BCM กับการวัดศักยภาพในการบริหารการดำเนินธุรกิจอย่างต่อเนื่อง (ต่อ)

มีนาคม 26, 2009

จากที่ครั้งก่อนผมได้พูดถึง แนวทางการบริหารและการพิจารณาระดับการบริหาร การจัดการ BCM ขององค์กรทั่วไป รวมถึงเกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) ซึ่งมีเกณฑ์และกรอบของงานให้ไว้เป็นแนวทางปฏิบัติ 5 ข้อ โดยกล่าวถึงความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่องเป็นข้อแรกทิ้งท้ายเอาไว้

วันนี้ ผมจะพูดถึงระดับความเกี่ยวข้องสัมพันธ์กันของ BCP/BCM กับบทบาทของคณะกรรมการและผู้บริหารระดับสูง และความสมบูรณ์ครบถ้วนของแผน BCP/BCM ที่เกี่ยวเนื่องกับหน่วยงาน IT และ Non – IT ซึ่งเป็นหัวข้อถัดไปครับ

2. บทบาทของคณะกรรมการและผู้บริหารระดับสูงเป็นสิ่งสำคัญยิ่ง เนื่องจากสะท้อนถึงวิสัยทัศน์ นโยบาย กลยุทธ์และแผนงานที่เกี่ยวเนื่องกับความมั่นคง และ/หรือ การให้บริการที่มีผลกระทบต่อเศรษฐกิจและประชาชนในวงกว้าง ในภาวะฉุกเฉินและไม่ปกติที่เกิดจากปัจจัยภายในและภายนอก

2.1) ระดับดี
คณะกรรมการฯ ผู้บริหารระดับสูงขององค์กรได้เข้ามามีส่วนร่วมในการดำเนินงานด้าน BCP/BCM ในเรื่องต่าง ๆ ได้แก่ การจัดสรรทรัพยากร บุคลากรและงบประมาณที่เพียงพอ การกำหนดนโยบาย การอนุมัติแผน ตลอดจนเข้ามาควบคุมดูแลการดำเนินงานตามแผน การสอบทานผลการทดสอบและการกำกับดูแล และให้มีการปรับ BCP /BCM ให้เป็นปัจจุบันอยู่เสมอ รวมทั้งการทำให้พนักงานมีความเข้าใจและตระหนักถึงบทบาทหน้าที่ของตนในการปฏิบัติตามแผนได้ในทางปฏิบัติ

2.2) ระดับอ่อนหรือไม่ผ่าน BCP/BCM
ผู้บริหารระดับสูงไม่ได้ตระหนักถึงความสำคัญของการเตรียมความพร้อมรองรับเหตุการณ์ฉุกเฉิน โดยไม่มีส่วนร่วมและไม่ได้มอบหมายผู้ปฏิบัติงานแทนในการกำหนดนโยบาย ควบคุมดูแลและการดำเนินงาน BCP/BCM เมื่อเทียบกับ ข้อ 2.1 เป็นต้น

3. ความครบถ้วนสมบูรณ์ของแผน BCP/BCM ที่เกี่ยวกับหน่วยงาน IT และ Non-IT ที่เกี่ยวเนื่องกันโดยรวมทั้งมุมมอง การบูรณาการตั้งแต่ความคิด ความเข้าใจ การวางแผนฯ ที่สอดประสานกันในระดับองค์กรและระหว่างองค์กร

3.1) ระดับดี
มีการจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) เป็นลายลักษณ์อักษรที่ครอบคลุมหน่วยงานธุรกิจและหน่วยงานด้าน IT รวมทั้งครอบคลุมทุกระบบงานหลัก ๆ แผนสามารถรองรับปัญหาที่ส่งผลกระทบในระดับความรุนแรงต่าง ๆ ตั้งแต่น้อยจนถึงมาก จนไม่สามารถดำเนินงานต่อไปได้ อีกทั้งรองรับเหตุการณ์ความเสียหายในหลายรูปแบบ โดยคำนึงถึงปัจจัยที่เป็นอุปสรรคภายนอก มีการกำหนดเกณฑ์ที่ใช้พิจารณาในการเริ่มปฏิบัติตามแผนฯ โดยเป็นเกณฑ์ทั้งเชิงธุรกิจและ IT ซึ่งส่วนใหญ่จะมีปัญหาด้านบูรณาการ ประสานงานและการปฏิบัติ

กระบวนการจัดทำแผนฯ ครอบคลุมขั้นตอน การวิเคราะห์ผลกระทบต่อธุรกิจ การประเมินความเสี่ยงของทุกธุรกิจ โดยมีผู้บริหารที่เกี่ยวข้องเข้ามามีส่วนร่วมในการจัดทำแผน รวมทั้งมีหน่วยงานกลางมาสอบทานกระบวนการจัดทำแผนด้วย มีการกำหนดภัย สมมติฐานไว้อย่างครอบคลุมและทันสมัย รวมทั้งคำนึงถึงสานการณ์จำลองที่เลวร้ายที่สุด อีกทั้งมีการวิเคราะห์โอกาสและความรุนแรงของภัย รวมทั้งผลกระทบที่เกี่ยวข้อง (BIA-Business Impact Analysis) เพื่อจัดลำดับความสำคัญของธุรกิจ และระบบงานในการกู้คืนสู่สภาพปกติ

3.2) ระดับอ่อน หรือไม่มี BCP/BCM
ไม่มีการจัดทำ BCP/BCM เป็นลายลักษณ์อักษรและไม่มีแนวทางปฏิบัติเพื่อเตรียมพร้อมรองรับเหตุการณ์ฉุกเฉินตามหลักการ BCP/BCM

สำหรับเนื้อหาในส่วนที่เหลือ คงต้องติดตามกันต่อในตอนหน้านะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

BCM กับการวัดศักยภาพในการบริหารการดำเนินธุรกิจอย่างต่อเนื่อง (ต่อ)

มีนาคม 26, 2009

จากที่ครั้งก่อนผมได้พูดถึง แนวทางการบริหารและการพิจารณาระดับการบริหาร การจัดการ BCM ขององค์กรทั่วไป รวมถึงเกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) ซึ่งมีเกณฑ์และกรอบของงานให้ไว้เป็นแนวทางปฏิบัติ 5 ข้อ โดยกล่าวถึงความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่องเป็นข้อแรกทิ้งท้ายเอาไว้

วันนี้ ผมจะพูดถึงระดับความเกี่ยวข้องสัมพันธ์กันของ BCP/BCM กับบทบาทของคณะกรรมการและผู้บริหารระดับสูง และความสมบูรณ์ครบถ้วนของแผน BCP/BCM ที่เกี่ยวเนื่องกับหน่วยงาน IT และ Non – IT ซึ่งเป็นหัวข้อถัดไปครับ

2. บทบาทของคณะกรรมการและผู้บริหารระดับสูงเป็นสิ่งสำคัญยิ่ง เนื่องจากสะท้อนถึงวิสัยทัศน์ นโยบาย กลยุทธ์และแผนงานที่เกี่ยวเนื่องกับความมั่นคง และ/หรือ การให้บริการที่มีผลกระทบต่อเศรษฐกิจและประชาชนในวงกว้าง ในภาวะฉุกเฉินและไม่ปกติที่เกิดจากปัจจัยภายในและภายนอก

2.1) ระดับดี
คณะกรรมการฯ ผู้บริหารระดับสูงขององค์กรได้เข้ามามีส่วนร่วมในการดำเนินงานด้าน BCP/BCM ในเรื่องต่าง ๆ ได้แก่ การจัดสรรทรัพยากร บุคลากรและงบประมาณที่เพียงพอ การกำหนดนโยบาย การอนุมัติแผน ตลอดจนเข้ามาควบคุมดูแลการดำเนินงานตามแผน การสอบทานผลการทดสอบและการกำกับดูแล และให้มีการปรับ BCP /BCM ให้เป็นปัจจุบันอยู่เสมอ รวมทั้งการทำให้พนักงานมีความเข้าใจและตระหนักถึงบทบาทหน้าที่ของตนในการปฏิบัติตามแผนได้ในทางปฏิบัติ

2.2) ระดับอ่อนหรือไม่ผ่าน BCP/BCM
ผู้บริหารระดับสูงไม่ได้ตระหนักถึงความสำคัญของการเตรียมความพร้อมรองรับเหตุการณ์ฉุกเฉิน โดยไม่มีส่วนร่วมและไม่ได้มอบหมายผู้ปฏิบัติงานแทนในการกำหนดนโยบาย ควบคุมดูแลและการดำเนินงาน BCP/BCM เมื่อเทียบกับ ข้อ 2.1 เป็นต้น

3. ความครบถ้วนสมบูรณ์ของแผน BCP/BCM ที่เกี่ยวกับหน่วยงาน IT และ Non-IT ที่เกี่ยวเนื่องกันโดยรวมทั้งมุมมอง การบูรณาการตั้งแต่ความคิด ความเข้าใจ การวางแผนฯ ที่สอดประสานกันในระดับองค์กรและระหว่างองค์กร

3.1) ระดับดี
มีการจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) เป็นลายลักษณ์อักษรที่ครอบคลุมหน่วยงานธุรกิจและหน่วยงานด้าน IT รวมทั้งครอบคลุมทุกระบบงานหลัก ๆ แผนสามารถรองรับปัญหาที่ส่งผลกระทบในระดับความรุนแรงต่าง ๆ ตั้งแต่น้อยจนถึงมาก จนไม่สามารถดำเนินงานต่อไปได้ อีกทั้งรองรับเหตุการณ์ความเสียหายในหลายรูปแบบ โดยคำนึงถึงปัจจัยที่เป็นอุปสรรคภายนอก มีการกำหนดเกณฑ์ที่ใช้พิจารณาในการเริ่มปฏิบัติตามแผนฯ โดยเป็นเกณฑ์ทั้งเชิงธุรกิจและ IT ซึ่งส่วนใหญ่จะมีปัญหาด้านบูรณาการ ประสานงานและการปฏิบัติ

กระบวนการจัดทำแผนฯ ครอบคลุมขั้นตอน การวิเคราะห์ผลกระทบต่อธุรกิจ การประเมินความเสี่ยงของทุกธุรกิจ โดยมีผู้บริหารที่เกี่ยวข้องเข้ามามีส่วนร่วมในการจัดทำแผน รวมทั้งมีหน่วยงานกลางมาสอบทานกระบวนการจัดทำแผนด้วย มีการกำหนดภัย สมมติฐานไว้อย่างครอบคลุมและทันสมัย รวมทั้งคำนึงถึงสานการณ์จำลองที่เลวร้ายที่สุด อีกทั้งมีการวิเคราะห์โอกาสและความรุนแรงของภัย รวมทั้งผลกระทบที่เกี่ยวข้อง (BIA-Business Impact Analysis) เพื่อจัดลำดับความสำคัญของธุรกิจ และระบบงานในการกู้คืนสู่สภาพปกติ

3.2) ระดับอ่อน หรือไม่มี BCP/BCM
ไม่มีการจัดทำ BCP/BCM เป็นลายลักษณ์อักษรและไม่มีแนวทางปฏิบัติเพื่อเตรียมพร้อมรองรับเหตุการณ์ฉุกเฉินตามหลักการ BCP/BCM

สำหรับเนื้อหาในส่วนที่เหลือ คงต้องติดตามกันต่อในตอนหน้านะครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

สภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ

มีนาคม 25, 2009

…Environmental Control & it Impacts to Audit…
ผมได้เล่าสู่กันฟังเกี่ยวกับการตรวจสอบและผลกระทบของคอมพิวเตอร์ต่อกระบวนการตรวจสอบโดยรวม ไม่ว่าจะเป็นการตรวจสอบในรูปแบบใด ผลกระทบของเทคโนโลยีสารสนเทศจะมีผลสำคัญอย่างยิ่งต่อการวางแผนการตรวจสอบทุกประเภท ไม่ว่าจะเป็นการตรวจสอบด้าน IT Audit หรือเป็นการตรวจสอบโดยทั่ว ๆ ไป

ดังนั้น ในช่วงแรก ๆ นี้ IT Audit และการตรวจสอบด้านทั่วไปยังเป็นอยู่บนพื้นฐานที่ให้แง่คิดและแนวปฏิบัติที่เป็นแบบเดียวกันอยู่ แต่ในระยะต่อ ๆ ไป ผมจะแยกการตรวจสอบทั้ง 2 ประเภทนี้ และความสัมพันธ์ของการตรวจสอบดังกล่าวให้ท่านผู้ที่สนใจได้ทราบมุมมองและผลกระทบที่ไม่อาจหลีกเลี่ยงได้จากความรู้ความเข้าใจในเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องกับกระบวนการบริหารและกระบวนการตรวจสอบโดยรวม

วันนี้ ผมจึงจะพูดถึงสภาพแวดล้อมองค์กรกับการควบคุมภายในและการตรวจสอบ โดยจะอธิบายด้วยแผนภาพและคำอธิบายสั้น ๆ ที่เกี่ยวข้อง เพื่อสะท้อนถึงแง่คิดก่อนที่จะก้าวไปสู่กระบวนการตรวจสอบ ซึ่งต้องเริ่มจากการวางแผนการตรวจสอบเป็นเบื้องต้นต่อไป

ก่อนอื่น ผู้ตรวจสอบควรเข้าใจในเบื้องต้นว่า งานหลัก ๆ ขององค์กรที่มีระดับความเสี่ยงสูง ๆ และมีผลกระทบต่อเป้าประสงค์ และโครงการต่าง ๆ ระดับองค์กรคืองานอะไร? ทั้งนี้ ควรจะพิจารณาในมุมมองของการบริหารความเสี่ยงตามหลักการ COSO-ERM

แผนภาพต่อไปนี้จะแสดงให้เห็นได้ง่าย ๆ ว่า เราจะระบุว่างานใดมีความสำคัญต่อการตรวจสอบนั้น ควรจะได้เห็นภาพโดยรวมและความสัมพันธ์ของงานที่เกี่ยวข้องเป็นพื้นฐานเบื้องต้น ซึ่งผมขอนำแผนภาพขององค์กรที่เกี่ยวข้องกับการประกันมาเพื่อพิจารณา

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

Insurance Business Architecture & Understanding Core Business for P-D-C-A & GRC

หลังจากที่ท่านได้ดูภาพหน่วยงานหลัก ๆ ภายในองค์กรไปแล้ว กระบวนการตรวจสอบต่อไปในภาพรวม ๆ ที่คุยกันเบื้องต้นในวันนี้ก็คือ IT Risk มีผลกระทบต่อกระบวนการบริหารและกระบวนการตรวจสอบอย่างไร? และจะเกี่ยวข้องกับการวางแผนการตรวจสอบ IT Audit และ General Audit หรือการตรวจสอบโดยทั่ว ๆ ไปอย่างไร? นั้น

ขอให้ท่านดูแผนภาพต่อไปและท่านจะได้เข้าใจว่า การประสานงานระหว่างการตรวจสอบด้าน IT กับการตรวจสอบด้านทั่วไปและการวางแผนการตรวจสอบ ซึ่งรวมถึงการประเมินการควบคุมภายในของกิจกรรมหลัก ๆ ตาม Business Process ต่าง ๆ นั้น ควรจะพิจารณาหรือคำนึงถึงอะไรบ้าง

IT Risk & it impacts to Audit assurance for Mgmt.

IT Risk & it impacts to Audit assurance for Mgmt.

ผมยังไม่อธิบายผลกระทบในรายละเอียดในช่วงเวลานี้ แต่จะนำมาเล่าสู่กันฟังในโอกาสต่อไป

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546

มีนาคม 24, 2009

ครั้งก่อนผมได้นำเสนอการพัฒนาความคิดเพื่อการกำกับและดูแลกิจการที่ดี ซึ่งสามารถนำไปประยุกต์ใช้บริหารจัดการความคิดเพื่อใช้กำกับดูแลองค์กร และที่จะได้นำเสนอในครั้งนี้จะกล่าวถึงบทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 (หมวด 1 มาตรา 6) เพราะสิ่งที่นำเสนอนี้ ผู้เขียนเห็นว่ามีความน่าสนใจและมีความสัมพันธ์เกี่ยวข้องกันกับ CG-Corporate Governance ที่ได้นำเสนอไว้ในหมวดหมู่ CG และองค์ประกอบที่เกี่ยวข้องนี้ครับ

นี่คือแผนภาพที่แสดงถึงหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ในรูปแบบของต้นไม้ใหญ่ที่มีลำต้น ราก และ ใบ แผ่กิ่งก้านสาขา กับการบริหารกิจการบ้านเมืองที่ดีในมิติต่าง ๆ

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

บทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 (หมวด 1 มาตรา 6)

1. การเกิดประโยชน์สุขของประชาชนปฏิบัติราชการที่มีเป้าหมายเพื่อให้เกิดความผาสุกและความเป็นอยู่ที่ดีของประชาชน ความสงบและความปลอดภัยของสังคมส่วนรวม ตลอดจนประโยชน์สูงสุดของประเทศ (ม.7และ8)

2. การเกิดผลสัมฤทธิ์ต่อภารกิจของรัฐ
– กำหนดแผนปฏิบัติราชการระยะสั้น (1 ปี) และระยะยาว (4 ปี ) มีเป้าหมายและผลสัมฤทธิ์ของงาน ขั้นตอน ระยะเวลา งบประมาณ บุคคลที่รับผิดชอบรวมทั้งตัวชี้วัดความสำเร็จ และต้องติดตามและประเมินผล (ม.9 และ 12-18)
– มีการบริหารราชการแบบบูรณาการประสานงานร่วมกันกับหน่วยงานที่เกี่ยวข้อง (ม.10)
– พัฒนาส่วนราชการให้เป็นองค์กรแห่งการเรียนรู้ (ม.11)

3. มีประสิทธิภาพและเกิดความคุ้มค่าในเชิงภารกิจของรัฐ
– กำหนดเป้าหมาย แผนการทำงาน ระยะเวลาแล้วเสร็จ งบประมาณ และเผยแพร่ให้ข้าราชการและประชาชนทราบโดยทั่วกัน (ม.20)
– จัดทำบัญชีต้นทุนในงานบริการสาธารณะ คำนวณรายจ่ายต่อหน่วยของงานถ้าสูงกว่าหน่วยงานใกล้เคียงกันต้องทำแผนลดค่าใช้จ่าย (ม.21)
– ประเมินความคุ้มค่าในการปฏิบัติภารกิจของรัฐว่าสมควรดำเนินต่อไปหรือยุบเลิกโดยคำนึงถึงประโยชน์และผลเสียทั้งในด้านตัวเงินและสังคม (ม.22)
– จัดซื้อจัดจ้างอย่างเปิดเผยและเที่ยงธรรม (ม.23)
– พิจารณาภารกิจที่เกี่ยวข้อง หรือยื่นขอ อนุญาต อนุมัติ ขอความเห็นชอบ วินิจฉัยชี้ขาดปัญหาต้องดำเนินการอย่างรวดเร็ว (ม.24-26)

4. ไม่มีขั้นตอนการปฏิบัติงานเกินความจำเป็น
– กระจายอำนาจการตัดสินใจให้แก่ผู้มีหน้าที่รับผิดชอบโดยตรง มุ่งให้เกิดความสะดวกรวดเร็วในการบริการประชาชน โดยมีการควบคุม ติดตาม กำกับดูแลการใช้อำนาจ และความรับผิดชอบของผู้มอบและรับมอบอำนาจ (ม.27และ28)
– ใช้เทคโนโลยีสารสนเทศหรือโทรคมนาคม เพื่อลดขั้นตอนการปฏิบัติงาน เพิ่มประสิทธิภาพ และประหยัดค่าใช้จ่าย (ม.27)
– จัดทำแผนภูมิขั้นตอน รายละเอียด และระยะเวลาดำเนินการ เปิดเผย ณ ที่ทำการหรือในเครือข่ายสารสนเทศ (ม.29)
– ส่วนราชการภายในกระทรวงเดียวกันร่วมกันจัดตั้งศูนย์บริการร่วมเพื่อให้ประชาชนสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติเรื่องใด ๆ ให้ติดต่อได้ที่ที่เดียว (ม.30-32)

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

5. มีการปรับปรุงภารกิจของส่วนราชการให้ทันต่อสถานการณ์
– ทบทวนภารกิจใดควรดำเนินการต่อหรือไม่โดยคำนึงถึงแผนการบริหารราชการแผ่นดิน นโยบายคณะรัฐมนตรี กำลังเงินงบประมาณ และความคุ้มค่าของภารกิจและสถานการณ์ประกอบกัน ถ้ายกเลิก ปรับปรุงหรือเปลี่ยนแปลงภารกิจให้ปรับปรุงอำนาจหน้าที่ โครงสร้าง และอัตรากำลังให้สอดคล้องกัน (ม.33)
– กรณีมีการยุบโอน เลิก รวม ส่วนราชการใดไม่ให้จัดตั้งส่วนราชการที่ลักษณะเดียวดัน หรือคล้ายคลึงอีก (ม.34)
– สำรวจ ตรวจสอบ ทบทวนกฎหมาย กฎระเบียบ ข้อบังคับ ประกาศ ให้ทันสมัยและเหมาะสมกับสถานการณ์ หรือสอดคล้องกับความจำเป็นทางเศรษฐกิจ สังคม และความมั่นคงของประเทศโดยคำนึงถึงความสะดวกรวดเร็วและลดภาระของประชาชนเป็นสำคัญ โดยนำข้อเสนอแนะของประชาชนมาพิจารณาด้วย (ม.35-36)

6. ประชาชนได้รับการอำนวยความสะดวก และได้รับการตอบสนองความต้องการ
– กำหนดระยะเวลาแล้วเสร็จของงานแต่ละงานและประกาศให้ข้าราชการและประชาชนทราบ และเป็นหน้าที่ของผู้บังคับบัญชาจะต้องตรวจสอบให้ข้าราชการปฏิบัติงานให้แล้วเสร็จตามกำหนด เมื่อประชาชนสอบถามต้องตอบคำถาม หรือแจ้งการดำเนินการภายใน 15 วัน หรือภายในระยะเวลาที่กำหนดไว้ตาม ม.๓๗ (ม.37-38)
– จัดให้มีระบบเครือข่ายสารสนเทศเพื่ออำนวยความสะดวกให้ประชาชนติดต่อ สอบถาม ขอข้อมูล หรือแสดงความคิดเห็น ให้สอดคล้องกับระบบเดียวกับกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารจัดให้มีขึ้น (ม.39-40)
– แจ้งคำร้องเรียน เสนอแนะ ความคิดเห็นไปยังบุคคลที่รับผิดชอบถ้ามีข้อมูลและสาระตามสมควรที่เกี่ยวกับวิธีปฏิบัติราชการ อุปสรรค ความยุ่งยาก หรือปัญหาจากบุคคลใด โดยห้ามเปิดเผยชื่อ/ที่อยู่ของผู้ร้องเรียน เสนอแนะ หรือแสดงความคิดเห็น (ม.41)
– ตรวจสอบกฎ ระเบียบ ข้อบังคับ หรือประกาศว่าเป็นอุปสรรคก่อให้เกิดความยุ่งยากซับซ้อน ล่าช้าต่อการปฏิบัติหน้าที่หรือไม่เพื่อปรับปรุงแก้ไขให้เหมาะสมโดยเร็ว (ม.42)
– การปฏิบัติราชการใดถือเป็นเรื่องเปิดเผยยกเว้นเพื่อประโยชน์ในการรักษาความมั่นคงของประเทศ เศรษฐกิจ ความสงบเรียบร้อยของประชาชน และคุ้มครองสิทธิส่วนบุคคลให้เป็นความลับเท่าที่จำเป็น (ม.43)
– เปิดเผยข้อมูลงบประมาณรายจ่ายประจำปีเกี่ยวกับรายการจัดซื้อจัดจ้าง และสัญญาที่ได้มีการอนุมัติ ให้ประชาชนขอดูและตรวจสอบได้ ยกเว้นข้อมูลก่อให้เกิดความได้เปรียบเสียเปรียบแก่บุคคลใดในการจัดซื้อจัดจ้างหรืออยู่ภายใต้กฎหมาย กฎ ระเบียบ ข้อบังคับ เกี่ยวกับการคุ้มครองความลับทางราชการหรือความลับทางการค้า(ม.44)

7. มีการประเมินผลการปฏิบัติราชการสม่ำเสมอ
– นอกจากประเมินผลแผนปฏิบัติราชการแล้วต้องจัดให้มีคณะผู้ประเมินอิสระ ดำเนินการประเมินผลสัมฤทธิ์ของภารกิจ คุณภาพการให้บริการ ความพึงพอใจของประชาชนผู้รับบริการ และความคุ้มค่าในภารกิจ (ม.45)
– ประเมินภาพรวมของผู้บังคับบัญชาแต่ละระดับหรือหน่วยงานในส่วนราชการ ต้องทำเป็นความลับและเพื่อประโยชน์สามัคคีของข้าราชการ (ม.46)
– ประเมินผลการปฏิบัติงานของข้าราชการเพื่อประโยชน์ในการบริหารงานบุคคล ให้คำนึงถึงผลการปฏิบัติงานของของข้าราชการในตำแหน่งที่ปฏิบัติ ประโยชน์และผลสัมฤทธิ์ของหน่วยงานที่สังกัดที่ได้รับจากการปฏิบัติงานของข้าราชการผู้นั้น (ม.47)
– ส่วนราชการใดดำเนินการให้บริการที่มีคุณภาพ เป็นไปตามเป้าหมายที่กำหนด เป็นที่พึงพอใจแก่ประชาชน ให้เสนอจัดสรรเงินเพิ่มพิเศษเป็นบำเหน็จความชอบแก่ส่วนราชการหรือนำงบประมาณเหลือจ่ายไปปรับปรุงการปฏิบัติงานหรือจัดสรรเป็นรางวัลให้แก่ราชการในสังกัด (ม.48)
– ส่วนราชการใดดำเนินการเป็นไปตามเป้าหมาย สามารถเพิ่มผลงานและผลสัมฤทธิ์โดย ไม่เพิ่มค่าใช้จ่ายและคุ้มค่าต่อภารกิจ สามารถดำเนินการตามแผนลดค่าใช้จ่ายต่อหน่วยได้ เป็นที่พึงพอใจแก่ประชาชน ให้เสนอจัดสรรเงินรางวัลการเพิ่มประสิทธิภาพให้แก่ส่วนราชการนั้น หรือนำงบประมาณเหลือจ่ายไปปรับปรุงการปฏิบัติงานหรือจัดสรรเป็นรางวัลให้แก่ข้าราชการในสังกัด (ม.49)

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546

มีนาคม 24, 2009

ครั้งก่อนผมได้นำเสนอการพัฒนาความคิดเพื่อการกำกับและดูแลกิจการที่ดี ซึ่งสามารถนำไปประยุกต์ใช้บริหารจัดการความคิดเพื่อใช้กำกับดูแลองค์กร และที่จะได้นำเสนอในครั้งนี้จะกล่าวถึงบทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 (หมวด 1 มาตรา 6) เพราะสิ่งที่นำเสนอนี้ ผู้เขียนเห็นว่ามีความน่าสนใจและมีความสัมพันธ์เกี่ยวข้องกันกับ CG-Corporate Governance ที่ได้นำเสนอไว้ในหมวดหมู่ CG และองค์ประกอบที่เกี่ยวข้องนี้ครับ

นี่คือแผนภาพที่แสดงถึงหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 ในรูปแบบของต้นไม้ใหญ่ที่มีลำต้น ราก และ ใบ แผ่กิ่งก้านสาขา กับการบริหารกิจการบ้านเมืองที่ดีในมิติต่าง ๆ

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

บทคัดย่อพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 (หมวด 1 มาตรา 6)

1. การเกิดประโยชน์สุขของประชาชนปฏิบัติราชการที่มีเป้าหมายเพื่อให้เกิดความผาสุกและความเป็นอยู่ที่ดีของประชาชน ความสงบและความปลอดภัยของสังคมส่วนรวม ตลอดจนประโยชน์สูงสุดของประเทศ (ม.7และ8)

2. การเกิดผลสัมฤทธิ์ต่อภารกิจของรัฐ
– กำหนดแผนปฏิบัติราชการระยะสั้น (1 ปี) และระยะยาว (4 ปี ) มีเป้าหมายและผลสัมฤทธิ์ของงาน ขั้นตอน ระยะเวลา งบประมาณ บุคคลที่รับผิดชอบรวมทั้งตัวชี้วัดความสำเร็จ และต้องติดตามและประเมินผล (ม.9 และ 12-18)
– มีการบริหารราชการแบบบูรณาการประสานงานร่วมกันกับหน่วยงานที่เกี่ยวข้อง (ม.10)
– พัฒนาส่วนราชการให้เป็นองค์กรแห่งการเรียนรู้ (ม.11)

3. มีประสิทธิภาพและเกิดความคุ้มค่าในเชิงภารกิจของรัฐ
– กำหนดเป้าหมาย แผนการทำงาน ระยะเวลาแล้วเสร็จ งบประมาณ และเผยแพร่ให้ข้าราชการและประชาชนทราบโดยทั่วกัน (ม.20)
– จัดทำบัญชีต้นทุนในงานบริการสาธารณะ คำนวณรายจ่ายต่อหน่วยของงานถ้าสูงกว่าหน่วยงานใกล้เคียงกันต้องทำแผนลดค่าใช้จ่าย (ม.21)
– ประเมินความคุ้มค่าในการปฏิบัติภารกิจของรัฐว่าสมควรดำเนินต่อไปหรือยุบเลิกโดยคำนึงถึงประโยชน์และผลเสียทั้งในด้านตัวเงินและสังคม (ม.22)
– จัดซื้อจัดจ้างอย่างเปิดเผยและเที่ยงธรรม (ม.23)
– พิจารณาภารกิจที่เกี่ยวข้อง หรือยื่นขอ อนุญาต อนุมัติ ขอความเห็นชอบ วินิจฉัยชี้ขาดปัญหาต้องดำเนินการอย่างรวดเร็ว (ม.24-26)

4. ไม่มีขั้นตอนการปฏิบัติงานเกินความจำเป็น
– กระจายอำนาจการตัดสินใจให้แก่ผู้มีหน้าที่รับผิดชอบโดยตรง มุ่งให้เกิดความสะดวกรวดเร็วในการบริการประชาชน โดยมีการควบคุม ติดตาม กำกับดูแลการใช้อำนาจ และความรับผิดชอบของผู้มอบและรับมอบอำนาจ (ม.27และ28)
– ใช้เทคโนโลยีสารสนเทศหรือโทรคมนาคม เพื่อลดขั้นตอนการปฏิบัติงาน เพิ่มประสิทธิภาพ และประหยัดค่าใช้จ่าย (ม.27)
– จัดทำแผนภูมิขั้นตอน รายละเอียด และระยะเวลาดำเนินการ เปิดเผย ณ ที่ทำการหรือในเครือข่ายสารสนเทศ (ม.29)
– ส่วนราชการภายในกระทรวงเดียวกันร่วมกันจัดตั้งศูนย์บริการร่วมเพื่อให้ประชาชนสามารถติดต่อสอบถาม ขอทราบข้อมูล ขออนุญาต หรือขออนุมัติเรื่องใด ๆ ให้ติดต่อได้ที่ที่เดียว (ม.30-32)

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

หลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีเพื่อการบรรลุผลการปฏิบัติงาน

5. มีการปรับปรุงภารกิจของส่วนราชการให้ทันต่อสถานการณ์
– ทบทวนภารกิจใดควรดำเนินการต่อหรือไม่โดยคำนึงถึงแผนการบริหารราชการแผ่นดิน นโยบายคณะรัฐมนตรี กำลังเงินงบประมาณ และความคุ้มค่าของภารกิจและสถานการณ์ประกอบกัน ถ้ายกเลิก ปรับปรุงหรือเปลี่ยนแปลงภารกิจให้ปรับปรุงอำนาจหน้าที่ โครงสร้าง และอัตรากำลังให้สอดคล้องกัน (ม.33)
– กรณีมีการยุบโอน เลิก รวม ส่วนราชการใดไม่ให้จัดตั้งส่วนราชการที่ลักษณะเดียวดัน หรือคล้ายคลึงอีก (ม.34)
– สำรวจ ตรวจสอบ ทบทวนกฎหมาย กฎระเบียบ ข้อบังคับ ประกาศ ให้ทันสมัยและเหมาะสมกับสถานการณ์ หรือสอดคล้องกับความจำเป็นทางเศรษฐกิจ สังคม และความมั่นคงของประเทศโดยคำนึงถึงความสะดวกรวดเร็วและลดภาระของประชาชนเป็นสำคัญ โดยนำข้อเสนอแนะของประชาชนมาพิจารณาด้วย (ม.35-36)

6. ประชาชนได้รับการอำนวยความสะดวก และได้รับการตอบสนองความต้องการ
– กำหนดระยะเวลาแล้วเสร็จของงานแต่ละงานและประกาศให้ข้าราชการและประชาชนทราบ และเป็นหน้าที่ของผู้บังคับบัญชาจะต้องตรวจสอบให้ข้าราชการปฏิบัติงานให้แล้วเสร็จตามกำหนด เมื่อประชาชนสอบถามต้องตอบคำถาม หรือแจ้งการดำเนินการภายใน 15 วัน หรือภายในระยะเวลาที่กำหนดไว้ตาม ม.๓๗ (ม.37-38)
– จัดให้มีระบบเครือข่ายสารสนเทศเพื่ออำนวยความสะดวกให้ประชาชนติดต่อ สอบถาม ขอข้อมูล หรือแสดงความคิดเห็น ให้สอดคล้องกับระบบเดียวกับกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารจัดให้มีขึ้น (ม.39-40)
– แจ้งคำร้องเรียน เสนอแนะ ความคิดเห็นไปยังบุคคลที่รับผิดชอบถ้ามีข้อมูลและสาระตามสมควรที่เกี่ยวกับวิธีปฏิบัติราชการ อุปสรรค ความยุ่งยาก หรือปัญหาจากบุคคลใด โดยห้ามเปิดเผยชื่อ/ที่อยู่ของผู้ร้องเรียน เสนอแนะ หรือแสดงความคิดเห็น (ม.41)
– ตรวจสอบกฎ ระเบียบ ข้อบังคับ หรือประกาศว่าเป็นอุปสรรคก่อให้เกิดความยุ่งยากซับซ้อน ล่าช้าต่อการปฏิบัติหน้าที่หรือไม่เพื่อปรับปรุงแก้ไขให้เหมาะสมโดยเร็ว (ม.42)
– การปฏิบัติราชการใดถือเป็นเรื่องเปิดเผยยกเว้นเพื่อประโยชน์ในการรักษาความมั่นคงของประเทศ เศรษฐกิจ ความสงบเรียบร้อยของประชาชน และคุ้มครองสิทธิส่วนบุคคลให้เป็นความลับเท่าที่จำเป็น (ม.43)
– เปิดเผยข้อมูลงบประมาณรายจ่ายประจำปีเกี่ยวกับรายการจัดซื้อจัดจ้าง และสัญญาที่ได้มีการอนุมัติ ให้ประชาชนขอดูและตรวจสอบได้ ยกเว้นข้อมูลก่อให้เกิดความได้เปรียบเสียเปรียบแก่บุคคลใดในการจัดซื้อจัดจ้างหรืออยู่ภายใต้กฎหมาย กฎ ระเบียบ ข้อบังคับ เกี่ยวกับการคุ้มครองความลับทางราชการหรือความลับทางการค้า(ม.44)

7. มีการประเมินผลการปฏิบัติราชการสม่ำเสมอ
– นอกจากประเมินผลแผนปฏิบัติราชการแล้วต้องจัดให้มีคณะผู้ประเมินอิสระ ดำเนินการประเมินผลสัมฤทธิ์ของภารกิจ คุณภาพการให้บริการ ความพึงพอใจของประชาชนผู้รับบริการ และความคุ้มค่าในภารกิจ (ม.45)
– ประเมินภาพรวมของผู้บังคับบัญชาแต่ละระดับหรือหน่วยงานในส่วนราชการ ต้องทำเป็นความลับและเพื่อประโยชน์สามัคคีของข้าราชการ (ม.46)
– ประเมินผลการปฏิบัติงานของข้าราชการเพื่อประโยชน์ในการบริหารงานบุคคล ให้คำนึงถึงผลการปฏิบัติงานของของข้าราชการในตำแหน่งที่ปฏิบัติ ประโยชน์และผลสัมฤทธิ์ของหน่วยงานที่สังกัดที่ได้รับจากการปฏิบัติงานของข้าราชการผู้นั้น (ม.47)
– ส่วนราชการใดดำเนินการให้บริการที่มีคุณภาพ เป็นไปตามเป้าหมายที่กำหนด เป็นที่พึงพอใจแก่ประชาชน ให้เสนอจัดสรรเงินเพิ่มพิเศษเป็นบำเหน็จความชอบแก่ส่วนราชการหรือนำงบประมาณเหลือจ่ายไปปรับปรุงการปฏิบัติงานหรือจัดสรรเป็นรางวัลให้แก่ราชการในสังกัด (ม.48)
– ส่วนราชการใดดำเนินการเป็นไปตามเป้าหมาย สามารถเพิ่มผลงานและผลสัมฤทธิ์โดย ไม่เพิ่มค่าใช้จ่ายและคุ้มค่าต่อภารกิจ สามารถดำเนินการตามแผนลดค่าใช้จ่ายต่อหน่วยได้ เป็นที่พึงพอใจแก่ประชาชน ให้เสนอจัดสรรเงินรางวัลการเพิ่มประสิทธิภาพให้แก่ส่วนราชการนั้น หรือนำงบประมาณเหลือจ่ายไปปรับปรุงการปฏิบัติงานหรือจัดสรรเป็นรางวัลให้แก่ข้าราชการในสังกัด (ม.49)

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

BCM กับการวัดศักยภาพในการบริหารการดำเนินธุรกิจอย่างต่อเนื่อง

มีนาคม 24, 2009

วันก่อน ผมได้นำแนวทางการกำกับสถาบันการเงินหลักของ ธปท. มาเผยแพร่เพื่อให้ทราบแนวทางการติดตามการดำเนินงานของสถาบันการเงินต่าง ๆ โดยธนาคารแห่งประเทศไทยไปแล้วนั้น คาดว่าน่าจะมีประโยชน์พอสมควรนะครับ เพราะว่าผู้กำกับได้เปิดเผยแนวทางกำกับและการตรวจสอบที่ชัดเจน ซึ่งสถาบันการเงิน ผู้ถูกกำกับก็จะได้เตรียมความพร้อมในการบริหารและการจัดการเพื่อสร้างความมั่นคงในแง่มุมต่าง ๆ ที่เกี่ยวข้องต่อไป

วันนี้ ผมมีมุมมองที่เกี่ยวข้องกับ BCM-Business Continuity Management ซึ่งเป็นหัวข้อหนึ่งในเรื่องที่เกี่ยวข้องกับ IT Security ตามมาตรฐาน ISO 27001 ซึ่งธนาคารแห่งประเทศไทยและกระทรวงการคลังได้นำมาตรการนี้ไปใช้ในการกำกับสถาบันที่ตนดูแลอยู่เช่นเดียวกัน

ผมจึงมีข้อสังเกตเล็ก ๆ น้อย ๆ ที่อธิบายด้วยแผนภาพให้เหมาะสมกับยุคของการล่มสลายทางการเงินของประเทศสหรัฐอเมริกาที่มีผลกระทบต่อสถาบันการเงินต่าง ๆ ทั่วโลกในมุมมองของ BCM พร้อมกับข้อสังเกตบางประการในการที่จะยกระดับการบริหารและการจัดการ BCM ตามมาตรฐานที่ดี ดังนี้

BCM & IT Security & Internal Control/Audit

BCM & IT Security & Internal Control/Audit

แนวการบริหารและการพิจารณาระดับการบริหาร การจัดการ BCM ขององค์กรทั่วไป มีแนวทางโดยย่อ ดังนี้

การจัดทำแผนการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP-Business Continuity Plan) หรือ การจัดให้มีการบริหารการดำเนินงาน ธุรกิจอย่างต่อเนื่อง (BCM- Business Continuity Management) เบื้องต้น

หัวข้อนี้เป็นเรื่องหนึ่งที่จะมีการประเมินผลการบริหารความเสี่ยง ด้านดุลยภาพการจัดการ เป็นเรื่องที่ทางการต้องการและผู้กำกับผลักดันหรือขับเคลื่อนเรื่องนี้ให้เป็นรูปธรรม เพื่อรองรับเหตุการณ์ที่ไม่พึงประสงค์ในกรณีวิกฤติระดับต่าง ๆ ว่าองค์กร มีความพร้อมและมีแผนรองรับที่มีการบริหารและปรับปรุงกันอย่างต่อเนื่องเพียงใด ในธุรกิจหลัก ๆ ของ องค์กร เพราะความเสียงที่ร้ายแรงยิ่ง

ถึงแม้โอกาสจะเกิดขึ้นไม่มากนัก แต่ถ้าเป็นเรื่องสำคัญมาก ๆ ที่ องค์กรหรือรัฐไม่อาจยอมรับได้เพราะมีผลกระทบอย่างมีนัยสำคัญต่อผู้มีผลประโยชน์ร่วมจำนวนมาก องค์กร และรัฐวิสาหกิจต้องจัดให้มีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP-Business Continuity Plan) ที่เป็นรูปธรรมและมีคุณภาพ

โครงสร้าง BCM

โครงสร้าง BCM

เกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) มีเกณฑ์และกรอบของงานโดยสังเขป เป็นแนวทางปฏิบัติ ซึ่งองค์กร ควรดำเนินการตามมาตรฐานเบื้องต้นโดยย่อ ที่เกี่ยวกับ BCM บางประการ ดังนี้

1. หลักการทั่วไป ความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM)

โปรดดูความเตรียมพร้อมของท่านเกี่ยวกับการจัดการเรื่อง BCP จากแผนภาพด้านล่างนี้

Business Continuity Plan Checklist (Step 1 - 3)

Business Continuity Plan Checklist (Step 1 - 3)

Business Continuity Plan Checklist (Step 4 - 5)

Business Continuity Plan Checklist (Step 4 - 5)

1.1) ระดับดี
คณะกรรมการและผู้บริหารขององค์กร จัดให้มีความพร้อมในการรองรับเหตุการณ์ความเสียหายในรูปแบบที่หลากหลาย ซึ่งรวมถึงเหตุการณ์ในภาวะปัจจุบันและอนาคตที่พึงคาดหมายได้อย่างเข้าใจในสถานการณ์ เพื่อให้องค์กรมีความมั่นใจได้ว่า จะสามารถดำเนินธุรกิจ พร้อมทั้งการให้บริการแก่ลูกค้า ประชาชน ได้อย่างต่อเนื่องจากภาพจำลองต่าง ๆ ที่เป็นไปได้ ในภาวะเหตุการณ์ฉุกเฉินและจะสามารถทำให้ธุรกิจกลับคืนสู่สภาพปกติได้ โดยมีการจัดทำแผนสำรองฉุกเฉินที่ครอบคลุมงานทุกประเภทที่สำคัญ ๆ มีกระบวนการและจัดเตรียมทรัพยากรในการรองรับเหตุการณ์ฉุกเฉิน ซึ่งสามารถพร้อมดำเนินการได้ภายในระยะเวลาอันสั้น เป็นที่ยอมรับได้ของผู้มีผลประโยชน์ร่วม

1.2) ระดับอ่อนหรือไม่ผ่าน BCP/BCM
องค์กรไม่ได้จัดเตรียมความพร้อม หรือไม่มีแผนในการรองรับเหตุการณ์ความเสียหาย โดยยังไม่มีการจัดทำแผนสำรองฉุกเฉินอย่างมีกระบวนการ รวมทั้งจัดเตรียมทรัพยากรในการรองรับเหตุฉุกเฉิน ซึ่งส่งผลให้ธุรกิจและการบริการอย่างต่อเนื่องไม่สามารถดำเนินต่อไปได้เพราะขาดนโยบายและขาดแผนอย่างมีขั้นตอนตามหลักการของ BCP/BCM

สำหรับเนื้อหาในตอนนี้ยังมีประเด็นที่ต้องพิจารณาอีก 4 หัวข้อด้วยกัน ซึ่งผมจะได้นำเสนอในโอกาสต่อไปครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

BCM กับการวัดศักยภาพในการบริหารการดำเนินธุรกิจอย่างต่อเนื่อง

มีนาคม 24, 2009

วันก่อน ผมได้นำแนวทางการกำกับสถาบันการเงินหลักของ ธปท. มาเผยแพร่เพื่อให้ทราบแนวทางการติดตามการดำเนินงานของสถาบันการเงินต่าง ๆ โดยธนาคารแห่งประเทศไทยไปแล้วนั้น คาดว่าน่าจะมีประโยชน์พอสมควรนะครับ เพราะว่าผู้กำกับได้เปิดเผยแนวทางกำกับและการตรวจสอบที่ชัดเจน ซึ่งสถาบันการเงิน ผู้ถูกกำกับก็จะได้เตรียมความพร้อมในการบริหารและการจัดการเพื่อสร้างความมั่นคงในแง่มุมต่าง ๆ ที่เกี่ยวข้องต่อไป

วันนี้ ผมมีมุมมองที่เกี่ยวข้องกับ BCM-Business Continuity Management ซึ่งเป็นหัวข้อหนึ่งในเรื่องที่เกี่ยวข้องกับ IT Security ตามมาตรฐาน ISO 27001 ซึ่งธนาคารแห่งประเทศไทยและกระทรวงการคลังได้นำมาตรการนี้ไปใช้ในการกำกับสถาบันที่ตนดูแลอยู่เช่นเดียวกัน

ผมจึงมีข้อสังเกตเล็ก ๆ น้อย ๆ ที่อธิบายด้วยแผนภาพให้เหมาะสมกับยุคของการล่มสลายทางการเงินของประเทศสหรัฐอเมริกาที่มีผลกระทบต่อสถาบันการเงินต่าง ๆ ทั่วโลกในมุมมองของ BCM พร้อมกับข้อสังเกตบางประการในการที่จะยกระดับการบริหารและการจัดการ BCM ตามมาตรฐานที่ดี ดังนี้

BCM & IT Security & Internal Control/Audit

BCM & IT Security & Internal Control/Audit

แนวการบริหารและการพิจารณาระดับการบริหาร การจัดการ BCM ขององค์กรทั่วไป มีแนวทางโดยย่อ ดังนี้

การจัดทำแผนการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP-Business Continuity Plan) หรือ การจัดให้มีการบริหารการดำเนินงาน ธุรกิจอย่างต่อเนื่อง (BCM- Business Continuity Management) เบื้องต้น

หัวข้อนี้เป็นเรื่องหนึ่งที่จะมีการประเมินผลการบริหารความเสี่ยง ด้านดุลยภาพการจัดการ เป็นเรื่องที่ทางการต้องการและผู้กำกับผลักดันหรือขับเคลื่อนเรื่องนี้ให้เป็นรูปธรรม เพื่อรองรับเหตุการณ์ที่ไม่พึงประสงค์ในกรณีวิกฤติระดับต่าง ๆ ว่าองค์กร มีความพร้อมและมีแผนรองรับที่มีการบริหารและปรับปรุงกันอย่างต่อเนื่องเพียงใด ในธุรกิจหลัก ๆ ของ องค์กร เพราะความเสียงที่ร้ายแรงยิ่ง

ถึงแม้โอกาสจะเกิดขึ้นไม่มากนัก แต่ถ้าเป็นเรื่องสำคัญมาก ๆ ที่ องค์กรหรือรัฐไม่อาจยอมรับได้เพราะมีผลกระทบอย่างมีนัยสำคัญต่อผู้มีผลประโยชน์ร่วมจำนวนมาก องค์กร และรัฐวิสาหกิจต้องจัดให้มีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP-Business Continuity Plan) ที่เป็นรูปธรรมและมีคุณภาพ

โครงสร้าง BCM

โครงสร้าง BCM

เกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) มีเกณฑ์และกรอบของงานโดยสังเขป เป็นแนวทางปฏิบัติ ซึ่งองค์กร ควรดำเนินการตามมาตรฐานเบื้องต้นโดยย่อ ที่เกี่ยวกับ BCM บางประการ ดังนี้

1. หลักการทั่วไป ความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM)

โปรดดูความเตรียมพร้อมของท่านเกี่ยวกับการจัดการเรื่อง BCP จากแผนภาพด้านล่างนี้

Business Continuity Plan Checklist (Step 1 - 3)

Business Continuity Plan Checklist (Step 1 - 3)

Business Continuity Plan Checklist (Step 4 - 5)

Business Continuity Plan Checklist (Step 4 - 5)

1.1) ระดับดี
คณะกรรมการและผู้บริหารขององค์กร จัดให้มีความพร้อมในการรองรับเหตุการณ์ความเสียหายในรูปแบบที่หลากหลาย ซึ่งรวมถึงเหตุการณ์ในภาวะปัจจุบันและอนาคตที่พึงคาดหมายได้อย่างเข้าใจในสถานการณ์ เพื่อให้องค์กรมีความมั่นใจได้ว่า จะสามารถดำเนินธุรกิจ พร้อมทั้งการให้บริการแก่ลูกค้า ประชาชน ได้อย่างต่อเนื่องจากภาพจำลองต่าง ๆ ที่เป็นไปได้ ในภาวะเหตุการณ์ฉุกเฉินและจะสามารถทำให้ธุรกิจกลับคืนสู่สภาพปกติได้ โดยมีการจัดทำแผนสำรองฉุกเฉินที่ครอบคลุมงานทุกประเภทที่สำคัญ ๆ มีกระบวนการและจัดเตรียมทรัพยากรในการรองรับเหตุการณ์ฉุกเฉิน ซึ่งสามารถพร้อมดำเนินการได้ภายในระยะเวลาอันสั้น เป็นที่ยอมรับได้ของผู้มีผลประโยชน์ร่วม

1.2) ระดับอ่อนหรือไม่ผ่าน BCP/BCM
องค์กรไม่ได้จัดเตรียมความพร้อม หรือไม่มีแผนในการรองรับเหตุการณ์ความเสียหาย โดยยังไม่มีการจัดทำแผนสำรองฉุกเฉินอย่างมีกระบวนการ รวมทั้งจัดเตรียมทรัพยากรในการรองรับเหตุฉุกเฉิน ซึ่งส่งผลให้ธุรกิจและการบริการอย่างต่อเนื่องไม่สามารถดำเนินต่อไปได้เพราะขาดนโยบายและขาดแผนอย่างมีขั้นตอนตามหลักการของ BCP/BCM

สำหรับเนื้อหาในตอนนี้ยังมีประเด็นที่ต้องพิจารณาอีก 4 หัวข้อด้วยกัน ซึ่งผมจะได้นำเสนอในโอกาสต่อไปครับ

Leave a Comment » | COSO-ERM กับ ITG และ GRC กับการวิเคราะห์เพื่อสร้างสรรสาระ | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 23, 2009

นอกจากความเสี่ยงในด้านต่าง ๆ และความเสี่ยงในด้านการปฏิบัติการที่ได้กล่าวไปในครั้งก่อนแล้ว องค์กรต่าง ๆ อาจเผชิญกับความเสี่ยงที่เป็นความไม่แน่นอนและอยู่ใกล้ตัวมากที่สุด ซึ่งมีความสำคัญที่จะกระทบปัจจัยเสี่ยงอื่น ๆ ในทุกเรื่อง รวมถึงความเสี่ยงจากสภาพแวดล้อมทั่วไปด้วยเช่นกันที่องค์กรควรต้องกำหนดแนวทาง ระบุความเสี่ยง และจัดหาเครื่องมือในการจัดการกับความเสี่ยงที่จะอาจเกิดขึ้น

ความเสี่ยงจากสภาพแวดล้อมทั่วไปขององค์กร เช่น จริยธรรม คุณธรรมในการบริหารงาน ปรัชญา ความเชื่อในเรื่องการบริหารความเสี่ยงที่เป็นรูปธรรม แนวความคิดและความเข้าใจของการนำการบริหารความเสี่ยงมาใช้ในองค์กร การกำหนดความเสี่ยงที่ยอมรับได้ (Risk Appetite) การจัดโครงสร้างขององค์กร การมอบหมายอำนาจและหน้าที่ ขั้นตอนการปฏิบัติงาน วัฒนธรรมในการดำเนินงานขององค์กร ความเกรงใจ ความเห็นแก่หน้า การไม่เคารพกฎและกติกาตามหลักการกำกับดูแลกิจการที่ดี การขาดการประสานงาน การทำงานเป็นทีมที่ด้อยคุณภาพ ความไม่มีใจต่อความสำเร็จขององค์กร การมีอัตตาหรือการไม่รับฟังความคิดเห็นจากผู้ร่วมงาน การให้คุณให้โทษที่ไม่เป็นธรรม โดยไม่ยึดผลสำเร็จของงาน การขาดการติดตามวัดผลสำเร็จของแผนงาน โครงการ ตามพันธกิจที่ได้ดุลยภาพและมีคุณภาพ รวมทั้งทัศนคติของผู้บริหารที่อาจชอบฟังหรือรับทราบเฉพาะเรื่องดี ๆ โดยไม่ยอมรับฟังเรื่องเชิงลบ ทั้งที่เป็นเรื่องจริงที่เป็นความเสี่ยงและมีผลกระทบต่อเป้าประสงค์ ทั้งระยะสั้น ระยะยาว เป็นต้น

ซึ่งความเสี่ยงจากสภาพแวดล้อมทั่วไปเหล่านี้จะมีผลอย่างสำคัญต่อความสำเร็จของการบริหารความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการเงินและการรายงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ และคำสั่งต่าง ๆ ของทุกองค์กรได้

องค์กรทั่วไป ควรจะมีการสอบทานความเหมาะสม และระบุปัจจัยเสี่ยงที่อาจเกิดจากสภาพแวดล้อมทั่วไปดังกล่าวข้างต้นควบคู่กันไปกับการบริหารความเสี่ยงขององค์ประกอบอื่น ๆ และพิจารณาหาแนวทางควบคุมและจัดการกับความเสี่ยงที่มีนัยสำคัญให้อยู่ในระดับที่องค์กรยอมรับได้ โดยใช้เครื่องมือสำหรับระบุความเสี่ยงในแบบการประเมินตนเองหรือ CSA – Control Self Assessment โดยใช้บุคคลภายในองค์กรเอง หรือ QAR – Quality Assurance Review โดยใช้บุคคลภายนอก หรือดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) ตามความเหมาะสมต่อไป

นี่คือ ตัวอย่างบางประการที่มีความสำคัญต่อการบริหารความเสี่ยง ซึ่งเป็นเครื่องมือและกระบวนการบริหารเชิงรุกภายใต้กรอบการกำกับดูแลกิจการที่ดี ที่คณะกรรมการบริหาร ผู้บริหาร ผู้ปฏิบัติงานทุกคนขององค์กรทั่วไป จะมีส่วนร่วมอย่างสำคัญในการนำไปปฏิบัติควบคู่กับการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าประสงค์หลักโดยมีการจัดการและควบคุมความเสี่ยงอย่างพอเพียงและเหมาะสม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 23, 2009

นอกจากความเสี่ยงในด้านต่าง ๆ และความเสี่ยงในด้านการปฏิบัติการที่ได้กล่าวไปในครั้งก่อนแล้ว องค์กรต่าง ๆ อาจเผชิญกับความเสี่ยงที่เป็นความไม่แน่นอนและอยู่ใกล้ตัวมากที่สุด ซึ่งมีความสำคัญที่จะกระทบปัจจัยเสี่ยงอื่น ๆ ในทุกเรื่อง รวมถึงความเสี่ยงจากสภาพแวดล้อมทั่วไปด้วยเช่นกันที่องค์กรควรต้องกำหนดแนวทาง ระบุความเสี่ยง และจัดหาเครื่องมือในการจัดการกับความเสี่ยงที่จะอาจเกิดขึ้น

ความเสี่ยงจากสภาพแวดล้อมทั่วไปขององค์กร เช่น จริยธรรม คุณธรรมในการบริหารงาน ปรัชญา ความเชื่อในเรื่องการบริหารความเสี่ยงที่เป็นรูปธรรม แนวความคิดและความเข้าใจของการนำการบริหารความเสี่ยงมาใช้ในองค์กร การกำหนดความเสี่ยงที่ยอมรับได้ (Risk Appetite) การจัดโครงสร้างขององค์กร การมอบหมายอำนาจและหน้าที่ ขั้นตอนการปฏิบัติงาน วัฒนธรรมในการดำเนินงานขององค์กร ความเกรงใจ ความเห็นแก่หน้า การไม่เคารพกฎและกติกาตามหลักการกำกับดูแลกิจการที่ดี การขาดการประสานงาน การทำงานเป็นทีมที่ด้อยคุณภาพ ความไม่มีใจต่อความสำเร็จขององค์กร การมีอัตตาหรือการไม่รับฟังความคิดเห็นจากผู้ร่วมงาน การให้คุณให้โทษที่ไม่เป็นธรรม โดยไม่ยึดผลสำเร็จของงาน การขาดการติดตามวัดผลสำเร็จของแผนงาน โครงการ ตามพันธกิจที่ได้ดุลยภาพและมีคุณภาพ รวมทั้งทัศนคติของผู้บริหารที่อาจชอบฟังหรือรับทราบเฉพาะเรื่องดี ๆ โดยไม่ยอมรับฟังเรื่องเชิงลบ ทั้งที่เป็นเรื่องจริงที่เป็นความเสี่ยงและมีผลกระทบต่อเป้าประสงค์ ทั้งระยะสั้น ระยะยาว เป็นต้น

ซึ่งความเสี่ยงจากสภาพแวดล้อมทั่วไปเหล่านี้จะมีผลอย่างสำคัญต่อความสำเร็จของการบริหารความเสี่ยงทางด้านกลยุทธ์ ทางด้านการดำเนินงาน ทางด้านการเงินและการรายงาน ทางด้านการปฏิบัติตามกฎหมาย กฎเกณฑ์ และคำสั่งต่าง ๆ ของทุกองค์กรได้

องค์กรทั่วไป ควรจะมีการสอบทานความเหมาะสม และระบุปัจจัยเสี่ยงที่อาจเกิดจากสภาพแวดล้อมทั่วไปดังกล่าวข้างต้นควบคู่กันไปกับการบริหารความเสี่ยงขององค์ประกอบอื่น ๆ และพิจารณาหาแนวทางควบคุมและจัดการกับความเสี่ยงที่มีนัยสำคัญให้อยู่ในระดับที่องค์กรยอมรับได้ โดยใช้เครื่องมือสำหรับระบุความเสี่ยงในแบบการประเมินตนเองหรือ CSA – Control Self Assessment โดยใช้บุคคลภายในองค์กรเอง หรือ QAR – Quality Assurance Review โดยใช้บุคคลภายนอก หรือดัชนีเครื่องชี้ความเสี่ยง (Key Risk Indicators) ตามความเหมาะสมต่อไป

นี่คือ ตัวอย่างบางประการที่มีความสำคัญต่อการบริหารความเสี่ยง ซึ่งเป็นเครื่องมือและกระบวนการบริหารเชิงรุกภายใต้กรอบการกำกับดูแลกิจการที่ดี ที่คณะกรรมการบริหาร ผู้บริหาร ผู้ปฏิบัติงานทุกคนขององค์กรทั่วไป จะมีส่วนร่วมอย่างสำคัญในการนำไปปฏิบัติควบคู่กับการบริหารแผนงานและโครงการต่าง ๆ ขององค์กร เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลว่า องค์กรจะบรรลุเป้าประสงค์หลักโดยมีการจัดการและควบคุมความเสี่ยงอย่างพอเพียงและเหมาะสม

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

แนวทาง/กรอบ/คู่มือการบริหารความเสี่ยงขององค์กร

มีนาคม 21, 2009

ครั้งก่อนผมได้พูดถึงกรอบของการบริหารความเสี่ยงในภาพโดยรวม และยังเคยกล่าวถึงประเภทของความเสี่ยงให้พอได้ทราบกันมาบ้างแล้ว ครั้งนี้เรามาดูกันต่อว่าความเสี่ยงทั้ง 4 ประเภทที่กล่าวถึงนั้นมีอะไรบ้าง และความเสี่ยงต่าง ๆ นั้นมีแหล่งที่มาเกิดจากอะไร ซึ่งในที่นี้ผมจะขอเน้นเฉพาะความเสี่ยงทางด้านปฏิบัติการที่เกิดขึ้นกับองค์กรโดยส่วนใหญ่ เพื่อจะได้ใช้เป็นแนวทางในการระบุความเสี่ยง และจัดการกับความเสี่ยง ซึ่งผมจะได้กล่าวถึงรายละเอียดในคราวต่อ ๆ ไป

ความเสี่ยงของทุกองค์กร อาจแบ่งได้เป็น 4 ประเภท ได้แก่
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
3. ความเสี่ยงด้านการเงินและการรายงาน (Financial & Reporting Risk)
4. ความเสี่ยงด้านกฎหมาย กฎเกณฑ์ต่าง ๆ (Compliance Risk)

ความเสี่ยงส่วนใหญ่ขององค์กรทั่วไป จะเป็นความเสี่ยงด้านปฏิบัติการ ซึ่งหากดูจากแผนภาพด้านล่างก็คงจะพอเข้าใจภาพของ Operational Risk ได้ชัดเจนขึ้น ก่อนที่จะได้กล่าวถึงรายละเอียดกันต่อ

Operational Risk Business Objectives

Operational Risk Business Objectives

ความเสี่ยงด้านปฏิบัติการ หมายถึง ความเสี่ยงที่จะเกิดความเสียหายอันเนื่องมาจากการขาดการกํากับดูแลกิจการที่ดี หรือขาดธรรมาภิบาลในองค์กร และการขาดการควบคุมที่ดี โดยอาจเกี่ยวข้องกับกระบวนการปฏิบัติงานภายใน คน ระบบงาน หรือเหตุการณ์ภายนอก และส่งผลกระทบต่อรายได้และเงินกองทุนขององค์กร

แหล่งที่มาของความเสี่ยง
เหตุแห่งความเสี่ยงด้านปฏิบัติการ เป็นความเสี่ยงที่จะเกิดความเสียหายโดยตรงหรือโดยอ้อม เนื่องจากการขาดระบบงาน การขาดการควบคุมที่ดี การจัดการภายในล้มเหลวจนทำให้เกิดความสูญเสีย และความผิดพลาดในการปฏิบัติงาน โดยมีสาเหตุต่าง ๆ ดังนี้

1. ความเสี่ยงที่เกิดจากบุคลากร (People Risk) ได้แก่
ความด้อยศักยภาพของพนักงาน
– การขาดความรู้ความชำนาญในงานที่รับผิดชอบ
– การขาดความสามารถในการทำงานเป็นทีม
– การละเลยไม่ให้ความสำคัญกับกลุ่มลูกค้า
– การขาดการทำงานแบบมืออาชีพ
– การขาดความสามารถในการวิเคราะห์หรือใช้วิจารณญานในการตัดสินใจ
– การตีความข้อมูลที่ใช้ในการปฏิบัติงานผิดพลาด

การทุจริต
– การทุจริตหรือกระทำผิดจรรยาบรรณ
– การใช้ตำแหน่งหน้าที่ของตนเพื่อประโยชน์ส่วนตัว

ความผิดพลาดของพนักงาน (Human Error)
– ความผิดพลาดของพนักงานในการปฏิบัติงาน โดยมิได้มีเจตนาจะกระทำผิดหรือทุจริต
– ความประมาท เลินเล่อ หรือไม่รอบคอบ

การบริหารและการจัดการบุคลากร
– การบริหารทรัพยากรบุคคลไม่เหมาะสม เช่น การมีพนักงานมาก-น้อยเกินไป
– การด้อยประสิทธิภาพในการสรรหา
– การมอบหมายงานไม่ตรงตามความสามารถ
– การขาดการอบรมให้พนักงานมีความเชี่ยวชาญหรือเพิ่มขีดความสามารถในการปฏิบัติงาน
– การขาดเครื่องมือในการสร้างแรงจูงใจให้พนักงานที่มีความสามารถให้คงอยู่กับองค์กร
– การประเมินผลงานที่ไม่ยุติธรรม
– ค่าตอบแทนที่ไม่เหมาะสม
– การพึ่งพิงกับพนักงานหลักมากเกินไป

การบริหารทรัพยากรขององค์กร
– การบริหารทรัพยากรขององค์กรไม่เหมาะสม เช่น ไม่มีอุปกรณ์ที่ให้ความสะดวกหรือมีไม่เพียงพอต่อความจำเป็นในการปฏิบัติงาน
– อุปกรณ์ไม่อยู่ในสภาพที่ดีต่อการใช้งาน
– การมีโครงสร้างพื้นฐานทางเทคโนโลยีที่ไม่เหมาะสมกับงานหรือล้าสมัย

2. ความเสี่ยงที่เกิดจากกระบวนการหรือขั้นตอนการปฏิบัติงาน
(Process Risk)
ความบกพร่องของการบริหารองค์กรที่ได้คุณภาพ (Model / Methodology Error)
– ความบกพร่องของการวางแผนการใช้โปรแกรมเพื่อการบริหารและการจัดการแบบบูรณาการ (Plan – Do – Check – Act)
– ความผิดพลาดในการพัฒนากำหนดสูตรการคำนวณต่าง ๆ เช่น การกำหนดน้ำหนักของกลยุทธ์ พันธกิจ แผนงานและโครงการต่าง ๆ ของ องค์กรในการก้าวสู่วิสัยทัศน์ที่กำหนด ในกรณีที่เป็นสถาบันการเงินก็จะเป็นความผิดพลาดจากการกำหนดอัตราส่วนทางการเงิน การประเมินมูลค่าหลักทรัพย์/ทรัพย์สิน/หนี้สิน และการประเมินมูลค่าหลักประกันผิดพลาด
– ข้อบกพร่องของวิธีการ/ขั้นตอนการปฏิบัติงาน ซึ่งทำให้การปฏิบัติงานไม่มีประสิทธิภาพเพียงพอ
– การรายงานผลต่าง ๆ ไม่ถูกต้อง และขาดการติดตาม

ผลิตภัณฑ์ และบริการที่ไม่เหมาะสม
– การกำหนดน้ำหนักของงบประมาณเพื่อขับเคลื่อนแผนงานของการบรรลุเป้าหมายที่ไม่สัมพันธ์กับวิสัยทัศน์และเป้าประสงค์ขององค์กร
– การออกแบบ/พัฒนาและส่งเสริมผลิตภัณฑ์และบริการไม่สอดคล้องกับทิศทางของพันธกิจและวิสัยทัศน์
– ผลิตภัณฑ์/บริการมีความซับซ้อนหรือมีข้อบกพร่อง หรือไม่อาจวัดผลความสำเร็จที่ชัดเจนเป็นรูปธรรม ทำให้ผู้มีผลประโยชน์ร่วมไม่พึงพอใจ

การปฏิบัติตามกฎหมาย กฎเกณฑ์ ของผู้กำกับ
– เกิดจากการกำกับดูแลและกฎระเบียบที่องค์กรเผชิญอยู่ หากองค์กรวางแผนการปฏิบัติต่าง ๆ ไม่สอดคล้องกับข้อกำหนดของทางการ หรือหน่วยงานที่กำกับดูแล
– ความเสี่ยงจากการตีความข้อกฎหมาย ที่เอื้ออำนวยต่อการดำเนินธุรกิจขององค์กร

การสื่อสารเพื่อสร้างความเข้าใจ (Communication)
– การเข้าใจไม่ตรงกันในการสื่อข้อความทำให้ตีความผิดพลาด
– การสื่อสารที่ไม่ทั่วถึงทุกฝ่ายงานที่เกี่ยวข้อง
– การขาดการประสานงาน/ร่วมมือที่ดีระหว่างฝ่ายงาน
– ข้อมูลที่เผยแพร่ภายนอกองค์กรไม่ถูกต้อง ไม่สอดคล้องกันก่อให้เกิดความไม่น่าเชื่อถือ โดยเฉพาะกรณีที่มีการนำข้อมูลไปใช้อ้างอิง

ระบบงานขาดมาตรฐานและการควบคุมที่ดี
– การขาดมาตรฐาน/คู่มือ/แนวทางและรายละเอียดในการปฏิบัติงาน
– การขาดระบบการตรวจสอบ/การควบคุม/การรักษาความปลอดภัยที่ดีหรือมีไม่เพียงพอ

3. ความเสี่ยงที่เกิดจากการใช้เทคโนโลยี (Technology Risk)
การรักษาความปลอดภัยตามมาตรฐานที่ดี
– การขาดระบบรักษาความปลอดภัยของข้อมูลหรือระบบคอมพิวเตอร์ ตลอดจนการสำรองข้อมูล หรือมีแต่ด้อยประสิทธิภาพ
– การขาดมาตรการควบคุมและตรวจสอบระบบอย่างสม่ำเสมอ
– การขาดแผนสำรองฉุกเฉิน

ระบบงานมีข้อผิดพลาดหรือล้มเหลว
– ความผิดพลาด/ความสูญเสียของระบบ เนื่องจากอัคคีภัย ภัยธรรมชาติ
– ปัญหาด้านเทคนิค กระแสไฟฟ้าขัดข้อง
– ระบบสูญเสียความสามารถบางส่วน/ทั้งหมด จากการทำลายของไวรัสคอมพิวเตอร์

ความบกพร่องของโปรแกรมคอมพิวเตอร์
– ความผิดพลาด/ไม่สมบูรณ์ของโปรแกรมคอมพิวเตอร์ที่ใช้

ความบกพร่องของระบบการสื่อสาร
– การขัดข้องของระบบการสื่อสาร เช่น Computer Network , โทรศัพท์ , โทรสาร

สารสนเทศที่ใช้ในการบริหารและปฏิบัติงานไม่น่าเชื่อถือ
– ข้อมูลสำหรับการปฏิบัติงานมีไม่เพียงพอ ไม่สมบูรณ์ ไม่ถูกต้อง
– ระบบข้อมูลไม่ถูกต้อง ทำให้ไม่สามารถนำข้อมูลไปใช้งานได้
– การมีหลายระบบที่แสดงข้อมูลในลักษณะเดียวกัน แต่แสดงข้อมูลไม่สอดคล้อง/ไม่ตรงกัน

4. ความเสี่ยงที่เกิดจากเหตุการณ์ภายนอก (External Risk)
– ความไม่แน่นอนของนโยบายของรัฐ และหน่วยงานที่เกี่ยวข้อง
– การสูญเสียที่เกิดขึ้นกับทรัพย์สินหรือรายได้อันเนื่องมาจากอุบัติภัยต่าง ๆ ที่ไม่คาดคิด เช่นไฟไหม้ น้ำท่วม แผ่นดินไหว
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กรไม่สามารถปฏิบัติตามข้อตกลงหรือปฏิบัติตามสัญญาที่ให้ไว้กับองค์กรได้
– ความเสียหายจากการที่คู่ค้าหรือคู่สัญญาขององค์กร ใช้องค์กรเป็นเครื่องมือในการฟอกเงินและกระทำผิดกฎหมาย
– การขาดแผนรองรับเหตุการณ์ฉุกเฉินต่าง ๆ
– ไม่มีการทำประกันภัย ในธุรกรรมใด ๆ ที่มีความเสี่ยง

Leave a Comment » | แนวทางการบริหารความเสี่ยงทั่วทั้งองค์กร COSO-ERM Framework | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »