ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 15, 2009
Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ITG กับการประเมินศักยภาพและการบริหารความเสี่ยงของหน่วยงานภาครัฐ (ต่อ)

พ.ค. 15, 2009
Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

Performance Measurement ที่จำเป็นอย่างยิ่งในองค์ประกอบของ IT Governance

วันนี้ ผมขอนำรายละเอียดบางประการที่หน่วยงานกำกับภาครัฐ คือ สคร. โดย ก. คลัง ได้กำหนดวิธีการประเมินศัยกภาพการบริหารความเสี่ยงของหน่วยงานรัฐวิสาหกิจ โดยรวม ITG เข้าเป็นส่วนหนึ่งของการประเมินการบริหารความเสี่ยงด้วยเพราะ IT Risk ก็คือ Business Risk ในภาพโดยรวม และ IT Risk ก็เป็นส่วนหนึ่งที่สำคัญยิ่งยวดที่มีผลกระทบหรือ Impact ต่อ Business Process ของทุกองค์กรที่ใช้ IT เป็นเรื่องปกติ

ในกระบวนการบริหารความเสี่ยงตามหลักการของ COSO – ERM โดยเฉพาะอย่างยิ่งความเสี่ยงระดับองค์กรที่เกี่ยวข้องกับ S – O – F – C ผู้บริหารและผู้ที่เกี่ยวข้องจะต้องเข้าใจถึงคำว่า “กระบวนการบริหารความเสี่ยง” ซึ่งมีคำอธิบายแต่ละคำ (word) ของคำว่ากระบวนการไว้ชัดเจนตามที่กล่าวไว้ใน Article ที่เกี่ยวข้องกับ ITG นี้แล้ว

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

GRC_Value Creation กับกระบวนการบริหารความเสี่ยง เพื่อก้าวไปสู่ CG และ ITG

การประเมินผลที่ได้คะแนนในระดับที่ 4 จาก 5 ระดับ มีดังนี้

ระดับ 4 : การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 3

2. กลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับ การกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุน ของรัฐวิสาหกิจ ซึ่งได้แก่การมีหลักฐานที่ชัดเจนที่แสดงถึงการพิจารณาความเสี่ยงต่างๆ (ทั้งความเสี่ยงทางการเงิน และไม่ใช่ทางการเงิน) ประกอบในการกำหนดนโยบาย/กลยุทธ์ /การวางแผน /การลงทุน

3. มีการบริหารความเสี่ยงและมีการสนับสนุนการบริหารฯ เพื่อเพิ่มมูลค่าฯ (Value Enhancement)
3.1 ปฏิบัติตามแผนบริหารความเสี่ยงประจำปีครบถ้วน
3.2 มีการวิเคราะห์/บริหารความเสี่ยงเพื่อให้บรรลุเป้าหมายทางการเงิน ทั้งการแสวงหารายได้ การวิเคราะห์ กำหนดนโยบายและเป้าหมายทางการเงินโดยเฉพาะในเรื่องของอัตราการเติบโตทางการเงิน (Growth, Return) หรือการควบคุม/บริหารต้นทุนและ/หรือค่าใช้จ่ายที่ต้องเชื่อมโยงกับการวิเคราะห์และบริหาร ความเสี่ยง หรือการที่รัฐวิสาหกิจมีการวิเคราะห์/บริหารความเสี่ยง เพื่อให้บรรลุเป้าหมายที่ไม่ใช่การเงิน เช่น การบริหารความเสี่ยงเพื่อเพิ่มคุณภาพการบริการ/ความพึงพอใจ หรือเพื่อให้บรรลุเป้าหมายทางการตลาด เป็นต้น รวมถึงการที่องค์กรมีการวิเคราะห์ความเสี่ยงเพื่อเป็นพื้นฐานของการบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าขององค์กร (Value Creation) โดยการวิเคราะห์ความเสี่ยงเพื่อสร้างความมั่นใจถึงการเป็นองค์กรแห่งการเรียนรู้ (Learning Organization) ซึ่งจะส่งเสริมพัฒนาทักษะ ความสามารถ ความคิดสร้างสรรค์ของบุคลากร รวมถึงการส่งเสริมและสร้างบรรยากาศเพื่อก่อให้เกิดนวัตกรรมและการสร้างสรรค์ขององค์กร เช่นเดียวกัน
3.3 มีการสื่อสารถึงคณะกรรมการตรวจสอบและผู้บริหารระดับสูงสุด อย่างต่อเนื่อง (ตามที่ระบุ/กำหนดไว้ในคู่มือการบริหารความเสี่ยง)

4. มีการทบทวนการบริหารความเสี่ยงสม่ำเสมอและทำการปรับปรุงเมื่อจำเป็น เช่น ควรมีการปรับปรุงแผนการบริหารความเสี่ยงตามสภาพแวดล้อมที่เปลี่ยนแปลงไป หรือในกรณีที่ผลการบริหารความเสี่ยงไม่เป็นไปตามเป้าหมายที่กำหนด ได้แก่
– การกำหนดนโยบาย โครงสร้าง และความรับผิดชอบ
– พัฒนากระบวนการบริหารความเสี่ยงที่ดีและสอดคล้องกับประเด็นปัญหา/อุปสรรคที่ผ่านมา
– พัฒนาอบรม และสื่อสารให้ทุกคนเข้าใจตรงกัน

5. การจัดให้มีบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยงอย่างต่อเนื่อง เช่น จรรยาบรรณ และผู้บริหารรับฟังการท้วงติงของความเสี่ยง รวมถึงมีการปรับปรุงอย่างสม่ำเสมอ เช่น การสื่อสารสองทางที่มีประสิทธิภาพ และความรับผิดชอบของการบริหารความเสี่ยง เป็นต้น

พิจารณาเพิ่มเติมถึงความสำเร็จของแผนงาน/โครงการ ที่แสดงให้เห็นถึงการสำรวจทัศนคติของพนักงานในเรื่องการบริหารความเสี่ยงขององค์กร

6. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้

6.1 คณะกรรมการรัฐวิสาหกิจมีการประเมินผลฝ่ายบริหารในการจัดการกับความเสี่ยงและปัญหาที่อาจเกิดขึ้นทางด้าน IT ได้แก่
6.1.1 มีศูนย์คอมพิวเตอร์สำรองนอกสถานที่ทำการ (Off-Site Back Up)
6.1.2 มีระบบการดูแลสภาพแวดล้อม ของ ศูนย์คอมพิวเตอร์หลักที่ดีมีมาตรฐาน (IT Security Room) โดยเป็นไปตามมาตรฐานสากลที่เป็นที่ยอมรับโดยทั่วไป เช่น BS/EN1047-2 หรือ COBIT เป็นต้น
ทั้งนี้ รส. ต้องพิจารณาถึง ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time : t0 ถึง t1 เปรียบเทียบกับ ความสูญเสียที่ยอมรับได้ (Recovery Point) ด้วย

หาก รส. ที่ไม่มี หรืออยู่ระหว่างการจัดทำ IT Security Room (EN 1047-2) ให้พิจารณาดังนี้

ความสูญเสียที่เกิดขึ้นระหว่างระยะเวลาการฟื้นฟูหรือกู้ระบบให้กลับมาทำงานได้ (Recovery Time: t0 t1) เปรียบเทียบกับ
– ความสูญเสียที่ยอมรับได้ (Recovery Point) หรือ
– เกณฑ์การประเมิน Critical Infrastructure ของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเลคทรอนิกส์ (เวอร์ชัน 2) ปี 2549

• ถ้า พิสูจน์ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ผ่าน
การประเมิน สามารถขึ้นสู่ระดับ 4 ได้ (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)
• ถ้า พิสูจน์ไม่ได้ว่าผ่าน ความสูญเสียที่ยอมรับได้/Critical Infrastructure ไม่ผ่าน
การประเมิน จะไม่ได้คะแนนในข้อนี้ โดยคะแนนสูงสุดที่จะได้คือ 3.95 (ขึ้นอยู่กับผลประเมินข้อย่อยอื่น)

6.1.3 มีระบบการจัดการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Management : BCM) ของงานหลัก ๆ ทุกด้าน โดยควรมีการวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่าธุรกิจจะไม่มีปัญหาในสถานการณ์ฉุกเฉินต่างๆ อย่างเป็นรูปธรรม เป็นต้น โดย BCM มีวัตถุประสงค์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง ด้วยการจัดการที่ดี (ด้าน IT, IT Related และ Non – IT จากสถานการณ์ต่างๆ ที่อาจเกิดขึ้นได้ )

6.2 คณะกรรมการรัฐวิสาหกิจจัดให้มีการจัดการที่ดีถึงกลยุทธ์ทางด้าน IT ของรัฐวิสาหกิจ เช่น การจัดตั้งคณะอนุกรรมการการกำหนดกลยุทธ์ทางด้าน IT (IT Strategy Committee) เป็นต้น

6.3 ฝ่ายบริหารมีการประเมินศักยภาพของ IT และการจัดการอย่างสม่ำเสมอ ทั้งทางด้านการเงินและมิใช่การเงิน เช่น อัตราการเพิ่มของผลตอบแทนที่ได้จากการลงทุนทางด้าน IT และระยะเวลาของการเปลี่ยนแปลงกระบวนการและระบบการทำงาน เป็นต้น

6.4 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจสามารถใช้งานได้จริงและข้อมูลมีคุณค่าต่อการตัดสินใจเชิงบริหารหลัก ๆ ทางด้าน S-O-F-C ของคณะกรรมการและผู้บริหารระดับสูง ในการก้าวไปสู่วัตถุประสงค์และเป้าหมายขององค์กร

7. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนการควบคุมและการจัดการที่ได้จัดทำขึ้น และดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตในจุดอ่อนระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง (ต่อ)

พ.ค. 15, 2009

จนถึงปัจจุบัน ผู้กำกับหน่วยงานของ ธอส. ที่เกี่ยวข้องกับการทุจริตและเกิดผลเสียหายประมาณ 400 ล้านบาท ยังเป็นที่สนใจของบุคคลที่เกี่ยวข้องว่า หน่วยงานของรัฐแห่งนี้มีการบริหารงานที่ดี โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง อันเป็นที่ยอมรับได้ระดับหนึ่งนั้น เกิดการทุจริตเช่นนี้ขึ้นได้อย่างไร เหตุใดผู้ทุจริตจึงสามารถกระทำการทุจริตได้โดยใช้เวลาอันยาวนาน และผู้บริหาร ผู้ตรวจสอบ รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยงไม่สามารถ Mornitor หรือติดตามความเสี่ยงที่เกิดจาก Operation Risk ที่เกี่ยวข้องกับ People, Process และ Technology รวมทั้ง Compliance Risk ที่เกี่ยวข้องกับการปฏิบัติตามระเบียบและกฎเกณฑ์ของหน่วยงานและผู้กำกับที่เกี่ยวข้อง

Value Creation for Effectiveness & Efficiency of Operations

Value Creation for Effectiveness & Efficiency of Operations

สำหรับส่วนตัวของผม ผมยังมีความเข้าใจและมั่นใจว่า ธอส. ยังมีกระบวนการบริหารและการจัดการที่ดีอยู่ เพียงยังอาจปรับปรุงกระบวนการบริหารความเสี่ยงบางมุมมอง โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับกระบวนการทบทวนการบริหาร การควบคุมความเสี่ยงของระบบงานที่เกี่ยวข้องกับ Business Process ไปสู่ Business Objective ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ที่รวมทั้งเรื่อง ISO 27001 และ COBIT ตามหลักการของ IT Governance ที่มีผลเกี่ยวข้องกับ Corporate Governance ซึ่งเชื่อมโยงกับการบริหารความเสี่ยงตามหลักการของ COSO – ERM การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

วันนี้ ผมจึงขอออกความเห็นเบื้องต้นที่ยังขาดข้อมูลและข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้นอยู่มาก แต่จะขออธิบายภาพโดยรวม ถึงสิ่งที่หน่วยงานที่เกี่ยวข้องอาจใช้ประสบการณ์เกี่ยวกับกระบวนการบริหารความเสี่ยง การควบคุมความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ การวิเคราะห์ Business Process การวิเคราะห์ Business Model บางประการ ดังนี้

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

ผมขอให้ข้อสังเกตผ่านแผนภาพเป็นสำคัญ แทนการใช้คำอธิบายที่อาจจะน่าเบื่อสำหรับบางท่าน ขอให้ท่านที่สนใจอ่านและทบทวนกระบวนการดำเนินการตามภาพข้างต้น แล้วซักถามผู้ที่เกี่ยวข้องอย่างเป็นระบบและเป็นกระบวนการตามขั้นตอนที่เหมาะสมให้เป็นไปตามแนวทางของ COSO – ERM คำตอบที่ได้รับในประเด็นที่น่าสนใจนำกลับมาตั้งคำถามใหม่ เพื่อให้คำตอบตรงกับเป้าประสงค์ของผู้ถาม ซึ่งต้องมีความรอบรู้และมีประสบการณ์บริหารอย่างเป็นกระบวนการที่แท้จริง ทั้งทางด้าน IT และ Non – IT

ครั้งต่อไป ผมจะพยายามสร้าง Scenario เพื่อซักถามเป็นตุ๊กตาต้นแบบ เพื่อก้าวเข้าไปหาหรือเพื่อการวิเคราะห์ต้นเหตุหรือสาเหตุ (Root Cause) ของจุดอ่อนของกระบวนการทำงาน (Business Process) รวมไปถึงเทคโนโลยี (Technology) ที่เกี่ยวข้องและแน่นอนว่า จะสัมพันธ์กับบุคลากร (People) ที่จะมีรายการสัมพันธ์กัน เชื่อมโยงกันในกระบวนการที่เป็นจุดอ่อนที่เกิดขึ้น รวมไปถึงการก้าวไปสู่ผู้ที่น่าจะเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นได้

Functional Perspectives & Competency to drive IT Security + Successful Business

Functional Perspectives & Competency to drive IT Security + Successful Business

ก่อนจะจบการให้ข้อสังเกตในวันนี้ ผมใคร่ขอจะกล่าวสั้น ๆ เพียงว่า ศักยภาพของผู้ตรวจสอบ ผู้บริหารความเสี่ยงในระดับต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจถึงเรื่อง Risk Convergence ซึ่งส่วนใหญ่จะเกี่ยวข้องกับทางด้าน IT Governance และ IT Management เพื่อลดความเสี่ยงในการบริหารและการตรวจสอบ (Risk Management & Audit Risk) ที่เกี่ยวข้องกับ
– Poor Security & Reporting
– Poor Management Control ที่เกี่ยวข้องกับการบริหารองค์ประกอบของสารสนเทศที่ดี 7 ประการ ตามที่เคยกล่าวไปแล้ว รวมทั้งรายงานที่เกี่ยวข้อง
– Poor Financial Transparency โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับ IT Investments รวมทั้งการกำกับและการบริหารที่ผิดทิศทาง ไม่เป็นไปตามหลักการของกระบวนการบริหารทางด้าน ITG – COBIT และ IT Security ที่ดี
– Fraud ซึ่งเป็นการทุจริตส่วนใหญ่ที่เกิดขึ้นภายในองค์กร โดยบุคลากรขององค์กรนั้นเองเป็นสำคัญ ที่ไม่เข้าใจ Business Process ในการก้าวไปสู่ Business Objective ที่เกี่ยวข้องกับ Internal Control ซึ่งสัมพันธ์กับ Risk Management และ Internal Audit – Risk – Based และ Audit Instinct หรือสัญชาตญาณในการตรวจสอบ หรือศัยกภาพในการตรวจสอบ ที่จะครอบคลุมและผสมผสานระหว่าง IT Audit และ Non – IT Audit โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบทางด้าน Non – IT ที่อาจจะไม่สนใจผลกระทบหรือ Impact ของ IT Risk ต่อ Business Risk ซึ่งมีผลอย่างสำคัญถึงกระบวนการตรวจสอบและการวางแผนการตรวจสอบ ซึ่งมีเรื่องที่ต้องทำความเข้าใจกันค่อนข้างมาก

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

นี่เป็นเหตุผลสำคัญที่ผมยังไม่แยกภาคการตรวจสอบ IT Audit กับ Non – IT Audit อย่างชัดเจนในช่วงนี้ ทั้งนี้ผมต้องการที่จะให้ผู้บริหารที่เกี่ยวข้องต่อการกำกับและการตรวจสอบทั้ง 2 ด้าน เห็นความสัมพันธ์และความเชื่อมโยง รวมทั้งผลกระทบของ IT Risk ที่มีต่อกระบวนการตรวจสอบโดยรวม

ซึ่งผมจะได้กล่าวในรายละเอียดในช่วงต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตในจุดอ่อนระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง (ต่อ)

พ.ค. 15, 2009

จนถึงปัจจุบัน ผู้กำกับหน่วยงานของ ธอส. ที่เกี่ยวข้องกับการทุจริตและเกิดผลเสียหายประมาณ 400 ล้านบาท ยังเป็นที่สนใจของบุคคลที่เกี่ยวข้องว่า หน่วยงานของรัฐแห่งนี้มีการบริหารงานที่ดี โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง อันเป็นที่ยอมรับได้ระดับหนึ่งนั้น เกิดการทุจริตเช่นนี้ขึ้นได้อย่างไร เหตุใดผู้ทุจริตจึงสามารถกระทำการทุจริตได้โดยใช้เวลาอันยาวนาน และผู้บริหาร ผู้ตรวจสอบ รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยงไม่สามารถ Mornitor หรือติดตามความเสี่ยงที่เกิดจาก Operation Risk ที่เกี่ยวข้องกับ People, Process และ Technology รวมทั้ง Compliance Risk ที่เกี่ยวข้องกับการปฏิบัติตามระเบียบและกฎเกณฑ์ของหน่วยงานและผู้กำกับที่เกี่ยวข้อง

Value Creation for Effectiveness & Efficiency of Operations

Value Creation for Effectiveness & Efficiency of Operations

สำหรับส่วนตัวของผม ผมยังมีความเข้าใจและมั่นใจว่า ธอส. ยังมีกระบวนการบริหารและการจัดการที่ดีอยู่ เพียงยังอาจปรับปรุงกระบวนการบริหารความเสี่ยงบางมุมมอง โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับกระบวนการทบทวนการบริหาร การควบคุมความเสี่ยงของระบบงานที่เกี่ยวข้องกับ Business Process ไปสู่ Business Objective ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ที่รวมทั้งเรื่อง ISO 27001 และ COBIT ตามหลักการของ IT Governance ที่มีผลเกี่ยวข้องกับ Corporate Governance ซึ่งเชื่อมโยงกับการบริหารความเสี่ยงตามหลักการของ COSO – ERM การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

วันนี้ ผมจึงขอออกความเห็นเบื้องต้นที่ยังขาดข้อมูลและข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้นอยู่มาก แต่จะขออธิบายภาพโดยรวม ถึงสิ่งที่หน่วยงานที่เกี่ยวข้องอาจใช้ประสบการณ์เกี่ยวกับกระบวนการบริหารความเสี่ยง การควบคุมความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ การวิเคราะห์ Business Process การวิเคราะห์ Business Model บางประการ ดังนี้

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

ผมขอให้ข้อสังเกตผ่านแผนภาพเป็นสำคัญ แทนการใช้คำอธิบายที่อาจจะน่าเบื่อสำหรับบางท่าน ขอให้ท่านที่สนใจอ่านและทบทวนกระบวนการดำเนินการตามภาพข้างต้น แล้วซักถามผู้ที่เกี่ยวข้องอย่างเป็นระบบและเป็นกระบวนการตามขั้นตอนที่เหมาะสมให้เป็นไปตามแนวทางของ COSO – ERM คำตอบที่ได้รับในประเด็นที่น่าสนใจนำกลับมาตั้งคำถามใหม่ เพื่อให้คำตอบตรงกับเป้าประสงค์ของผู้ถาม ซึ่งต้องมีความรอบรู้และมีประสบการณ์บริหารอย่างเป็นกระบวนการที่แท้จริง ทั้งทางด้าน IT และ Non – IT

ครั้งต่อไป ผมจะพยายามสร้าง Scenario เพื่อซักถามเป็นตุ๊กตาต้นแบบ เพื่อก้าวเข้าไปหาหรือเพื่อการวิเคราะห์ต้นเหตุหรือสาเหตุ (Root Cause) ของจุดอ่อนของกระบวนการทำงาน (Business Process) รวมไปถึงเทคโนโลยี (Technology) ที่เกี่ยวข้องและแน่นอนว่า จะสัมพันธ์กับบุคลากร (People) ที่จะมีรายการสัมพันธ์กัน เชื่อมโยงกันในกระบวนการที่เป็นจุดอ่อนที่เกิดขึ้น รวมไปถึงการก้าวไปสู่ผู้ที่น่าจะเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นได้

Functional Perspectives & Competency to drive IT Security + Successful Business

Functional Perspectives & Competency to drive IT Security + Successful Business

ก่อนจะจบการให้ข้อสังเกตในวันนี้ ผมใคร่ขอจะกล่าวสั้น ๆ เพียงว่า ศักยภาพของผู้ตรวจสอบ ผู้บริหารความเสี่ยงในระดับต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจถึงเรื่อง Risk Convergence ซึ่งส่วนใหญ่จะเกี่ยวข้องกับทางด้าน IT Governance และ IT Management เพื่อลดความเสี่ยงในการบริหารและการตรวจสอบ (Risk Management & Audit Risk) ที่เกี่ยวข้องกับ
– Poor Security & Reporting
– Poor Management Control ที่เกี่ยวข้องกับการบริหารองค์ประกอบของสารสนเทศที่ดี 7 ประการ ตามที่เคยกล่าวไปแล้ว รวมทั้งรายงานที่เกี่ยวข้อง
– Poor Financial Transparency โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับ IT Investments รวมทั้งการกำกับและการบริหารที่ผิดทิศทาง ไม่เป็นไปตามหลักการของกระบวนการบริหารทางด้าน ITG – COBIT และ IT Security ที่ดี
– Fraud ซึ่งเป็นการทุจริตส่วนใหญ่ที่เกิดขึ้นภายในองค์กร โดยบุคลากรขององค์กรนั้นเองเป็นสำคัญ ที่ไม่เข้าใจ Business Process ในการก้าวไปสู่ Business Objective ที่เกี่ยวข้องกับ Internal Control ซึ่งสัมพันธ์กับ Risk Management และ Internal Audit – Risk – Based และ Audit Instinct หรือสัญชาตญาณในการตรวจสอบ หรือศัยกภาพในการตรวจสอบ ที่จะครอบคลุมและผสมผสานระหว่าง IT Audit และ Non – IT Audit โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบทางด้าน Non – IT ที่อาจจะไม่สนใจผลกระทบหรือ Impact ของ IT Risk ต่อ Business Risk ซึ่งมีผลอย่างสำคัญถึงกระบวนการตรวจสอบและการวางแผนการตรวจสอบ ซึ่งมีเรื่องที่ต้องทำความเข้าใจกันค่อนข้างมาก

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

นี่เป็นเหตุผลสำคัญที่ผมยังไม่แยกภาคการตรวจสอบ IT Audit กับ Non – IT Audit อย่างชัดเจนในช่วงนี้ ทั้งนี้ผมต้องการที่จะให้ผู้บริหารที่เกี่ยวข้องต่อการกำกับและการตรวจสอบทั้ง 2 ด้าน เห็นความสัมพันธ์และความเชื่อมโยง รวมทั้งผลกระทบของ IT Risk ที่มีต่อกระบวนการตรวจสอบโดยรวม

ซึ่งผมจะได้กล่าวในรายละเอียดในช่วงต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 15, 2009

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร ซึ่งมีขั้นตอนค่อนข้างเยอะ แต่ผมก็ได้พยายามอธิบายในลักษณะเป็นขั้นเป็นตอนพร้อมรูปภาพประกอบในแต่ละขั้น คงทำให้หลายท่านพอจะเข้าใจได้ง่ายขึ้นนะครับ

สำหรับวันนี้ ผมจะกล่าวถึงเรื่ององค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management) ซึ่งเป็นแนวทางการบริหารความเสี่ยงตามหลักการของ COSO ที่ประกอบด้วยส่วนประกอบหลัก ๆ 8 ประการ ได้แก่

1. สภาพแวดล้อมภายใน – ฝ่ายบริหารต้องกำหนดปรัชญาเกี่ยวกับความเสี่ยงและความเสี่ยงที่ยอมรับได้ขึ้นมา สภาพแวดล้อมภายในจะกำหนดพื้นฐานเพื่อใช้ในการวิธีการจัดการความเสี่ยงและควบคุม หลักสำคัญขององค์กรคือบุคลากรและสภาพแวดล้อมการทำงาน เช่น โครงสร้าง วัฒนธรรมการทำงาน เป็นต้น

2. การกำหนดวัตถุประสงค์ – ต้องมีการกำหนดวัตถุประสงค์ก่อน ฝ่ายบริหารจึงจะสามารถระบุสถานการณ์ที่อาจทำให้ไม่บรรลุผลสำเร็จได้ ERM จะสร้างความแน่ใจให้กับฝ่ายบริหารว่ามีกระบวนการกำหนดวัตถุประสงค์และเลือกวัตถุประสงค์ที่สนับสนุนและสอดคล้องกับภารกิจ/วิสัยทัศน์และมีความเสี่ยงในระดับที่องค์กรยอมรับได้

3. การระบุสถานการณ์ – ปัจจัยในการระบุสถานการณ์ประกอบด้วย ปัจจัยทั้งภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

4. การประเมินความเสี่ยง – การระบุความเสี่ยงเป็นพื้นฐานนำมาวิเคราะห์ว่าจะจัดการกับความเสี่ยงอย่างไร

5. การตอบสนองความเสี่ยง – ฝ่ายบริหารต้องเลือกวิธีการจัดการกับความเสี่ยงที่ประเมินได้ให้อยู่ในระดับที่องค์กรยอมรับได้ วิธีการจัดการกับความเสี่ยงประกอบด้วย การหลีกเลี่ยง การยอมรับ การลดและการกระจายความเสี่ยง

6. กิจกรรมการควบคุม – เป็นนโยบายและวิธีการที่สร้างขึ้นมาและใช้ในการช่วยให้ฝ่ายบริหารสามารถจัดการกับความเสี่ยงที่อย่างมั่นใจ

7. ข้อมูลสารสนเทศและการสื่อสาร – มีการระบุ จัดการและสื่อสารข้อมูลที่เกี่ยวข้องในรูปแบบและช่วงเวลาที่สามารถทำให้บุคลากรปฏิบัติหน้าที่ความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งจำเป็นในทุกระดับขององค์กรในการระบุ ประเมิน และตอบสนองความเสี่ยง

8. การติดตาม – ต้องมีการติดตามดูแลกระบวนการ ERM ขององค์กร และดัดแปลงเท่าที่จำเป็น การติดตามดูแลต้องทำเป็นกิจกรรมที่ต่อเนื่อง แยกออกมาจากการประเมินผลกระบวนการ ERM หรือผสมผสานทั้งสองอย่างเข้าด้วยกัน

อธิบายไปครบทั้ง 8 ประการแล้ว เราไปดูแผนภาพของส่วนประกอบของ ERM ให้เห็นภาพที่ชัดเจนขึ้นกันครับ

องค์ประกอบของ ERM 8 ประการ

องค์ประกอบของ ERM 8 ประการ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM สามารถแสดงให้เห็นได้ใน 3 มิติ ในลักษณะของลูกเต๋าดังภาพ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

– วัตถุประสงค์ 4 ข้อที่แสดงในแนวตั้ง ได้แก่ กลยุทธ์ การดำเนินงาน การรายงาน และการปฏิบัติตาม
– องค์ประกอบ 8 ประการที่แสดงให้เห็นในแนวนอนและ
– องค์กรและหน่วยต่าง ๆ ขององค์กรจะบรรยายในมิติที่ 3

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

พ.ค. 15, 2009

จากครั้งที่แล้ว ผมได้พูดถึงเรื่องของกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร ซึ่งมีขั้นตอนค่อนข้างเยอะ แต่ผมก็ได้พยายามอธิบายในลักษณะเป็นขั้นเป็นตอนพร้อมรูปภาพประกอบในแต่ละขั้น คงทำให้หลายท่านพอจะเข้าใจได้ง่ายขึ้นนะครับ

สำหรับวันนี้ ผมจะกล่าวถึงเรื่ององค์ประกอบของการบริหารความเสี่ยงทั่วทั้งองค์กร (ERM – Enterprise Risk Management) ซึ่งเป็นแนวทางการบริหารความเสี่ยงตามหลักการของ COSO ที่ประกอบด้วยส่วนประกอบหลัก ๆ 8 ประการ ได้แก่

1. สภาพแวดล้อมภายใน – ฝ่ายบริหารต้องกำหนดปรัชญาเกี่ยวกับความเสี่ยงและความเสี่ยงที่ยอมรับได้ขึ้นมา สภาพแวดล้อมภายในจะกำหนดพื้นฐานเพื่อใช้ในการวิธีการจัดการความเสี่ยงและควบคุม หลักสำคัญขององค์กรคือบุคลากรและสภาพแวดล้อมการทำงาน เช่น โครงสร้าง วัฒนธรรมการทำงาน เป็นต้น

2. การกำหนดวัตถุประสงค์ – ต้องมีการกำหนดวัตถุประสงค์ก่อน ฝ่ายบริหารจึงจะสามารถระบุสถานการณ์ที่อาจทำให้ไม่บรรลุผลสำเร็จได้ ERM จะสร้างความแน่ใจให้กับฝ่ายบริหารว่ามีกระบวนการกำหนดวัตถุประสงค์และเลือกวัตถุประสงค์ที่สนับสนุนและสอดคล้องกับภารกิจ/วิสัยทัศน์และมีความเสี่ยงในระดับที่องค์กรยอมรับได้

3. การระบุสถานการณ์ – ปัจจัยในการระบุสถานการณ์ประกอบด้วย ปัจจัยทั้งภายในและภายนอกที่ส่งผลต่อการนำกลยุทธ์ไปปฏิบัติและการบรรลุวัตถุประสงค์

4. การประเมินความเสี่ยง – การระบุความเสี่ยงเป็นพื้นฐานนำมาวิเคราะห์ว่าจะจัดการกับความเสี่ยงอย่างไร

5. การตอบสนองความเสี่ยง – ฝ่ายบริหารต้องเลือกวิธีการจัดการกับความเสี่ยงที่ประเมินได้ให้อยู่ในระดับที่องค์กรยอมรับได้ วิธีการจัดการกับความเสี่ยงประกอบด้วย การหลีกเลี่ยง การยอมรับ การลดและการกระจายความเสี่ยง

6. กิจกรรมการควบคุม – เป็นนโยบายและวิธีการที่สร้างขึ้นมาและใช้ในการช่วยให้ฝ่ายบริหารสามารถจัดการกับความเสี่ยงที่อย่างมั่นใจ

7. ข้อมูลสารสนเทศและการสื่อสาร – มีการระบุ จัดการและสื่อสารข้อมูลที่เกี่ยวข้องในรูปแบบและช่วงเวลาที่สามารถทำให้บุคลากรปฏิบัติหน้าที่ความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งจำเป็นในทุกระดับขององค์กรในการระบุ ประเมิน และตอบสนองความเสี่ยง

8. การติดตาม – ต้องมีการติดตามดูแลกระบวนการ ERM ขององค์กร และดัดแปลงเท่าที่จำเป็น การติดตามดูแลต้องทำเป็นกิจกรรมที่ต่อเนื่อง แยกออกมาจากการประเมินผลกระบวนการ ERM หรือผสมผสานทั้งสองอย่างเข้าด้วยกัน

อธิบายไปครบทั้ง 8 ประการแล้ว เราไปดูแผนภาพของส่วนประกอบของ ERM ให้เห็นภาพที่ชัดเจนขึ้นกันครับ

องค์ประกอบของ ERM 8 ประการ

องค์ประกอบของ ERM 8 ประการ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM สามารถแสดงให้เห็นได้ใน 3 มิติ ในลักษณะของลูกเต๋าดังภาพ

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

ความสัมพันธ์ของวัตถุประสงค์และองค์ประกอบของ ERM

– วัตถุประสงค์ 4 ข้อที่แสดงในแนวตั้ง ได้แก่ กลยุทธ์ การดำเนินงาน การรายงาน และการปฏิบัติตาม
– องค์ประกอบ 8 ประการที่แสดงให้เห็นในแนวนอนและ
– องค์กรและหน่วยต่าง ๆ ขององค์กรจะบรรยายในมิติที่ 3

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance กับ COSO – ERM

พ.ค. 12, 2009

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance กับ COSO – ERM

พ.ค. 12, 2009

วันนี้ ผมจะเล่าต่อถึงเรื่องที่ สคร. โดยกระทรวงการคลังนำ IT Governance ไปใช้ในการประเมินการบริหารความเสี่ยงของรัฐวิสาหกิจ และรวมทั้งถึงนำไปใช้ในการประเมินการบริหารจัดการสารสนเทศ บางมุมมองต่อไป ทั้งนี้เพราะการบริหารความเสี่ยงเป็นองค์ประกอบหนึ่งที่สำคัญยิ่งของ CG และ ITG + GRC นั่นเอง

การประเมินการบริหารความเสี่ยงแบ่งเป็นขั้นบันไดตามที่แสดงในรูปภาพด้านล่าง หน่วยงานที่ไม่ผ่านระดับ 1 ถึงแม้จะมีการบริหารความเสี่ยงในระดับ 2 – 3 หรือ 4 ก็จะไม่ได้คะแนนในเรื่องนั้น ๆ ทั้งนี้ โดยมีหลักการว่า การบริหารความเสี่ยงตามหลักการของ COSO – ERM องค์กรผู้นำกรอบการบริหารความเสี่ยงไปใช้จะต้องเข้าใจในหลักการบริหารความเสี่ยง และแนวการปฏิบัติในแต่ละขั้นตอนที่แท้จริง มิฉะนั้น กระบวนการบริหารความเสี่ยงในภาพโดยรวมขององค์กรก็จะล้มเหลวและขาดความยั่งยืนในที่สุด

ตัวอย่างในเรื่องนี้ก็คือ หากองค์กรไม่กำหนดวัตถุประสงค์ก่อนการประเมินความเสี่ยง และการควบคุม รวมทั้งการติดตามการควบคุมการบริหารความเสี่ยงอย่างมีขั้นตอนแล้ว ก็เปรียบสเมือนติดกระดุมผิดเม็ด นั่นคือเมื่อต้องการติดกระดุมให้ถูกต้องใหม่ก็ต้องแกะกระดุมทุกเม็ดออกไปก่อน เพื่อจะได้ติดกระดุมเม็ดแรกให้ถูกต้อง ซึ่งจะทำให้การติดกระดุมเม็ดต่อ ๆ ไปถูกต้องไปด้วยนั่นเอง นั่นคือที่มาของเกณฑ์การประเมินผลและการให้คะแนนตามขั้นบันไดของทางการที่เป็นอยู่ในปัจจุบัน

ทั้งนี้เพราะ หากไม่ดำเนินการตามที่กล่าวในวรรคต้น ก็อาจจะมีหน่วยงานของรัฐบางแห่ง หรือจำนวนไม่น้อยที่ได้คะแนนประเมินผลการบริหารความเสี่ยงในระดับสูง ที่ไม่สะท้อนถึงความเข้าใจในทางปฏิบัติอย่างเป็นกระบวนการของการบริหารความเสี่ยงอย่างแท้จริง พิสูจน์ได้จากบางหน่วยงานที่ได้รับการประเมินผลในปีก่อน ๆ มีคะแนนที่สูง แต่คะแนนในปีต่อ ๆ มา จะได้คะแนนลดลงจากความเสียหายที่เกิดจากการควบคุมความเสี่ยงที่ไม่ได้ผลอย่างชัดเจน ซึ่งแสดงให้เห็นถึงการขาดดุลยภาพและการบูรณาการการบริหารความเสี่ยงในเชิงรุกอย่างแท้จริง

การวัดระดับการบริหารความเสี่ยง

การวัดระดับการบริหารความเสี่ยง

นอกจากที่กล่าวตามหลักการประเมินผลตามเกณฑ์ข้างต้น แนวทางดังกล่าวยังสอดคล้องกับกรอบการบริหารความเสี่ยงตามหลักการของ COSO – ERM v2. ทุกประการ นั่นคือ องค์ประกอบการบริหารความเสี่ยง ทั้ง 8 ข้อ นั้น องค์กรจะต้องจัดให้มีการบริหารความเสี่ยงทั่วทั้งองค์กรในเชิงรุก ทั้ง 8 ข้อ เรียงตามลำดับกันไป ไม่อาจจะข้ามขั้นตอนข้อหนึ่งข้อใดไปได้เลย ดังนั้น การไม่ปฏิบัติตามหลักเกณฑ์ของ COSO – ERM จึงเป็นเรื่องที่พิจารณาได้ว่า เป็นการบริหารและจัดการกับความเสี่ยงที่ไม่ถูกต้องตามหลักการปฏิบัติ อันเป็นที่ยอมรับกันโดยทั่วไป และจะมีผลอย่างสำคัญถึงการบริหารและการจัดการที่ดีตามหลัก CG และ ITG ที่เกี่ยวข้องกับการเติบโตอย่างยั่งยืนขององค์กร

การประเมินผลที่ได้คะแนนในระดับที่ 3 จาก 5 ระดับ มีดังนี้

ระดับ 3 : การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศที่ดี

1. มีการดำเนินงานครบถ้วนตามที่กำหนดในระดับที่ 2

2. องค์กรมีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นเป้าหมาย (ค่าเดียว) หรือช่วง (Risk Appetite) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้นั้น (Risk Tolerance) โดยการระบุ Risk Appetite/Risk Tolerance ดังกล่าว ต้องครอบคลุมความเสี่ยงทุกด้านโดยสามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)

โดย Risk Appetite และ Risk Tolerance ที่กำหนด จะต้องแสดงให้เห็นถึงความเชื่อมโยง/ความสอดคล้องกับเป้าหมาย/วัตถุประสงค์ขององค์กรได้อย่างชัดเจน

3.การบริหารความเสี่ยงเป็นกลยุทธ์หรือการดำเนินงานที่ต่อเนื่องทั้งองค์กร
3.1 รัฐวิสาหกิจมีหน่วยงาน/คณะทำงานที่รับผิดชอบการบริหารจัดการความเสี่ยง โดยมีบุคลากรที่มีคุณสมบัติ และความรู้ความสามารถในการบริหารความเสี่ยง (เช่น สามารถทบทวนประสิทธิภาพของแนวปฏิบัติ การบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน สามารถกำหนดการควบคุมที่ต้องการเพิ่มเติมเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ และสามารถประเมินความเสี่ยงที่เหลืออยู่หลังจากได้มีการจัดการในปัจจุบันแล้ว เป็นต้น ) และมีการทำงานที่เป็นรูปธรรมอย่างจริงจัง (เช่น มีการดำเนินงานตามแผนบริหารความเสี่ยง และมีการรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการรัฐวิสาหกิจ เป็นต้น)
3.2 รัฐวิสาหกิจมีนโยบาย กลยุทธ์ หรือแผนงาน/โครงการที่แสดงถึงการดำเนินงานเพื่อให้การบริหาร ความเสี่ยงเป็นไปในระยะยาวหรือปลูกฝังอยู่ในองค์กร เช่น
– การจัดตั้งหน่วยงาน / คณะทำงานที่รับผิดชอบในการบริหารความเสี่ยง
– พัฒนาแนวคิดจากโครงการนำร่องเพื่อกำหนดเป็นแผนงานหลักในการบริหารความเสี่ยงในภาพรวมขององค์กร
– การพัฒนาบุคลากรในองค์กรด้านการบริหารความเสี่ยง หรือ กำหนดการบริหารความเสี่ยงให้เป็นนโยบาย/กลยุทธ์หนึ่งขององค์กร พิจารณาจาก เนื้อหาและผลลัพธ์ของการฝึกอบรมเชิงปฏิบัติการ (Workshop) ต่อผู้บริหารที่รับผิดชอบเรื่องความเสี่ยงโดยตรง และองค์กรควรมีกระบวนการในการสอบถามถึงความตระหนักของพนักงานในการบริหารความเสี่ยงขององค์กร

4. มีการบริหารความเสี่ยงแบบบูรณาการ (Integration)
4.1 การบริหารความเสี่ยงมีการพิจารณาถึงนโยบาย/กลยุทธ์/เป้าหมาย/แผนงาน/โครงการต่างๆ ของรัฐวิสาหกิจ
4.2 การดำเนินงานการบริหารความเสี่ยงเป็นการดำเนินงานในระดับองค์กร โดยมีการพิจารณาถึงความสัมพันธ์ของความเสี่ยงและผลกระทบที่มีระหว่างหน่วยงานต่างๆ ภายในองค์กร (เช่น การจัดทำ Risk Map เป็นต้น)
โดย Risk Map ขององค์กร จะต้องผ่านการเห็นชอบจากคณะกรรมการบริหารความเสี่ยง ในปีบัญชี 2550

5. การบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ดังต่อไปนี้
5.1 ฝ่ายบริหารของรัฐวิสาหกิจจัดให้มีคณะทำงานหรือผู้รับผิดชอบด้าน IT และ ITG และกำหนดหน้าที่ความรับผิดชอบในการดำเนินงาน เพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานขององค์กร
5.2 คณะกรรมการรัฐวิสาหกิจมีการติดตามดูแลวิธีการที่ฝ่ายบริหารใช้ประโยชน์จาก IT เพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ เช่น
– การสร้างมูลค่าเพิ่มให้กับองค์กรในด้านการเงินโดยการเพิ่มขึ้นของรายได้และควบคุมค่าใช้จ่ายตามเป้าหมายที่กำหนด เป็นต้น
– การสร้างมูลค่าเพิ่มให้กับองค์การทางด้านการปฏิบัติงานที่มีประสิทธิภาพโดยการให้บริการที่รวดเร็ว หรือ สร้างความพึงพอใจให้กับลูกค้าสูงสุด เช่น One Stop Service เป็นต้น
– การสร้างความมั่นใจถึงการปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ การปฏิบัติตามและการบริหารสัญญา
5.3 คณะกรรมการตรวจสอบได้แสดงถึงหน้าที่และความรับผิดชอบในการกำกับดูแลและติดตาม การจัดการ กระบวนการป้องกันความ เสียหาย การปรับปรุง รวมถึงเสนอแนะแก่ฝ่ายตรวจสอบด้านการจัดการที่ดีทางด้าน IT
5.4 คณะกรรมการตรวจสอบทบทวนกฎบัตร (Charter) ของคณะกรรมการตรวจสอบในส่วนที่เกี่ยวข้องกับด้านการจัดการ IT
5.5 ระบบ e-DOC (Electronic Department Operation Center) ของรัฐวิสาหกิจแล้วเสร็จ

6. ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนการบริหารจัดการความเสี่ยงที่ได้จัดทำขึ้น แต่ดีขึ้นจากอดีตที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง พิจารณาจาก
– การดำเนินกิจกรรมตามแผนบริหารความเสี่ยง (ในกรณีที่แผนบริหารความเสี่ยงนั้นต้องใช้ระยะเวลาดำเนินการนานมากกว่า 1 ปีขึ้นไป ทำให้ไม่สามารถกำหนดเป้าหมายที่เป็นรูปธรรม/เชิงปริมาณได้ในปีนั้น ๆ) โดยการดำเนินงานตามกิจกรรมเป็นไปตามกิจกรรมตามแผนบริหารความเสี่ยงที่กำหนด
– ผลการดำเนินงานดีขึ้นจากอดีตที่ผ่านมา
– ระดับความเสี่ยงที่ลดลง โดยพิจารณาจากความเสี่ยงหลักขององค์กร โดยพิจารณาเฉพาะความเสี่ยงที่มีระดับความเสียหายอยู่ในช่วงปานกลาง ถึง สูงมาก (ระดับความเสียหาย = ระดับของความรุนแรง x โอกาสของการเกิดความเสี่ยง) แต่อย่างไรก็ตาม ระดับความเสี่ยงที่ลดลง จะต้องครอบคลุมความเสี่ยงที่สามารถระบุได้ว่าเป็น Strategic Risk /Operational Risk/ Financial Risk และ Compliance Risk (S-O-F-C)
– ในกรณีที่มีตัวชี้วัดความเสี่ยง (Key Risk Indicators : KRI) ที่ระบุเป้าหมายเชิงปริมาณในปี 2550 รัฐวิสาหกิจต้องสามารถดำเนินการบริหารความเสี่ยงดังกล่าว แล้วมีผลลัพธ์เป็นไปตามเป้าหมายของ KRI /ดีกว่าเป้าหมายของ KRI ที่กำหนดนั้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตและจุดอ่อนในระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง

พ.ค. 12, 2009

จากกรณีการทุจริตของ ธอส. ที่เป็นข่าวครึกโครมตลอดสัปดาห์ที่ผ่านมา ได้รับความสนใจจากวงการบริหารและการตรวจสอบของสถาบันการเงิน และผู้ที่เกี่ยวข้องเป็นอย่างมาก ผมจึงขอร่วมออกความเห็นในบางมุมมองที่เห็นว่าน่าจะเป็นประโยชน์ต่อการบริหารความเสี่ยง การควบคุม และการตรวจสอบในเชิงรุกบางประการ ดังนี้

1. ควรมีการทบทวนการควบคุมสภาพแวดล้อมโดยทั่วไป ตามหลักการของ COSO ข้อ 1. บางประการที่เกี่ยวข้องกับโครงสร้างขององค์กร เช่น องค์กรของท่านมีการจัดโครงสร้างที่มีผู้บริหารคนเดียวที่ดูแลสายงาน IT สายงานบัญชี สายงานทางการเงินหรือไม่ ถ้าเป็นเช่นนี้ พิจารณาในเบื้องต้นได้ว่า องค์กรของท่านมีความเสี่ยงเป็นอย่างยิ่ง เพราะผู้บริหารอาจดำเนินการโยกย้ายข้อมูลทางการบัญชีและข้อมูลทางการเงิน รวมทั้งทรัพย์สิน หนี้สิน ตลอดจนรายการและงบการเงินให้เป็นไปตามที่พึงประสงค์ได้โดยง่าย เป็นช่องเปิดของจุดอ่อน (Exposure) ในกระบวนการทำงานระดับบนที่จะสร้างจุดอ่อนในกระบวนการทำงานระดับกลาง และระดับล่างลงไปอย่างสำคัญยิ่ง และแน่นอน เป็นการเปิดโอกาสให้เกิดการทุจริตตามมาได้ในที่สุด… และผมจะอธิบายในเรื่องนี้โดยละเอียดในโอกาสต่อไป

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

2. หากผู้บริหารและผู้ตรวจสอบประเมินตนเองในลักษณะ CSA ปรากฎโครงสร้างขององค์กรตามข้อ 1. ก็สามารถให้ข้อสังเกต รวมทั้งทดสอบจุดอ่อนของกระบวนการทำงานกับกระบวนการบริหาร กระบวนการควบคุมและการตรวจสอบภายในตามฐานความเสี่ยง ตาม Scenario หรือตามจินตนาการของเหตุการณ์ที่อาจจะเกิดขึ้นจากจุดอ่อนของกระบวนการบริหาร ซึ่งตามมาด้วยการทุจริตได้เป็นอย่างดี โดยเริ่มต้นจากข้อมูลและสารสนเทศที่ไม่ถูกต้อง เชื่อถือไม่ได้ มีการบิดเบือนข้อมูลอย่างตั้งใจ และไม่ตั้งใจ ตามระบบที่เปิดของจุดอ่อนทางเทคโนโลยีสารสนเทศ (Technology) ที่จะตามมาด้วยจุดอ่อนของกระบวนการทำงานในรูปแบบต่าง ๆ (Process) และเมื่อมีพนักงานผู้ไม่หวังดี (People) หรือมีผู้ต้องการทุจริตก็จะเป็นสาเหตุหลัก (Root Cause) ของความเสี่ยงที่ตามมาด้วยการทุจริตในรูปแบบต่าง ๆ ได้ในที่สุด

เพราะการทุจริตมีสาเหตุหลัก ๆ เพียง 3 ประการ คือ ก) ระบบงานมีจุดอ่อน ข) มีผู้ที่ต้องการทุจริต และ ค) มีโอกาสที่จะทุจริตได้ เมื่อครบองค์ประกอบทั้ง 3 ประการก็คงเหลือเพียงเวลาที่จะทุจริตเท่านั้น

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

3. ในอดีตสถาบันการเงินหลายแห่งมีประสบการณ์เกี่ยวกับการโอนเงินลอยผ่านระบบ Online หรือฝากเงินโดยไม่มีเงินสดจริง ไปเข้าบัญชีของตนเอง หรือบัญชีอื่น ๆ ที่เปิดเตรียมไว้เพื่อการทุจริตที่สาขาต่าง ๆ ของสถาบันการเงิน และเมื่อมีโอกาสก็คีย์เงินฝากลอย ๆ ผ่านระบบเทอร์มินอลไปเข้าบัญชีที่เปิดเตรียมไว้เพื่อการทุจริตนั้น ได้เงินไปตั้งแต่ 10 ล้าน ถึง 30 ล้านบาทภายในวันเดียว และไปถอนเงินสดตามสาขาที่โอนเงินฝากไปภายในวันเดียวกันนั้น ซึ่งเรื่องนี้มีตัวอย่างที่ผมเคยเขียนไว้ในหนังสือการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 2 จาก 4 เล่ม ซึ่งหากมีโอกาสจะได้นำมาเล่าสู่กันฟังในรายละเอียดต่อไป

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

4. กรณีของธนาคาร ธอส. ซึ่งเป็นข่าวประเด็นร้อน เมื่อ 2 สัปดาห์ที่ผ่านมานี้ ก็เป็นเรื่องที่น่าสนใจที่ผมเข้าใจว่า น่าจะมีลักษณะของการทุจริตที่มีองค์ประกอบในหลักการไม่แตกต่างกันมากนัก แต่จะแตกต่างกันในลักษณะของการทุจริตที่ไม่ได้เกิดจากการคีย์เงินฝากลอย ๆ ตามที่กล่าวในข้อ 3. ดังที่เคยเกิดขึ้นในอดีตของหลายสถาบันการเงินมาแล้ว

กรณีของ ธอส. ตามที่เป็นข่าวน่าจะเกิดจากจุดอ่อนของระบบงานที่เกี่ยวข้องกับการจ่ายดอกเบี้ยผ่านบัญชี Suspense Account ของธนาคารที่ขาดดุลยภาพการควบคุมกระบวนการบริหารความเสี่ยงที่เหมาะสม ซึ่งหากวิเคราะห์ในรายละเอียดประกอบกับการตรวจสอบจริงในภาคปฏิบัติ ตั้งแต่การติดตามดูกระบวนการทำงาน ตั้งแต่ Conseptual Flow ดู Processing Flow ไปจนถึง Data Flow ประกอบกับการวิเคราะห์การควบคุม Activity Flow ร่วมไปกับการติดตามดูระเบียบ คำสั่ง การมอบหมายอำนาจและหน้าที่ในการปฏิบัติงานในแต่ละขั้นตอน ควบคู่กันไปกับระบบการควบคุมในแต่ละกิจกรรมอย่างละเอียด ทั้งการควบคุมทางด้าน Computer Control และ Manual Control และแบบผสมผสาน อีกทั้งควรจะต้องพิจารณาข้อยกเว้นของระบบการควบคุม ระบบการปฏิบัติ ตลอดจนถึงกระบวนการ Override หรือกระบวนการข้ามขั้นตอนการควบคุม เพื่อความสะดวกในการปฏิบัติงาน รวมทั้งสังเกตุการณ์การปฏิบัติงานจริงในการมอบหมายหน้าที่ระหว่างผู้ปฏิบัติงานกับผู้ควบคุม ซึ่งในแต่ละขั้นตอนดังกล่าวนี้ จะมีจุดอ่อนที่มีผลต่อการทุจริตได้ทั้งสิ้น

5. จุดอ่อนที่สำคัญยิ่งของสถาบันการเงินส่วนใหญ่ และองค์กรทั่ว ๆ ไป ก็คือ การขาดนโยบายที่ชัดเจน และเป็นรูปธรรมของคณะกรรมการและผู้บริหารที่เกี่ยวข้อง ในเรื่องกระบวนการควบคุมการจัดการกับความเสี่ยงของบัญชี Suspense Account และหรือบัญชี Sundry Account หรือบัญชีอื่น ๆ ที่สถาบันการเงินหรือองค์กรได้กำหนดไว้เป็นรหัสให้คอมพิวเตอร์เป็นผู้ดำเนินการ โดยขาดกระบวนการติดตาม ขาดกระบวนการบริหาร รวมทั้งการจัดทำรายงานความเคลื่อนไหวของบัญชีเหล่านี้ให้เป็นรูปธรรม สถาบันการเงินหลายแห่งมียอดเงินในบัญชีพัก หรือบัญชีในชื่ออื่นใดก็ตามเป็นยอดเงินที่สูงมาก หากใช้หลักการของการบริหารความเสี่ยงตามกรอบของ COSO – ERM ที่คณะกรรมการและผู้บริหารจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ คือ การกำหนด Risk Appetite และ Risk Tolerance ไว้ให้ชัดเจน อย่างกรณีบัญชี Suspense Account สถาบันการเงินก็ควรกำหนดนโยบายที่ชัดเจน และเป็นรูปธรรมว่า บัญชี Suspense Account นี้จะบันทึกบัญชีประเภทใดบ้าง มีวงเงินรวมและวงเงินแต่ละประเภทของบัญชีที่โอนเข้าบัญชีนี้เป็นเงินเท่าใด จะต้องมีรายละเอียดอะไรประกอบบัญชีแต่ละประเภท แต่ละกลุ่มภายใต้หัวข้อบัญชี Suspense Account หรือบัญชี Sundry Account และใครเป็นผู้ดูแล ใครเป็นผู้รับผิดชอบ โดยกำหนดกระบวนการควบคุมที่ฝังไว้ในระบบงาน (Embed) ซึ่งกระทำโดยการใช้ Code ที่เหมาะสม

6. ตามที่ผมได้กล่าวในข้อ 5. ข้างต้น ยังมีรายละเอียดหลายประการ และตัวอย่างอีกมากที่เป็นจุดรั่วไหลของในหลายองค์กร โดยเฉพาะอย่างยิ่ง ผู้ที่มีความรู้ทางด้านเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายให้เป็นผู้ดูแลที่ขาดความเข้าใจอย่างเป็นกระบวนการในการบริหารความเสี่ยงต่าง ๆ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่มีจุดอ่อนในระดับบน ซึ่งจะก่อให้เกิดความเสี่ยงในระดับรอง ๆ ลงมาอย่างหลีกเลี่ยงไม่ได้

ท่านผู้บริหารครับ ท่านเคยสนใจไหมครับว่า การเปลี่ยนแปลงกฎเกณฑ์ และระเบียบ รวมทั้งคำสั่งต่าง ๆ ที่เกี่ยวข้องกับการควบคุม การให้บริการใหม่ ๆ ผลิตภัณฑ์ใหม่ ๆ กระบวนการทำงานใหม่ ๆ ที่ปกติแล้วจะประกอบด้วย IT และ Non – IT นั้น จำเป็นอย่างยิ่งที่ต้องผ่านคณะกรรมการบริหารความเสี่ยง เพื่อประเมินถึงผลกระทบจากเหตุการณ์ใหม่ ๆ ที่เกิดขึ้น เรื่องนี้มีผู้บริหารระดับสูงของบางองค์กรได้อาศัยช่องว่างของกระบวนการบริหารความเสี่ยง ควบคู่กันไปกับการมีอำนาจควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน ระบบสินเชื่อ โดยการยักย้ายบัญชีสินทรัพย์เข้าไปไว้ในบัญชีพัก หรือ Suspense Account โดยเตรียมคำอธิบายไว้ล่วงหน้าหากมีการสอบถามจากผู้ที่เกี่ยวข้องไว้อย่างรัดกุม และเมื่อไม่มีคำถามจากผู้บริหารระดับสูง ประกอบกับผู้ตรวจสอบภายในยังขาดทักษะในการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งขาด Mind Map และขาดสัญชาตญาณในการตรวจสอบ (Audit Instinct) ในภาพโดยรวมของการตรวจสอบกับจุดอ่อนในกระบวนการจัดการ และระบบงาน รวมทั้งระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้อง ก็จะเกิดความเสียหายได้มากมายจากสินทรัพย์ หรือลูกหนี้ที่ล่องหนไปจากบัญชีขององค์กร โดยมีสาเหตุหลัก ๆ ที่เกิดจาก PPT ซึ่งก็คือ People Risk + Process Risk + Technology Risk ที่ผสมผสานกันไปกับจุดอ่อนของกระบวนการบริหาร Compliance Risk โดยเฉพาะอย่างยิ่งจากความเสี่ยงในระดับสูงสุดขององค์กรก็คือ สภาพแวดล้อมในการควบคุมขององค์กร ซึ่งอยู่ในระดับบนสุดของกระบวนการบริหารความเสี่ยง และจะขอกล่าวซ้ำอีกครั้งหนึ่ง ซึ่งสรุปสั้นได้ตามแผนภาพ ดังนี้

สภาวะแวดล้อมเพื่อการควบคุม

สภาวะแวดล้อมเพื่อการควบคุม

ประเด็นการตรวจสอบจุดอ่อนของระบบงานที่อาจจะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตขึ้นได้นั้น ผู้ที่พบหรือสังเกตรายการทางบัญชีที่ผิดปกติ อันเป็นที่มาของการทุจริตตามข่าว… ทำไมจึงมีที่มาจากองค์กรอื่นที่ไม่ได้เป็นต้นตอของการทุจริต ทำไมองค์กรของเราผู้ได้รับความเสียหายจากการทุจริต ไม่ทราบปัญหาการทุจริตที่เกิดขึ้นแล้ว และที่กำลังจะเกิดขึ้นต่อไป? การบริหารความเสี่ยงเป็นการบริหารเชิงรุก เป็นการป้องกันปัญหาก่อนที่จะเกิดความเสียหาย องค์กรของเราโดยคณะกรรมการมีการกำหนด Risk Appetite ที่เกิดจากการทุจริต รวมทั้ง Risk Appetite ที่มีผลกระทบถึงชื่อเสียง และความไว้วางใจขององค์กรของเราจาก Stakeholders ไว้อย่างไร มีการติดตามการบริหารความเสี่ยง การควบคุมความเสี่ยง การตรวจสอบตามฐานความเสี่ยงในเรื่องนี้ รวมทั้งการรายงานครั้งสุดท้ายเมื่อใด

ภาพโดยรวมของการตรวจสอบการทุจริต

ภาพโดยรวมของการตรวจสอบการทุจริต

สำหรับจุดอ่อนของระบบงานและกระบวนการทำงาน (Process Risk) รวมทั้ง System Risk ที่เกี่ยวข้องกับระบบบัญชีพัก หรือ Suspense Account ที่สัมพันธ์กับจุดอ่อนของวิธีการปฏิบัติ และจุดอ่อนของดุลยภาพการควบคุมความเสี่ยงที่เป็นช่องทางของการทุจริตจะได้นำมาแลกเปลี่ยนความเห็นกันในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »