององค์กร โดยมีผลตอบแทนที่เหมาะสม ยอมรับได้ และประเมินคุณค่าได้ ทั้งในปัจจุบันและอนาคต จากประสิทธิภาพและประสิทธิผลในการดำเนินงานที่พิจารณาจากสินทรัพย์ที่มีตัวตน (Tangible Assets) และสินทรัพย์ที่ไม่มีตัวตน (Intangible Assets) ในระดับองค์กร

Performance Measurement and Criteria Concerned

Performance Measurement and Criteria Concerned

ผมขออธิบายโดยใช้รูปภาพประกอบข้างต้น ซึ่งอธิบายได้ในตัวของมันเอง ท่านสามารถใช้ดุลยพินิจและความคิดในการสร้างคุณค่าเพิ่มในทางปฏิบัติควบคู่กับหลักการบริหารความเสี่ยง ทั้งทางด้าน IT Risk และ Non – IT Risk ตามหลักการของ COSO – ERM ต่อไป

Performance Measurement and ITG

Performance Measurement and ITG

ผมจะขออธิบายเพิ่มเติมเพื่อสร้างความเข้าใจในรายละเอียดให้มากขึ้นในครั้งต่อไปนะครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงที่ยอมรับได้ หรือ Risk Appetite และ Risk Tolerance กับการตรวจสอบตู้คอนเทนเนอร์ที่แสมสาน สัตหีบ และการตัดสินใจของรัฐบาล

มิถุนายน 1, 2009

เมื่อวันศุกร์ที่ 29 พฤษภาคม 2552 ผมมีโอกาสได้ไปรับฟังการบรรยายของท่านนายกรัฐมนตรี อภิสิทธิ์ เวชชาชีวะ ที่โรงแรมแอทธินี ซึ่งจัดโดยสมาคมส่งเสริมกรรมการไทย หรือ IOD ท่านได้พูดตอนหนึ่งว่า จะให้การสนับสนุนให้มีการตรวจสอบตู้คอนเทนเนอร์ ที่จมน้ำมาประมาณ 17 ปี ซึ่งได้รับความสนใจจากประชาชนว่าข้างในตู้คอนเทนเนอร์จะเป็นอะไร เช่น เป็นซากศพ เป็นสารพิษหนัก หรืออะไรกันแน่นั้น ท่านนายกได้สรุปว่า เพื่อความโปร่งใสในเรื่องนี้ ท่านจะให้มีการดำเนินการตรวจสอบสิ่งที่อยู่ในตู้คอนเทนเนอร์ต่อไป

แนวความคิดนี้ หลายท่านก็คงถูกใจ หลายท่านก็อาจเป็นห่วง มุมมองของความคิดและการพิจารณาในเรื่องนี้ก็คือ การเน้นความโปร่งใสที่จะต้องมีการตรวจสอบได้ตามหลักการของ Corporate Governance ซึ่งเป็นเรื่องที่ดีและเป็นที่ยอมรับกันอย่างเป็นสากล

อย่างไรก็ดี แนวความคิดในการตรวจสอบตู้คอนเทนเนอร์ ควรอยู่ภายใต้กรอบของความเสี่ยงที่ประเทศและสังคมยอมรับได้ นั่นคือ ทางการหรือผู้รับผิดชอบในเรื่องนี้ ควรจะได้กำหนดระดับความเสี่ยงของการตรวจสอบตู้นี้ให้อยู่ในระดับที่ยอมรับได้ (Risk Appetite) เพื่อใช้เป็นบรรทัดฐานในการดำเนินงานและการตัดสินใจและใช้ดุลยพินิจของผู้ดำเนินการในทุกระดับที่เกี่ยวข้อง นั่นคือ หากเป็นสารพิษที่เป็นโลหะหนัก ที่จะมีพิษยาวนานประมาณ 30 – 40 ปี และหากพิษนั้นรั่วไหลออกมาสู่ทะเล จะเกิดปัญหาที่คาดไม่ถึงและยอมรับไม่ได้ต่อสภาพแวดล้อม ต่อสังคม ต่อการท่องเที่ยว ต่อสาธารณสุขของประชาชน รวมทั้งความไว้วางใจได้ของมวลชนทั้งในและต่างประเทศเพียงใด

ในเรื่องนี้ ถ้าไม่มีกรอบ ผลกระทบของความเสี่ยงที่จะก่อให้เกิดความเสียหายได้ในระดับประเทศ ในระดับชุมชนที่ชัดเจนและเป็นรูปธรรม ที่สามารถวัด ประเมินผลได้อย่างเป็นรูปธรรม ก็ยังไม่ควรดำเนินการจนกว่าผู้ที่เกี่ยวข้องจะได้กำหนด Risk Appetite ให้ชัดเจน และกำหนดแนวทางขั้นตอนในการดำเนินงานที่เหมาะสม หากเข้าใจว่าเป็นสารพิษที่เป็นโลหะหนัก ผลกระทบที่เกิดขึ้นในมุมมองต่าง ๆ จะเป็นเช่นใด ยอมรับได้หรือไม่ เช่น ถ้ามีคนตาย อันเกิดจากสารพิษในภายหลัง 1 คน หรือ 5 คน หรือ 10 คน หรือมากกว่านั้น ยอมรับให้มีการตรวจสอบในเชิงลึกได้หรือไม่ หากสภาพแวดล้อมต้องเสียหาย น้ำทะเลในแถบนั้นเป็นพิษ และมีผลกระทบต่อระบบนิเวศของสัตว์และพืช รวมทั้งประชาชนในวงกว้าง ผู้ที่เกี่ยวข้องควรจะใช้ดุลยพินิจอย่างไร ++

ระดับความเสี่ยงที่ยอมรับได้ระดับประเทศหรือระดับองค์กร หรือระดับการปฏิบัติงาน

ระดับความเสี่ยงที่ยอมรับได้ระดับประเทศหรือระดับองค์กร หรือระดับการปฏิบัติงาน

แน่นอนว่าหากไม่มีการกำหนดกรอบผลกระทบซึ่งเป็นความเสี่ยงและความเสียหายที่ยอมรับได้ ที่เรียกกันติดปากว่า Risk Appetite ใช้ชัดเจน ก็เปรียบเสมือนกับการกำหนดเป้าหมายที่ไม่เข้าหลักการ SMART ก็จะมีปัญหาเรื่องการปฏิบัติการเช่นกัน เพราะหากเป้าหมายไม่ชัดเจน Risk Appetite และขั้นตอนในการดำเนินงานต่าง ๆ ของการสำรวจตู้คอนเทนเนอร์ก็จะไม่ชัดเจนตามไปด้วย เป็นต้น

วันนี้ผมจะพูดถึงเรื่องระดับความเสี่ยงที่ประเทศหรือองค์กรยอมรับได้ (Risk Appetite) เพื่อเชื่อมไปสู่โครงการสำรวจตู้คอนเทนเนอร์ตามที่กล่าวข้างต้น ดังนี้

ระดับความเสี่ยงที่ยอมรับได้ หรือ Risk Appetite ก็คือ ระดับความเสี่ยงที่สามารถกำหนดได้ทั้งในเชิงปริมาณและเชิงคุณภาพ ที่เข้าใจตรงกันในระดับประเทศหรือองค์กร หรือโครงการ เช่น โครงการสำรวจตู้คอนเทนเนอร์ที่แสมสาน เป็นต้น

คำจำกัดความ Risk Appetite

คำจำกัดความ Risk Appetite

เราลองมาช่วยกันตั้งคำถาม เพื่อพิจารณาถึงระดับความเสี่ยงโดยทั่วไปที่องค์กรยอมรับได้ แต่ ณ ที่นี้ ผมจะพยายามพูดถึงความเสี่ยงของโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสานเป็นหลัก ซึ่งบางส่วนจะเกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ในระดับหน่วยงาน / องค์กร และระดับประเทศด้วย โดยมีแนวทางดังนี้

1. ความเสี่ยงและผลกระทบ (Impact) ระดับใดที่ประเทศหรือโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสานจะยอมรับได้ หรือยอมรับไม่ได้ เช่น ในกรณีของวิทยุการบิน อาจกำหนด Risk Appetite ไว้ว่าความปลอดภัยของการบิน โดยเฉพาะอย่างยิ่งที่เกี่ยวกับการสื่อสารและการอำนวยความสะดวกของทุกเที่ยวบิน ในการนำเครื่องบินขึ้น – ลง จะต้องมีความปลอดภัยเต็ม 100% โดยไม่ยอมรับความเสี่ยงจากการเกิดอุบัติเหตุเลยแม้แต่ครั้งเดียว เป็นต้น

แนวทางในการกำหนด Risk Appetite

แนวทางในการกำหนด Risk Appetite

ดังนั้น ในกรณีโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสาน เป็นไปได้ไหมว่า หากสภาพแวดล้อมเป็นพิษ ระบบนิเวศน์จะมีปัญหาและมีผลกระทบต่อสัตว์ทะเล รวมทั้งความเชื่อมั่นของการส่งอาหารทะเลไปต่างประเทศ และการบริโภคอาหารทะเลของคนไทย จะยอมรับความเสี่ยงไม่ได้ นั่นคือ จะต้องมีการสำรวจให้แน่ใจอย่างสมเหตุสมผลก่อนว่า สิ่งที่บรรจุอยู่ในตู้คอนเทนเนอร์เป็นอะไรกันแน่ หากตู้คอนเทนเนอร์มีรู การส่งกล้องผ่านลงไปนั้นก็อาจจะไม่เห็นสิ่งใด หรืออาจจะเห็นเพียงถังหรือพาชนะที่เก็บวัตถุหรือสารที่ต้องสงสัย ที่อาจเป็นสารพิษได้นั้น โครงการนี้จะวางแผนที่จะเจาะเข้าไปในถังหรือพาชนะที่อาจบรรจุสารพิษหรือไม่ คุ้มหรือไม่ที่จะทำเช่นนั้น เพราะถ้าเป็นสารพิษจริง อะไรจะเกิดขึ้น และมีผลกระทบต่อความเสียหายที่ไม่อาจยอมรับได้ตามที่ได้กล่าวแล้ว

ตัวอย่างของ Risk Appetite

ตัวอย่างของ Risk Appetite

รายละเอียดในเรื่องการดำเนินการ ผมคิดว่าคงจะเป็นหน้าที่ของหน่วยงานที่เกี่ยวข้องที่จะปฏิบัติตามโครงการนี้ ผมเพียงแต่ให้แนวความคิดที่จะใช้ในการตัดสินใจและการปฏิบัติงานที่มีเหตุมีผล โดยนำหลักการบริหารความเสี่ยงอย่างเป็นกระบวนการและนำเรื่องระดับความเสี่ยงที่ประเทศหรือองค์กร หรือโครงการยอมรับได้เท่านั้นมาใช้อธิบายเป็นอุทธาหรณ์

2. ประเทศหรือทีมงานที่ต้องดำเนินงานตามโครงการนี้ พร้อมที่จะรับความเสี่ยงเพิ่มขึ้นจากระดับความเสี่ยงที่ยอมรับได้ที่จะเกิดขึ้นหรือไม่ และหากยอมรับได้ บุคคลหรือหน่วยงานที่เกี่ยวข้องใช้ดุลยพินิจอะไรในการพิจารณาการดำเนินการต่อไป เกินระดับความเสี่ยงที่ยอมรับได้ตาม ข้อ 1. ซึ่งเรื่องนี้ก็มีแนวคิดที่ต้องพิจารณาหลายอย่างก็ขอฝากให้ผู้ที่เกี่ยวข้องนำไปพิจารณาก็แล้วกันนะครับ

รูปแบบอื่นของ Risk Appetite และแนวความคิดในการกำหนดให้มีความเสี่ยงที่ยอมรับได้

รูปแบบอื่นของ Risk Appetite และแนวความคิดในการกำหนดให้มีความเสี่ยงที่ยอมรับได้

3. มีความเสี่ยงที่เฉพาะเจาะจงหรืออาจจะคาดไม่ถึง รวมทั้งการปฏิบัติไม่ถูกต้องตามหลักการกฎหมายระหว่างประเทศ หรือกฎหมายภายในประเทศ หรือการรักษาสภาพแวดล้อมที่กำหนดไว้เป็นกฎเกณฑ์ชัดเจนไว้บ้างหรือไม่ มีการทบทวนในเรื่องนี้กันเพียงใด เพราะการรักษาสภาพแวดล้อมเป็นข้อหนึ่งของหลักการที่สำคัยของการกำกับและดูแลกิจการที่ดี ที่เรียกว่า Corporate Governance

ความเข้าใจในกรอบความคิดของระดับความเบี่ยงเบน (Risk Tolerance) จากความเสี่ยงที่ยอมรับได้ (Risk Appetite)

ความเข้าใจในกรอบความคิดของระดับความเบี่ยงเบน (Risk Tolerance) จากความเสี่ยงที่ยอมรับได้ (Risk Appetite)

4. ประเทศหรือหน่วยงานที่เกี่ยวข้องจะยอมรับความเสี่ยงเมื่อเทียบกับผลตอบแทนจากการพิสูจน์ความโปร่งใส และกล้าจะแลกกับความเสี่ยงที่ยอมรับไม่ได้เพียงใด มีความคุ้มค่าหรือไม่ นี่ก็เป็นกรอบแนวคิดเพื่อใช้ดุลยพินิจในการบริหารความเสี่ยงแบบบูรณาการ และได้ดุลยภาพ คุ้มค่ากับการลงทุนที่เป็น Tangible Assets และ Intangible Assets ที่เกี่ยวข้องกับความเสียหายที่พิสูจน์ได้และมีตัวตน และไม่มีตัวตนที่เกี่ยวข้องกับชื่อเสียงและความเชื่อมั่นระดับประเทศ

5. ระดับความเสี่ยงที่เกิดขึ้นมีผลกระทบ (Impact) ต่อเรื่องอื่น ๆ มากน้อยเพียงใด เมื่อพิจารณาถึงระยะสั้น ระยะกลาง และระยะยาว

ความสัมพันธ์ระหว่างความเสี่ยงที่ยอมรับได้กับระดับความเบี่ยงเบนจากความเสี่ยงที่ยอมรับได้

ความสัมพันธ์ระหว่างความเสี่ยงที่ยอมรับได้กับระดับความเบี่ยงเบนจากความเสี่ยงที่ยอมรับได้

6. โครงการนี้ได้เตรียมการไว้เพียงใด มีเครื่องมือเพียงพอและเหมาะสมหรือไม่ในการดำเนินการที่มีความเสี่ยงในระดับที่กำหนดไว้

7. โครงการนี้ หากเกิดปัญหาขึ้นมาจะสามารถอธิบายในเชิงรูปธรรมที่ชัดเจนตามหลักและกรอบการบริหารความเสี่ยงอย่างเป็นกระบวนการได้เพียงใด โดยเฉพาะอย่างยิ่ง กรอบการบริหารความเสี่ยง โดยใช้หลักการของ COSO – Enterprise Risk Management

ผมได้เสนอรูปแบบที่อธิบายด้วยแผนภาพ แสดงถึงโอกาสที่จะเกิดและผลกระทบที่เกิดจากความเสี่ยงและความเสียหาย และรูปแบบของระดับความเสี่ยงที่ยอมรับได้ ซึ่งน่าจะเป็นประโยชน์สำหรับการดำเนินการบริหารความเสี่ยงในระดับประเทศ ความเสี่ยงในระดับองค์กร และความเสี่ยงในระดับการปฏิบัติงาน

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเสี่ยงที่ยอมรับได้ หรือ Risk Appetite และ Risk Tolerance กับการตรวจสอบตู้คอนเทนเนอร์ที่แสมสาน สัตหีบ และการตัดสินใจของรัฐบาล

มิถุนายน 1, 2009

เมื่อวันศุกร์ที่ 29 พฤษภาคม 2552 ผมมีโอกาสได้ไปรับฟังการบรรยายของท่านนายกรัฐมนตรี อภิสิทธิ์ เวชชาชีวะ ที่โรงแรมแอทธินี ซึ่งจัดโดยสมาคมส่งเสริมกรรมการไทย หรือ IOD ท่านได้พูดตอนหนึ่งว่า จะให้การสนับสนุนให้มีการตรวจสอบตู้คอนเทนเนอร์ ที่จมน้ำมาประมาณ 17 ปี ซึ่งได้รับความสนใจจากประชาชนว่าข้างในตู้คอนเทนเนอร์จะเป็นอะไร เช่น เป็นซากศพ เป็นสารพิษหนัก หรืออะไรกันแน่นั้น ท่านนายกได้สรุปว่า เพื่อความโปร่งใสในเรื่องนี้ ท่านจะให้มีการดำเนินการตรวจสอบสิ่งที่อยู่ในตู้คอนเทนเนอร์ต่อไป

แนวความคิดนี้ หลายท่านก็คงถูกใจ หลายท่านก็อาจเป็นห่วง มุมมองของความคิดและการพิจารณาในเรื่องนี้ก็คือ การเน้นความโปร่งใสที่จะต้องมีการตรวจสอบได้ตามหลักการของ Corporate Governance ซึ่งเป็นเรื่องที่ดีและเป็นที่ยอมรับกันอย่างเป็นสากล

อย่างไรก็ดี แนวความคิดในการตรวจสอบตู้คอนเทนเนอร์ ควรอยู่ภายใต้กรอบของความเสี่ยงที่ประเทศและสังคมยอมรับได้ นั่นคือ ทางการหรือผู้รับผิดชอบในเรื่องนี้ ควรจะได้กำหนดระดับความเสี่ยงของการตรวจสอบตู้นี้ให้อยู่ในระดับที่ยอมรับได้ (Risk Appetite) เพื่อใช้เป็นบรรทัดฐานในการดำเนินงานและการตัดสินใจและใช้ดุลยพินิจของผู้ดำเนินการในทุกระดับที่เกี่ยวข้อง นั่นคือ หากเป็นสารพิษที่เป็นโลหะหนัก ที่จะมีพิษยาวนานประมาณ 30 – 40 ปี และหากพิษนั้นรั่วไหลออกมาสู่ทะเล จะเกิดปัญหาที่คาดไม่ถึงและยอมรับไม่ได้ต่อสภาพแวดล้อม ต่อสังคม ต่อการท่องเที่ยว ต่อสาธารณสุขของประชาชน รวมทั้งความไว้วางใจได้ของมวลชนทั้งในและต่างประเทศเพียงใด

ในเรื่องนี้ ถ้าไม่มีกรอบ ผลกระทบของความเสี่ยงที่จะก่อให้เกิดความเสียหายได้ในระดับประเทศ ในระดับชุมชนที่ชัดเจนและเป็นรูปธรรม ที่สามารถวัด ประเมินผลได้อย่างเป็นรูปธรรม ก็ยังไม่ควรดำเนินการจนกว่าผู้ที่เกี่ยวข้องจะได้กำหนด Risk Appetite ให้ชัดเจน และกำหนดแนวทางขั้นตอนในการดำเนินงานที่เหมาะสม หากเข้าใจว่าเป็นสารพิษที่เป็นโลหะหนัก ผลกระทบที่เกิดขึ้นในมุมมองต่าง ๆ จะเป็นเช่นใด ยอมรับได้หรือไม่ เช่น ถ้ามีคนตาย อันเกิดจากสารพิษในภายหลัง 1 คน หรือ 5 คน หรือ 10 คน หรือมากกว่านั้น ยอมรับให้มีการตรวจสอบในเชิงลึกได้หรือไม่ หากสภาพแวดล้อมต้องเสียหาย น้ำทะเลในแถบนั้นเป็นพิษ และมีผลกระทบต่อระบบนิเวศของสัตว์และพืช รวมทั้งประชาชนในวงกว้าง ผู้ที่เกี่ยวข้องควรจะใช้ดุลยพินิจอย่างไร ++

ระดับความเสี่ยงที่ยอมรับได้ระดับประเทศหรือระดับองค์กร หรือระดับการปฏิบัติงาน

ระดับความเสี่ยงที่ยอมรับได้ระดับประเทศหรือระดับองค์กร หรือระดับการปฏิบัติงาน

แน่นอนว่าหากไม่มีการกำหนดกรอบผลกระทบซึ่งเป็นความเสี่ยงและความเสียหายที่ยอมรับได้ ที่เรียกกันติดปากว่า Risk Appetite ใช้ชัดเจน ก็เปรียบเสมือนกับการกำหนดเป้าหมายที่ไม่เข้าหลักการ SMART ก็จะมีปัญหาเรื่องการปฏิบัติการเช่นกัน เพราะหากเป้าหมายไม่ชัดเจน Risk Appetite และขั้นตอนในการดำเนินงานต่าง ๆ ของการสำรวจตู้คอนเทนเนอร์ก็จะไม่ชัดเจนตามไปด้วย เป็นต้น

วันนี้ผมจะพูดถึงเรื่องระดับความเสี่ยงที่ประเทศหรือองค์กรยอมรับได้ (Risk Appetite) เพื่อเชื่อมไปสู่โครงการสำรวจตู้คอนเทนเนอร์ตามที่กล่าวข้างต้น ดังนี้

ระดับความเสี่ยงที่ยอมรับได้ หรือ Risk Appetite ก็คือ ระดับความเสี่ยงที่สามารถกำหนดได้ทั้งในเชิงปริมาณและเชิงคุณภาพ ที่เข้าใจตรงกันในระดับประเทศหรือองค์กร หรือโครงการ เช่น โครงการสำรวจตู้คอนเทนเนอร์ที่แสมสาน เป็นต้น

คำจำกัดความ Risk Appetite

คำจำกัดความ Risk Appetite

เราลองมาช่วยกันตั้งคำถาม เพื่อพิจารณาถึงระดับความเสี่ยงโดยทั่วไปที่องค์กรยอมรับได้ แต่ ณ ที่นี้ ผมจะพยายามพูดถึงความเสี่ยงของโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสานเป็นหลัก ซึ่งบางส่วนจะเกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ในระดับหน่วยงาน / องค์กร และระดับประเทศด้วย โดยมีแนวทางดังนี้

1. ความเสี่ยงและผลกระทบ (Impact) ระดับใดที่ประเทศหรือโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสานจะยอมรับได้ หรือยอมรับไม่ได้ เช่น ในกรณีของวิทยุการบิน อาจกำหนด Risk Appetite ไว้ว่าความปลอดภัยของการบิน โดยเฉพาะอย่างยิ่งที่เกี่ยวกับการสื่อสารและการอำนวยความสะดวกของทุกเที่ยวบิน ในการนำเครื่องบินขึ้น – ลง จะต้องมีความปลอดภัยเต็ม 100% โดยไม่ยอมรับความเสี่ยงจากการเกิดอุบัติเหตุเลยแม้แต่ครั้งเดียว เป็นต้น

แนวทางในการกำหนด Risk Appetite

แนวทางในการกำหนด Risk Appetite

ดังนั้น ในกรณีโครงการสำรวจตู้คอนเทนเนอร์ที่แสมสาน เป็นไปได้ไหมว่า หากสภาพแวดล้อมเป็นพิษ ระบบนิเวศน์จะมีปัญหาและมีผลกระทบต่อสัตว์ทะเล รวมทั้งความเชื่อมั่นของการส่งอาหารทะเลไปต่างประเทศ และการบริโภคอาหารทะเลของคนไทย จะยอมรับความเสี่ยงไม่ได้ นั่นคือ จะต้องมีการสำรวจให้แน่ใจอย่างสมเหตุสมผลก่อนว่า สิ่งที่บรรจุอยู่ในตู้คอนเทนเนอร์เป็นอะไรกันแน่ หากตู้คอนเทนเนอร์มีรู การส่งกล้องผ่านลงไปนั้นก็อาจจะไม่เห็นสิ่งใด หรืออาจจะเห็นเพียงถังหรือพาชนะที่เก็บวัตถุหรือสารที่ต้องสงสัย ที่อาจเป็นสารพิษได้นั้น โครงการนี้จะวางแผนที่จะเจาะเข้าไปในถังหรือพาชนะที่อาจบรรจุสารพิษหรือไม่ คุ้มหรือไม่ที่จะทำเช่นนั้น เพราะถ้าเป็นสารพิษจริง อะไรจะเกิดขึ้น และมีผลกระทบต่อความเสียหายที่ไม่อาจยอมรับได้ตามที่ได้กล่าวแล้ว

ตัวอย่างของ Risk Appetite

ตัวอย่างของ Risk Appetite

รายละเอียดในเรื่องการดำเนินการ ผมคิดว่าคงจะเป็นหน้าที่ของหน่วยงานที่เกี่ยวข้องที่จะปฏิบัติตามโครงการนี้ ผมเพียงแต่ให้แนวความคิดที่จะใช้ในการตัดสินใจและการปฏิบัติงานที่มีเหตุมีผล โดยนำหลักการบริหารความเสี่ยงอย่างเป็นกระบวนการและนำเรื่องระดับความเสี่ยงที่ประเทศหรือองค์กร หรือโครงการยอมรับได้เท่านั้นมาใช้อธิบายเป็นอุทธาหรณ์

2. ประเทศหรือทีมงานที่ต้องดำเนินงานตามโครงการนี้ พร้อมที่จะรับความเสี่ยงเพิ่มขึ้นจากระดับความเสี่ยงที่ยอมรับได้ที่จะเกิดขึ้นหรือไม่ และหากยอมรับได้ บุคคลหรือหน่วยงานที่เกี่ยวข้องใช้ดุลยพินิจอะไรในการพิจารณาการดำเนินการต่อไป เกินระดับความเสี่ยงที่ยอมรับได้ตาม ข้อ 1. ซึ่งเรื่องนี้ก็มีแนวคิดที่ต้องพิจารณาหลายอย่างก็ขอฝากให้ผู้ที่เกี่ยวข้องนำไปพิจารณาก็แล้วกันนะครับ

รูปแบบอื่นของ Risk Appetite และแนวความคิดในการกำหนดให้มีความเสี่ยงที่ยอมรับได้

รูปแบบอื่นของ Risk Appetite และแนวความคิดในการกำหนดให้มีความเสี่ยงที่ยอมรับได้

3. มีความเสี่ยงที่เฉพาะเจาะจงหรืออาจจะคาดไม่ถึง รวมทั้งการปฏิบัติไม่ถูกต้องตามหลักการกฎหมายระหว่างประเทศ หรือกฎหมายภายในประเทศ หรือการรักษาสภาพแวดล้อมที่กำหนดไว้เป็นกฎเกณฑ์ชัดเจนไว้บ้างหรือไม่ มีการทบทวนในเรื่องนี้กันเพียงใด เพราะการรักษาสภาพแวดล้อมเป็นข้อหนึ่งของหลักการที่สำคัยของการกำกับและดูแลกิจการที่ดี ที่เรียกว่า Corporate Governance

ความเข้าใจในกรอบความคิดของระดับความเบี่ยงเบน (Risk Tolerance) จากความเสี่ยงที่ยอมรับได้ (Risk Appetite)

ความเข้าใจในกรอบความคิดของระดับความเบี่ยงเบน (Risk Tolerance) จากความเสี่ยงที่ยอมรับได้ (Risk Appetite)

4. ประเทศหรือหน่วยงานที่เกี่ยวข้องจะยอมรับความเสี่ยงเมื่อเทียบกับผลตอบแทนจากการพิสูจน์ความโปร่งใส และกล้าจะแลกกับความเสี่ยงที่ยอมรับไม่ได้เพียงใด มีความคุ้มค่าหรือไม่ นี่ก็เป็นกรอบแนวคิดเพื่อใช้ดุลยพินิจในการบริหารความเสี่ยงแบบบูรณาการ และได้ดุลยภาพ คุ้มค่ากับการลงทุนที่เป็น Tangible Assets และ Intangible Assets ที่เกี่ยวข้องกับความเสียหายที่พิสูจน์ได้และมีตัวตน และไม่มีตัวตนที่เกี่ยวข้องกับชื่อเสียงและความเชื่อมั่นระดับประเทศ

5. ระดับความเสี่ยงที่เกิดขึ้นมีผลกระทบ (Impact) ต่อเรื่องอื่น ๆ มากน้อยเพียงใด เมื่อพิจารณาถึงระยะสั้น ระยะกลาง และระยะยาว

ความสัมพันธ์ระหว่างความเสี่ยงที่ยอมรับได้กับระดับความเบี่ยงเบนจากความเสี่ยงที่ยอมรับได้

ความสัมพันธ์ระหว่างความเสี่ยงที่ยอมรับได้กับระดับความเบี่ยงเบนจากความเสี่ยงที่ยอมรับได้

6. โครงการนี้ได้เตรียมการไว้เพียงใด มีเครื่องมือเพียงพอและเหมาะสมหรือไม่ในการดำเนินการที่มีความเสี่ยงในระดับที่กำหนดไว้

7. โครงการนี้ หากเกิดปัญหาขึ้นมาจะสามารถอธิบายในเชิงรูปธรรมที่ชัดเจนตามหลักและกรอบการบริหารความเสี่ยงอย่างเป็นกระบวนการได้เพียงใด โดยเฉพาะอย่างยิ่ง กรอบการบริหารความเสี่ยง โดยใช้หลักการของ COSO – Enterprise Risk Management

ผมได้เสนอรูปแบบที่อธิบายด้วยแผนภาพ แสดงถึงโอกาสที่จะเกิดและผลกระทบที่เกิดจากความเสี่ยงและความเสียหาย และรูปแบบของระดับความเสี่ยงที่ยอมรับได้ ซึ่งน่าจะเป็นประโยชน์สำหรับการดำเนินการบริหารความเสี่ยงในระดับประเทศ ความเสี่ยงในระดับองค์กร และความเสี่ยงในระดับการปฏิบัติงาน

3 ความเห็น | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »